Mein Datenschutz-Blog - #THEPRIVÄCY

Hier bloggt das Deutsche Zentrum für Datenschutz & Informationssicherheit (DZDI) als Teil der yourIT Group. Seit über 15 Jahren ist unser Team für Sie tätig als Berater, Implementer, Auditor, Trainer sowie als externer Informationssicherheits- (ISB) und Datenschutzbeauftragter (DSB) rund um EU-DSGVO, BDSG-neu und ISO 27001. Unsere Kunden sind u.a. mittelständische und Konzern-Unternehmen, Praxen, Kanzleien, etc. Dabei nutzen wir sofern möglich die Ihrem Unternehmen zustehenden Fördermittel.

Dienstag, 30. August 2022

ISO-27001-Zertifikat - Nur echt mit DAkkS-Akkreditierung

Immer wieder stoßen wir auf Marktbegleiter, die angeblich nach ISO 27001 zertifiziert sind - so wie unsere yourIT GmbH. Bei genauerem Hinsehen fällt aber auf, dass dem angeblichen Zertifikat das Wichtigste fehlt: Die Akkreditierung des Zertifikats durch die Deutsche Akkreditierungsstelle (DAkkS).

Bitte überlegen Sie kurz: Sie wollen künftig einen IT-Dienstleister oder einen Softwarehersteller mit ISO-27001-Zertifizierung einsetzen? Sie erwarten bei einem solchen mehr Expertise in Sachen Informationssicherheit und damit z.B. mehr Schutz vor Cyberattacken? Dann sollten Sie darauf achten, dass dieses Vertrauen durch eine DAkkS-Akkreditierung auf dem Zertifikat auch gerechtfertigt wird.

Fehlt die DAkkS-Akkreditierung, sollten Sie sich fragen, weshalb auf dieses wichtige Prädikat verzichtet wurde. Verlassen Sie sich nicht auf die "Normkonformität" der Zertifizierung. Grund: Es geht dabei um Ihre Informationssicherheit!

Nachweis der DAkkS-Akkreditierung auf dem ISO-27001-Zertifikat der yourIT

Das Problem: Ein "ISO-27001-Zertifikat" kann praktisch jeder ausstellen. Aber nur eine DAkkS-Akkreditierung stellt sicher, dass das Zertifikat auch "echt" ist und Sie auf eine normkonforme Zertifizierung vertrauen können.

Wer oder was ist die DAkkS?

Die DAkkS ist die nationale Akkreditierungsstelle der Bundesrepublik Deutschland. In Deutschland gibt es nur eine solche offizielle Akkreditierungsstelle - die DAkkS. Ihr gesetzlicher Auftrag ist die Akkreditierung von Zertifizierern wie TÜV, DEKRA, PÜG, .... Sie handelt nach der Verordnung (EG) Nr. 765/2008 und dem Akkreditierungsstellengesetz (AkkStelleG) im öffentlichen Interesse als alleiniger Dienstleister für Akkreditierung in Deutschland. Weitere Informationen finden Sie unter www.dakks.de

Das Ziel: Im Prinzip sollen alle DAkkS-akkreditierten Zertifizierungsstellen unabhängig, normkonform und damit gleich zertifizieren.

Wozu sind Zertifizierungen überhaupt gut?

Von Produkten über Managementsystem bis hin zu Organisationen – es gibt heute nichts, was nicht auditiert werden kann. Immer mehr IT-Dienstleister und Softwarehersteller entscheiden sich für eine Zertifizierung nach ISO 27001 durch unabhängige Dritte - sogenannte Zertifizierungsstellen. Manchmal freiwillig, manchmal aufgrund rechtlicher Rahmenbedingungen, manchmal auf Drängen von deren Kunden. Es bestehen jedoch deutliche Unterschiede bei den Zertifizierungsstellen. Entscheidet man sich für eine nicht akkreditierte Prüf- oder Zertifizierungsstelle, sollte man sich der damit verbundenen Risiken bewusst sein.

Die internationale Norm ISO 27001 bieten Ihnen als Unternehmen eine gute Möglichkeit, sich hinsichtlich der Fähigkeiten wichtiger Lieferanten in Sachen Informationssicherheit rückzuversichern. Kaum ein Tag vergeht, an dem nicht irgendeine erfolgreiche Cyberattacke ein erfolgreiches mittelständisches Unternehmen niedergestreckt hat. Daher ist es heutzutage gar nicht unüblich, dass Kunden einen unabhängigen Nachweis über die Einhaltung bestimmter Standards in Sachen Informationssicherheit fordern. Schließlich wollen Sie wissen dann, dass Ihr Lieferant bestimmte Vorgaben erfüllt und auf Risikominimierung hinarbeitet.

