Die Anforderungen an ein Informationssicherheitsmanagementsystem sind in der ISO 27001 dargelegt. Nur danach kann zertifiziert werden. Alle anderen Standards dieser Normenfamilie (ausser ISO 27006) sind Leitfäden und nicht zertifizierbar.

Die ISO 27006 ist nur für die Zertifizierstellen relevant. Sie definiert die Anforderungen an die Auditoren, Zertifizierungsabläufe und auch die Berechnung der aufzuwendenden Auditzeit.

Die oben erwähnten Guidelines geben eine Hilfestellung bei der Definition von wirksamen Massnahmen zur Sicherstellung der Informationssicherheit oder zu speziellen Themen wie z. B. das Risk Assessment. Die branchenspezifischen Leitfäden stützen sich dabei immer auf die sehr gute generische Sammlung von Best Practices der ISO 27002 ab. Es ist zu erwarten, dass weitere Leitfäden für andere Branchen erarbeitet werden.

Erwähnenswert ist hier auch noch der BS 25999 Business Continuity Management, ein wichtiger Aspekt der Informationssicherheit.

Viele weitere Publikationen zum Thema lassen sich auf dem Internet finden: Gefährdungskataloge, Checklisten, Risk Assessment Methoden, … . Beispielhaft sind da die Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik BSI genannt, das füre sein Grundschutzhandbuch bekannt ist. Weitere links finden sich im Kapitel ‚Wissenspool’.

Interessante Links zum Thema:

Melde- und Analysestelle Informationssicherung   
Newsletter, sehr informative Halbjahresberichte

Information security society of Switzerland, Swiss ICT
Infos, Veranstaltungen

Bundesbehörden der Schweizerischen Eidgenossenschaft
search.admin.ch
Suche nach Stichworten im Archiv der Bundesbehörden, Gesetze

ENISA European Network and Information Security Agency
www.enisa.europa.eu
Reports, Working Groups, Conferences, ..

Bundesamt für Sicherheit in der Informationstechnik BSI
www.bsi.de
Grundschutzhandbuch, Formulare, Checklisten, Webkurs, …
enorm viel Material

Verein zur Förderung der Informationssicherheit
www.infosurance.ch
Arbeitsblätter, Netzwerk, Sicherheits-HB, …

Recherche und Kauf von Normen
www.snv.ch , infostore.saiglobal.com , www.bsigroup.com , www.ansi.org
Normen

International Standardization Organization
www.iso.org
Infos rund um Normen

Swiss Safety Center AG
www.safetycenter.ch
Zertifizierungen, Checklisten, Seminare

heise-Verlag
www.heise.de/newsletter
Sehr gute Newsletter zu verschiedenen Themen

IT-Security-Portal
www.securitymanager.de     
Infos

Information Security
www.CIO.de                       
Infos für ITK-Entscheider, Newsletter

ISO 27001 Security Portal
http://www.iso27001security.com/html/site_map.html   
Gute Informationen zu den Standards, kommerzieller Hintergrund

ISMS Portal
http://www.gammassl.co.uk
Webseite von Dr. David Brewer, sehr viel Material

Kurse der Swiss Safety Center Akademie

Wir bieten zum Thema Informationssicherheit Seminare an:

• ISO 27001 Lead Auditor Kurs (5 Tage)
• Managementbriefing
• ISO 27001 Grundkurs (1 Tag)
• ISO 27001 Implementierungskurs (2 Tage)
• ISO 27001 Akkreditierter

und zu verwandten Themen wie

Risikomanagement in der IT

Der Zertifizierungsablauf ist praktisch identisch mit demjenigen von ISO 9001, ISO 14001, etc. und basiert natürlich ebenso auf den Anforderungen an eine Qualitäts-Managementsystem-Akkreditierung:

• Stufe 1: Dokumentenprüfung
• Stufe 2: Audit vor Ort
• Auditbericht
• Zertifikat mit 3-jähriger Gültigkeit
• Jährliche Überwachungsaudits

Was kostet eine Zertifizierung

Umfang und somit Kosten der Zertifizierung hängen von der Grösse der Organisation, vom Geltungsbereich und von der Kritikalität ab. Gemäss den Vorgaben der ISO 27006 wird dann ein Angebot erstellt. Je nach weiteren Einflussfaktoren (z.B. Anzahl Standorte) kann die Auditzeit verkürzt oder verlängert werden. Ein konkretes Angebot kann erst auf Basis eines Gesprächs mit dem Interessenten gemacht werden