Nov 19, 2020

Ein kompletter Leitfaden von A bis Z zur Rezertifizierung nach den primären internationalen Standards

Welche Zertifizierungsvoraussetzungen gelten für ISO und andere grundlegende internationale Standards und wie oft sollte sich das Unternehmen erneut zertifizieren lassen, um die Compliance gemäß ISO 27001, ISO 14001, ISO 9001, DSGVO, IT-Grundschutz u.a. nachzuweisen?
ISO Zertifizierung

Es gibt viele Gründe, warum Unternehmen sich für den Start ihrer Compliance-Reise entscheiden: z. B. um ihre Prozesse und Werte zu sichern, die betriebliche Effizienz zu steigern oder die Vertrauenswürdigkeit nachweisen zu können. Im Durchschnitt muss ein Unternehmen aber über Zertifizierungen nach internationalen Standards verfügen, die Sicherheit, Qualität und Datenschutz abdecken. 

Zu beachtende internationale Standards

Die zu berücksichtigende Standards und Vorschriften hängen von der Geschäftsspezifik, der Strategie, dem Markt und der Branche ab. Während einige Regelungen ein Muss für Unternehmen sind, um Sicherheit, Datenschutz und Zuverlässigkeit zu gewährleisten, sind andere eine Frage der Wahl und der finanziellen Möglichkeiten. 

Sicherheitsstandards unterstützen Unternehmen dabei, ein effektives ISMS aufzubauen und vor externen und internen Gefahren zu schützen, damit alle betrieblichen Abläufe sicher sind. Die gefragtesten Sicherheitsstandards sind:

  • ISO 27001 und IT-Grundschutz
  • ISO 15408 (Sicherheit beim Testen und Integrieren von Software- und Hardwareprodukten)
  • NIST (Cybersicherheit)

Bei den Trends der nachhaltigen Entwicklungrichten sich Unternehmen nach den folgenden Standards:

  • ISO 22301 (Betriebskontinuität)
  • ISO 14001 (Umweltmanagementsystem)
  • ISO 9001 (Qualitätsmanagementsystem)
  • ISO 26000 (freiwillige Verpflichtung zur sozialen Verantwortung)
  • ISO/TC 268 (Nachhaltigkeit in den Städten und Gemeinden)

Unternehmen, die sich mit der Erhebung, Speicherung oder Verarbeitung personenbezogener Daten von EU-Bürgern befassen, müssen sich einer Zertifizierung zur DSGVO-Compliance unterziehen (CCPA ist eine Datenschutzverordnung für die USA).  

Einige Unternehmen werden möglicherweise nach branchenspezifischen Standards und Vorschriften zertifiziert, zu nennen sind darunter z. B. folgende:

  • Automotive: TISAX (unternehmensübergreifende Anerkennung von Bewertungen der Informationssicherheit in der Automobilindustrie), ASPICE (Prozessmodell, das die Best Practices für die Entwicklung von Software und eingebetteten Systemen für die Automobilindustrie bestimmt), ECE-TRANS-WP29-2020-079 (Automobilbau, Regelung für Fahrzeuge bezüglich der Cybersicherheit);
  • Lebensmittelbranche: ISO 22000 (Management der Lebensmittelsicherheit), PAS 96 (Schutzverfahren für Lebensmittel und Getränke), HACCP (Spezifikation zur Lebensmittelsicherheit bei physikalischen, chemischen und mikrobiologischen Gefahren), GHP (angemessene Hygienepraktiken) usw.
  • Energiesektor: ISO/IEC TR 27019 IS (Energieversorgung), ISO 50001 (Energiemanagementsystem (EnMS), CIP-013 (Pflicht für kritische Infrastrukturen in den USA).
  • Gesundheitswesen: ISO15189 (Medizinische Labors: Besondere Anforderungen an Qualität und Kompetenz), ISO 13485 (Medizinprodukte).
ISO-Zertifizierung
ISO-Umfrage zu Zertifizierungen nach Managementsystemstandards (Stand: September 2020). Quelle

Zwei wesentliche Dinge, die bei Standards im Hinterkopf zu behalten sind

Je nach Branchen- und Unternehmensspezifik kann die Anzahl der erforderlichen Standards variieren. Für einige Unternehmen wird es ausreichend sein, zwei Standards zu befolgen, um Solidität, Nachhaltigkeit und Qualität nachzuweisen, während andere vier oder sogar mehr implementieren müssen. Es ist wichtig, stets Folgendes zu bedenken:

  • Die Zertifizierung ist kein einmaliges Ereignis. Jeder Standard hat seine Gültigkeitsdauer, weswegen Sie einmal in einem bestimmten Zeitraum eine Re-Zertifizierung beantragen oder Ihre Konformität nachweisen müssen.
  • Standards werden aktualisiert. Die meisten Zertifizierungsstellen geben die Texte der Standards und Vorschriften erneut heraus und fügen neue Anforderungen, Maßnahmen oder andere Begriffe hinzu.

