Zertifizierung

Die Österreichische Computer Gesellschaft (OCG) zertifiziert derzeit ausschließlich Informationssicherheits-Managementsysteme (ISMS) gemäß der Norm ISO/IEC 27001:2013. 
Der hier skizzierte Zertifizierungsablauf wird speziell auf die Kunden zugeschnitten und mit ihnen abgestimmt.

Zertifizierungszyklus

Zertifizierungszyklus

Informationsphase

  • Interessensbekundung durch den Kunden gegenüber der OCG
  • Zustellung des Antragsformulars und ergänzender Informationen zum Zertifizierungsablauf
  • Erstgespräch zur Abklärung und Eingrenzung des zu zertifizierenden Bereiches
    • Unternehmensinformationen, Brancheneinordnung und persönlicher Erstkontakt mit Ansprechpersonen
    • Standorte, Personen, Systeme und Prozesse innerhalb des Scopes
    • Überblick über das bereits vorhandene ISMS
    • Zertifizierungsmodalitäten und erste Kostenabschätzung

Antragsphase

  • Übermittlung des Antragsformulars an die OCG
  • Machbarkeitsprüfung durch die OCG
  • Angebotserstellung seitens der OCG
  • Auftragserteilung seitens des Kunden
  • Vertragsunterzeichnung

Auditprozess

  • Prä-Audit (falls gewünscht)
    • Evaluierung des Reifegrades des ISMS beim Kunden (Sichtung notweniger Prozesse, Policies und Dokumente)
    • Fragenkatalog zur Ermittlung und Zuordnung vorhandener Dokumente bzw. Prozesse zu den einzelnen Kapitel bzw. Controls in der Norm sowie der Abschätzung des aktuellen Erfüllungsgrades (Gap-Analyse)
  • Stufe I Audit
    • Auditierung der Managmentsystem-Dokumentation des Kunden
    • Abweichungen werden ermittelt und Fristen für Behebung vereinbart
    • Auditreport wird erstellt
    • Erfüllung der Voraussetzungen für Stufe II Audit wird ermittelt
    • Terminvereinbarung Stufe II Audits
  • Stufe II Audit
    • Stufe II Audit beim Kunden vor Ort
    • Überprüfung der Konformität des ISMS des Kunden mit ISO/IEC 27001
    • Abweichungen werden ermittelt und Fristen für Behebung vereinbart
    • Auditreport wird erstellt

Zertifizierungsentscheidungen

  • Zertifizierungsentscheidung durch das Zertifizierungskomitee der OCG nach jedem Audit
  • Bei positiver Entscheidung Ausstellung der Zertifikatsdokumente, bei negativer Entscheidung wird die Zertifizierung verweigert
  • Nach Überwachungsaudits über Aufrechterhaltung der Zertifizierung, nach Rezertifizierung Erneruerung der Zertifizierung
  • Bei Änderungen im Scope Erweiterung bzw. Einschränkung des Geltungsbereiches (bedingt einen Neuausstellung des Zertifikates)
  • Bei nachhaltigen Nichtkonformitäten eventuell Aussetzung bzw. Zurückziehung des Zertifikates

Laufende Überwachung und Änderungen beim Kunden

  • Bei aufrechten Zertifizierungsstatus wird eine laufende Überwachung durchgeführt und die Konformität mit der Norm zu gewährleisten:
    • Eventuelle Beschwerden von Betroffenen oder anderen Dritten wird nachgegangen,
    • irreführende Verwendung der Zertifizierungszeichen oder -logos werden überwacht (z. B. auf den Webseiten der Kunden oder in Publikationen),
    • Meldungen über Änderungen des Kunden bezgl. des Scopes, des Firmennamens, dem Wegfall von Standorten, etc. werden berücksichtigt und die Zertifizierung gegebenenfalls entsprechend angepasst.
    • Falls es der Zertifizierungsstelle notwendig erscheint, wird ein Nachaudit bzw. Audit aus besonderem Anlass angesetzt.
  • Änderungen beim Kunden können zu einer Einschränkung oder Erweiterung des Geltungsbereiches der Zertifizierung führen, was zu einer Neuaustellung des Zertifikates mit dem neuen Geltungsbereich führt.
  • Bei Zweifel an der Wirksamkeit des Managementsystems kann die Zertifizierungsstelle das Zertifikat vorübergehend aussetzen oder zurückziehen.

Überwachungsaudits und Rezertifizierung

  • nach erfolgreicher Zertifizierung erfolgen jeweils nach einem Jahr Überwachungsaudits (mit kleinerem Auditumfang)
  • nach 3 Jahren neues Angebot für Rezertifizierung (Beginn neuer 3-Jahreszyklus)

Das Zertifikat

Nach erfolgreicher Zertifizierung wird dem Unternehmen ein ISO/IEC 27001-Zertifikat im Namen der Österreichischen Computer Gesellschaft ausgestellt. Dieses ist für drei Jahre gültig und trägt das Zertifizierungszeichen der OCG (siehe ganz oben links) sowie das Zertifizierungslogo der Akkreditierung Austria für die Zertifizierungsstelle der OCG.
Nach Ablauf der 3-Jahres-Frist kann das Zertifikat mit einem Rezertifizierungsaudit für weitere drei Jahre verlängert werden.

Unparteilichkeit und Behandlung von Beschwerden und Einsprüchen

Die OCG verpflichtet sich als Zertifizierungsstelle der Objektivität und Unparteilichkeit. Zu diesem Zweck wurde ein Unabhängigkeitskomitee eingerichtet, das sich mit folgenden Themen befasst:

  • Bewertung der Unabhängigkeit von möglichen Kunden der OCG vor der Angebotserstellung und auch der Abläufe innerhalb der Zertifizierungsstelle
  • Bewertung der Unabhängigkeit aller im Zertifizierungsprozess involvierter Personen (vor allem Auditoren)
  • Behandlung von Beschwerden Dritter über Kunden oder die Zertifizierungsstelle selbst
  • Einsprüche von Kunden gegen Entscheidungen des Zertifizierungskomitees

Weitere Informationen: OCG ISO 27001 Präsentation, Auszug ISMS Zertifizierungsvertrag bzw. ISO 27001 Folder