Die internationale Norm ISO/IEC 27001 beschreibt ein Informationssicherheits-Managementsystem (ISMS). Ein Managementsystem besteht aus Leit- und Richtlinien, Prozessen und Verfahren, Dokumenten und Aufzeichnungen, Kontrollmechanismen und Leistungsbewertungen sowie aus Maßnahmenzielen und Maßnahmen. Das ISMS orientiert sich dabei am PDCA-Zyklus um eine kontinuierliche Verbesserung der Informationssicherheit und des Managements der Informationssicherheit zu erreichen.
Die Anforderungen an das Managementsystem sind in den Kapiteln 4 – 10 der Norm beschrieben. Diese stellen die Mindestanforderungen dar und müssen für eine erfolgreiche Zertifizierung erfüllt sein. Der Anhang A definiert Maßnahmenziele und Maßnahmen zur Verbesserung bzw. Aufrechterhaltung der Informationssicherheit. Diese Maßnahmen sind an die spezifischen Anforderungen der Organisation anzupassen und entsprechend umzusetzen.
Zertifiziert wird das Managementsystem und nicht das Sicherheitsniveau. Das zu erreichende Sicherheitsniveau definiert die Organisation, ausgehend von der Bewertung der Informationssicherheitsrisiken, selbst. Das Zertifizierungsaudit bestätigt die Einhaltung der Mindestanforderungen der Norm an das ISMS, sowie die korrekte Umsetzung der Maßnahmen des Anhang A. Korrekt heißt in diesem Zusammenhang, dass die Umsetzung entsprechend den Anforderungen der Organisation selbst erfolgt ist.
Es ist also verkehrt, davon auszugehen, dass die Zertifizierungsreife dadurch gegeben ist, dass ein hohes Sicherheitsniveau besteht. Dieses Missverständnis ist aber leider oft anzutreffen.
Eine neutrale Bewertung im Rahmen eines Vor-Audits kann hier für Klarheit sorgen.