Grundlegende zu kontrollierende Standards: Checkliste

Wir haben für Sie eine Auswahlliste erstellt, die die Zertifizierungsanforderungen, die Bedingungen für die Gültigkeit von Zertifikaten, die Notwendigkeit interner Audits und die Rezertifizierung für einige der am häufigsten verwendeten Standards enthält. 

Standards für Informationssicherheit:

ISO 27001

Der beliebteste Standard, der für IT-Sicherheit implementiert wird.

  • Rezertifizierungsturnus: 3 Jahre
  • Update: alle 3 Jahre
  • Entscheidende oder risikoreiche Prozesse sollten nach Möglichkeit vierteljährlich oder einmal im Halbjahr überprüft werden. Prozesse mit geringem Risiko können nur einmal im Jahr oder alle zwei Jahre überprüft werden. Unter Berücksichtigung der aktuellen Situation können Sie bei Pandemien auch Online-Prüfungen durchführen lassen.

BSI IT-Grundschutz

IT-Grundschutz bietet einen systematischen Ansatz zur Informationssicherheit, der mit ISO/IEC 27001 kompatibel ist.

  • Gültigkeitsdauer der Zertifizierung: 2 Jahre
  • Upgrade von IT-Grundschutz: jährlich
  • Interne Audits: jährlich

DSGVO

Es gibt keine explizit festgelegten Voraussetzungen und Fristen für die Zertifizierung. Ab Mai 2018 müssen alle Unternehmen, für die das Datenschutzgesetz gilt, die in der DSGVO enthaltenen Empfehlungen befolgen und regelmäßige interne Audits durchführen, um deren Einhaltung sicherzustellen.

  • Audits: regelmäßig. Es gibt keine klar festgelegten Anforderungen, folglich müssen Sie jederzeit bereit sein, der Aufsichtsbehörde auf Anfrage Informationen zur Verfügung zu stellen.
  • Eine Organisation ist verpflichtet, eine regelmäßige Inventur der Daten zu unternehmen, die sie zu einem bestimmten Zeitpunkt gesammelt und gespeichert hat.

Andere Standards

ISO 22301

Dieser Standard wird zum Aufbau von Business-Continuity-Management-Systemen (BCMS) verwendet, damit das Unternehmen bei Störungen funktionieren kann.

  • Rezertifizierungsturnus: 3 Jahre
  • Regelmäßige interne Audits: jährlich
  • Letzte Aktualisierung: ISO 22301:2019

ISO 14001

Es ist ein optionaler Nachhaltigkeitsstandard, der von Unternehmen für die Optimierung ihres Umweltmanagements genutzt wird.

  • Rezertifizierungsturnus: 3 Jahre
  • Regelmäßige interne Audits: jährlich
  • Letzte Aktualisierung: ISO 14001:2017

ISO 9001

Dies ist der beliebteste Standard für das QMS (Quality Management System).

  • Rezertifizierungsturnus: 3 Jahre
  • Regelmäßige interne Audits: jährlich
  • Letzte Aktualisierung: ISO 9001:2018

Branchenspezifische Standards

TISAX (Trusted Information Security Assessment Exchange)

Ein Bewertungs- und Austauschmechanismus für die Informationssicherheit von Unternehmen, der die Anerkennung von Bewertungsergebnissen unter den Teilnehmenden ermöglicht.

  • Gültigkeitsdauer der Zertifizierung: 3 Jahre
  • Zertifizierungsaudits: alle 3 Jahre über ISA (Information Security Assessment)
  • Updates: Keine bestimmten Anforderungen für TISAX.

ASPICE

Es handelt sich um ein Software- und Hardware-Design- und Entwicklungsframework, das explizit für die Automobilindustrie auf der Grundlage von ISO 15504 erstellt wurde. Diese etablierte Datensicherheitsmethode soll dazu beitragen, Prozesse für die Sicherheit von mechatronischen Systemen zu verbessern. Im Gegensatz zu den meisten Branchenregelungen ist ASPICE keine Bewertung nach den Kriterien „Bestanden“ / „Nicht Bestanden“, sondern folgt den Zertifizierungsstufen von L1 bis L5.

