ISO/27001/Zertifizierung

Zertifizierung

Managementsysteme

Viele Einrichtungen haben interne Sicherheitsrichtlinien für ihre IT

• Durch eine interne Begutachtung (auch Audit genannt) können Unternehmen ihr korrektes Vorgehen im Abgleich mit ihren eigenen Vorgaben überprüfen
• Unternehmen können damit allerdings ihre Kompetenzen im Bereich der IT-Sicherheit nicht öffentlichkeitswirksam gegenüber (möglichen) Kunden aufzeigen
• Dazu ist eine Zertifizierung z. B. nach ISO/IEC 27001, ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz oder nach IT-Grundschutz sinnvoll

Eine Organisation hat vielmehr drei Möglichkeiten, die Konformität zu einer Norm zu zeigen

1. sie kann ihre Konformität von sich aus verkünden,
2. sie kann ihre Kunden bitten, die Konformität zu bestätigen, und
3. ein unabhängiger externer Auditor kann die Konformität verifizieren

Die ISO selbst führt keine Zertifizierungen durch

• gibt nur den Rahmen vor

Personen

Es existieren verschiedene, meist modulare, Schemata zur Ausbildung und Zertifizierung von Personen im Bereich der ISO/IEC 27000-Reihe

• Diese werden von unterschiedlichen Zertifizierungsunternehmen gestaltet, siehe Liste der IT-Zertifikate