Es ist allerdings so, dass prinzipiell jedermann ein nicht akkreditiertes Zertifikat oder einen Prüfbericht ausstellen kann. Wie können Sie (und ggf. Ihre Kunden) also sicher sein, dass die Zertifizierung fachkundig und objektiv durchgeführt wurde?

Die DAkkS auditiert die Auditoren

Hier kommt die Akkreditierung ins Spiel. Die Akkreditierung bestätigt hochoffiziell und unabhängig die Befähigung der Zertifizierungsstelle: Die DAkkS auditiert sozusagen die Auditoren. Das stellt einen wichtigen Mechanismus dar, dass z.B. in Deutschland zertifizierte Waren und Dienstleistungen auch ohne eine erneute Überprüfung weltweit anerkannt werden.

Eine durch die DAkkS für die ISO 27001 akkreditierte Zertifizierungsstelle hat selbst Audits hinsichtlich der Einhaltung eines international etablierten Standards durchlaufen. Sie ist nachweislich qualifiziert dazu, das Informationssicherheitsmanagementsystem (ISMS) des IT-Dienstleisters oder Softwareherstellers zu bewerten.

Gehen Sie daher kein Risiko ein. Gerade im IT-Bereich sollten Sie ausschließlich auf IT-Dienstleister und Softwarehersteller mit DAkkS-akkreditierter Zertifizierung nach ISO 27001 setzen. Es geht schließlich um die Sicherheit Ihrer "Informationswerte".

Vorteile von Dienstleistern mit DAkkS-akkreditiertem ISO-27001-Zertifikat

Zu viele Unternehmen setzen Ihre eigene Informationssicherheit und damit ihren Unternehmenserfolg aufs Spiel, weil sie auf nicht DAkkS-akkreditierte ISO-27001-Zertifikate hereinfallen. Entscheiden Sie sich ausschließlich für IT-Dienstleister und Softwarehersteller mit DAkkS-akkreditiertem ISO-27001-Zertifikat und profitieren Sie von folgenden Vorteilen:

+ Vertrauen

IT-Dienstleister und Softwarehersteller mit akkreditiertem ISO-27001-Zertifikat geben Ihnen (und Ihren Kunden) zusätzliche Sicherheit, dass sioe gewissenhaft arbeiten. So können Sie vertrauensvoll in die gemeinsame Vertragsgestaltung starten.

+ Glaubwürdigkeit

Die Akkreditierung durch die DAkkS steigert die Glaubwürdigkeit von Zertifikaten. Die IT-Dienstleister oder Softwarehersteller können i.d.R. aus ihren Produkten und Dienstleistungen größere wirtschaftliche Vorteile ziehen.

+ Objektivität

Das Rahmenwerk für Akkreditierungen stellt sicher, dass Zertifizierungsstellen und damit auch deren Zertifikate nicht von politischen oder wirtschaftlichen Interessen beeinflusst werden.

+ Marktzugang und internationale Anerkennung

Insbesondere wenn Unternehmen exportieren möchten, öffnet ihnen ein akkreditiertes Audit viele Türen. Mit einer akkreditierten Prüfung vermeiden Sie den Zeit- und Kostenaufwand, der mit einer erneuten Prüfung der Produkte und Dienstleistungen in anderen Ländern verbunden wäre. Eine akkreditierte Zertifizierung nach den weltweit gültigen Standards der ISO 27001 für das Informationssicherheits-Managementsystem (ISMS) schafft Vergleichbarkeit und Anerkennung bei ausländischen Kunden und Handelspartnern und vermeidet unnötige Kosten durch mehrfache Bewertungen.

Wie erkenne ich ein DAkkS-akkreditiertes Zertifikat?

Das ist ganz einfach: Lassen Sie sich eine Kopie des Zertifikats von Ihrem IT-Dienstleister oder Softwarehersteller zuschicken. Darauf muss das Siegel der DAkkS abgebildet sein. Wenn es fehlt, ist der gewählte Zertifizierer nicht von der DAkkS zur Zertifizierung akkreditiert.

Hier als Beispiel unser aktuelles Zertifikat für die ISO 27001, DAkkS-akkreditiert, ausgestellt durch die PÜG. Zertifiziert sind wir im Übrigen bereits seit dem Jahr 2016.

Zertifikat ISO 27001 für yourIT mit DAkkS-Akkreditierung durch PÜG

Wir von yourIT bekennen uns klar zur DAkkS. Wir setzen ausschließlich auf akkreditierte Zertifizierer und schätzen deren Mehrwert.

Unsere ISO-27001-Zertifizierung durch die von der DAkkS akkreditierte PÜG belegt unsere auf Informationssicherheit orientierte Arbeitsweise.

Sie möchten live erleben, welchen Unterschied echtes Vorgehen nach ISO 27001 macht?

Fordern Sie uns jetzt!

Seiten