  • Häufigkeit der Beantragung von Assessments: Nicht öfter als einmal im Jahr.
  • Updates: Keine bestimmten Anforderungen für ASPICE.

ISO/IEC TR 27019

  • Rezertifizierungsturnus: 3 Jahre
  • Audits: alle 2 Jahre (z. B. Sicherheitsaudits, Zertifizierungen, Penetrationstests)
  • Letzte Aktualisierung: ISO/IEC 27019:2017

ISO 50001

  • Rezertifizierungsturnus: 3 Jahre
  • Audits: jährlich
  • Letzte Aktualisierung: ISO 50001:2018

Herausforderungen nach der Zertifizierung

Nach der Zertifizierung sollten sich Unternehmen dauerhaft um die erforderlichen Maßnahmen und Unterlagen kümmern. Die meisten stehen jedoch möglicherweise vor folgenden Herausforderungen:

  • Kontinuierliche Überarbeitung der Anforderungen und Implementierung der Maßnahmen. Nach der strengen Phase der Zertifizierungsvorbereitung und den zahlreichen Audits (einige Standards erfordern mehr als nur einen) können Compliance-bezogene Verfahren in Vergessenheit geraten. Dies kann zu einer erhöhten Arbeitsbelastung und sogar zu der Wahrscheinlichkeit führen, dass das nächste Audit nicht bestanden wird.
  • Die Übertragung der aktualisierten Version des Standards erfolgt häufig manuell. Die ISO überprüft ihre Standards alle drei bis fünf Jahre, um sicherzugehen, dass sie für Unternehmen weiterhin nützlich und relevant sind. Während einer Überarbeitung optimiert das ISO-Komitee die Standards, um die Herausforderungen der Unternehmen im Blick zu behalten. Unternehmen müssen ihrerseits diese Änderungen kontinuierlich verfolgen und ihr ISMS, EMS oder QMS an die aktuellen Anforderungen anpassen.

So meistern Sie ein Standard-Update: Beispiel einer Migration von IT-Grundschutz 2019 auf 2020

Die Behörden überprüfen regelmäßig die herausgegebenen Standards und veröffentlichen Aktualisierungen dazu. Bei jedem neuen Update eines Standards sollten Unternehmen auf die neue Version umsteigen. Dies ist nicht nur zeitaufwändig, wenn es manuell gehandhabt wird, sondern auch eine Frage der Aufmerksamkeit und der Fähigkeit, alles fristgerecht zu erledigen. Nach der Veröffentlichung einer Aktualisierung zu einem Standard haben Unternehmen nämlich eine bestimmte Frist, um die Konformität vollständig herzustellen. Andernfalls kann ihre Zertifizierung zurückgezogen werden.

Moderne GRC-Lösungen bieten den Compliance-Beauftragten die Möglichkeit, automatisch auf eine neue Version umzusteigen, ohne die Zeit mit der Tabellenbearbeitung verschwenden zu müssen. Die Benutzer von Standards Compliance Managers können mit wenigen Klicks von IT-Grundschutz 2019 auf IT-Grundschutz 2020 und andere vorintegrierte Standards in der Lösung migrieren und die vorhandene Datenbank, die Assets und Anforderungen mit entsprechenden visuellen Benachrichtigungen und Kommentaren zu Änderungen oder Unterschieden übertragen, die in der Ansicht des Compliance-Checks verfügbar sind.

Schlusswort

Wie Sie sehen, gibt es kein Universalrezept für die Gewährleistung der Compliance und Vermeidung der Geldstrafen. Nach der Zertifizierung müssen Unternehmen kontinuierlich die Kontrolle über ihre Aktivitäten und Dokumentationen bewahren, um die gewählten Standards oder Regelungen einhalten zu können.

Wenn Sie immer noch Tools wie Excel verwenden, müssen Sie jedes Mal alles von Anfang an neu erledigen. Mit verschiedenen GRC-Lösungen können Sie heutzutage aber alle Ihre Assets und Maßnahmen auf einmal hochladen, wenn Sie mehrere Standards verwalten, und alle Ihre Datenbanken automatisch auf neu aktualisierte Standards migrieren.

Trial anfordern

Try for free

Profitieren Sie durch die 3 monatige kostenlose Nutzung von Infopulse SCM, um herauszufinden, wie unsere Lösung Ihr Compliance-Management optimieren kann. Bitte füllen Sie dieses Formular aus, wählen Sie die Standards und Funktionen, an denen Sie interessiert sind. Unsere Berater werden Ihnen gerne ein personalisiertes Webinar basierend auf Ihrer Auswahl vorbereiten und Ihnen Schritt für Schritt alle Vorteile von SCM erklären.