Zertifizierungsverfahren

Die FiduCert GmbH befindet sich derzeit im Akkreditierungsverfahren gemäß DIN EN ISO/IEC 17021:2015 bei der Deutschen Akkreditierungsstelle (DAkkS). Im Rahmen der Akkreditierung werden folgende Normen abgedeckt: ISO/IEC 27001:2013 Informationssicherheitsmanagement

Antrag

Für eine Zertifizierung ist es erforderlich, dass die Institution, die zertifiziert werden möchte, einen formellen Antrag stellt. Dieser Antrag kann entweder per E-Mail oder per Post an die Geschäftsstelle von FiduCert gesendet werden. Bei Bedarf besteht die Möglichkeit, ein Informationsgespräch mit der Geschäftsstelle zu vereinbaren, um den Antrag korrekt auszufüllen. Sobald der Antrag bei FiduCert eingegangen ist, erfolgt eine schriftliche Bestätigung.

FiduCert führt im ersten Schritt eine Prüfung durch, um festzustellen, ob alle erforderlichen Informationen für das Zertifizierungsverfahren vorhanden sind. Falls notwendig, werden zusätzliche Informationen angefordert. Bei erfolgreicher Prüfung und Verfügbarkeit aller erforderlichen Informationen wird der Zertifizierungsprozess fortgesetzt.

Erst-Zertifizierung

Der Zertifizierungsprozess besteht aus zwei Audits: dem Audit der Stufe 1 und dem Audit der Stufe 2.

Audit Stufe 1

In der ersten Stufe des Audits wird die Bereitschaft des Unternehmens, das zertifiziert werden möchte, überprüft. Dabei wird festgestellt, ob ein Audit der zweiten Stufe durchgeführt werden kann. Der Auditor bewertet nach den inhaltlichen Prüfungen, ob die im Rahmen der Verfahrensplanung festgelegten Ressourcen, Aufwände und Kompetenzen für die zweite Stufe ausreichend sind oder ob Anpassungen erforderlich sind. Das Ergebnis wird im Bericht der ersten Stufe dokumentiert und gegebenenfalls mit der Zertifizierungsstelle abgestimmt.

Audit Stufe 2

Die zweite Stufe des Audits zielt darauf ab, die Wirksamkeit der im Management festgelegten Verfahren zu überprüfen. Es wird überprüft, ob die Prozessbeschreibungen und Verfahren den Anforderungen der ISO/IEC 27001 entsprechen. Zudem wird die Umsetzung und praktische Anwendung in Bezug auf die internen Vorgaben der zu auditierenden Organisation sowie der ISO/IEC 27001 geprüft.

Zertifizierungsentscheidung

FiduCert trifft eine Zertifizierungsentscheidung auf Basis der Auditdokumentation und der Empfehlung des Auditteams. Diese Entscheidung kann die Erteilung, Verweigerung, Aufrechterhaltung, Erweiterung, Einschränkung, Aberkennung oder Wiedereinsetzung des Zertifikats umfassen. Bei Bedarf kann FiduCert zusätzliche Nachweise vom Auftraggeber anfordern. Die Zertifikatserteilung erfordert die fristgerechte Behebung von identifizierten Abweichungen und den Nachweis, dass alle Anforderungen der Zertifizierungsgrundlage erfüllt sind. Eine erfolgreiche Erst-Zertifizierung wird mit der Ausstellung eines Zertifikats für einen Zeitraum von 3 Jahren abgeschlossen.

Überwachungsaudit

Um die Effektivität des ISMS (Information Security Management System) langfristig zu gewährleisten, sind regelmäßige Überwachungsaudits nach der Erst-Zertifizierung erforderlich. Das erste Überwachungsaudit muss innerhalb von 12 Monaten nach Abschluss der Erst-Zertifizierung durchgeführt werden. Alle weiteren Überwachungsaudits finden im Abstand von 12 Monaten statt, wobei eine Toleranz von +/- 3 Monaten gewährt wird. Bitte beachten Sie, dass eine Verschiebung in ein anderes Kalenderjahr nicht möglich ist.

Re-Zertifizierung

Nach Abschluss des zweiten Überwachungsaudits steht ein Re-Zertifizierungsaudit an. Dieses umfasst eine erneute Bewertung der Effektivität des ISMS sowie der grundlegenden Verfahren. Das Hauptziel des Re-Zertifizierungsaudits besteht darin, die fortlaufende Konformität und Wirksamkeit des ISMS insgesamt sowie dessen andauernde Relevanz und Anwendbarkeit auf den zertifizierten Bereich zu bestätigen. Die Inhalte des Re-Zertifizierungsaudits orientieren sich in der Regel an denjenigen eines Stufe 2 Audits.

Das Re-Zertifizierungsaudit muss vollständig abgeschlossen sein, bevor das aktuelle Zertifikat seine Gültigkeit verliert. Alle Schritte innerhalb des Audits, einschließlich der Zertifikatserteilung, müssen innerhalb dieses Zeitraums abgeschlossen sein.