Zertifizierungsablauf

• Interessensbekundung durch den Kunden gegenüber der OCG
• Zustellung des Antragsformulars und ergänzender Informationen zum Zertifizierungsablauf
• Erstgespräch zur Abklärung und Eingrenzung des zu zertifizierenden Bereiches
  • Unternehmensinformationen, Brancheneinordnung und persönlicher Erstkontakt mit Ansprechpersonen
  • Standorte, Personen, Systeme und Prozesse innerhalb des Scopes
  • Überblick über das bereits vorhandene ISMS
  • Zertifizierungsmodalitäten und erste Kostenabschätzung

• Übermittlung des Antragsformulars an die OCG
• Machbarkeitsprüfung durch die OCG
• Angebotserstellung seitens der OCG
• Auftragserteilung seitens des Kunden
• Vertragsunterzeichnung

Auszug des ISMS Zertifizierungsvertrags: Download 

• Prä-Audit (falls gewünscht)
  • Evaluierung des Reifegrades des ISMS beim Kunden (Sichtung notweniger Prozesse, Policies und Dokumente)
  • Fragenkatalog zur Ermittlung und Zuordnung vorhandener Dokumente bzw. Prozesse zu den einzelnen Kapitel bzw. Controls in der Norm sowie der Abschätzung des aktuellen Erfüllungsgrades (Gap-Analyse)
• Stufe I Audit
  • Auditierung der Managementsystem-Dokumentation des Kunden
  • Abweichungen werden ermittelt und Fristen für Behebung vereinbart
  • Auditreport wird erstellt
  • Erfüllung der Voraussetzungen für Stufe II Audit wird ermittelt
  • Terminvereinbarung Stufe II Audits
• Stufe II Audit
  • Stufe II Audit beim Kunden vor Ort
  • Überprüfung der Konformität des ISMS des Kunden mit ISO/IEC 27001
  • Abweichungen werden ermittelt und Fristen für Behebung vereinbart
  • Auditreport wird erstellt

• Zertifizierungsentscheidung durch das Zertifizierungskomitee der OCG nach jedem Audit
• Bei positiver Entscheidung Ausstellung der Zertifikatsdokumente, bei negativer Entscheidung wird die Zertifizierung verweigert
• Nach Überwachungsaudits über Aufrechterhaltung der Zertifizierung, nach Rezertifizierung Erneuerung der Zertifizierung
• Bei Änderungen im Scope Erweiterung bzw. Einschränkung des Geltungsbereichs (bedingt eine Neuausstellung des Zertifikates)
• Bei nachhaltigen Nichtkonformitäten eventuell Aussetzung bzw. Zurückziehung des Zertifikats

• Bei aufrechtem Zertifizierungsstatus wird eine laufende Überwachung durchgeführt, um die Konformität mit der Norm zu gewährleisten:
  • Eventuelle Beschwerden von Betroffenen oder Dritten wird nachgegangen.
  • Irreführende Verwendung der Zertifizierungszeichen oder -logos werden überwacht (z. B. auf den Webseiten der Kunden oder in Publikationen).
  • Meldungen über Änderungen des Kunden bezgl. des Scopes, des Firmennamens, dem Wegfall von Standorten etc. werden berücksichtigt und die Zertifizierung gegebenenfalls entsprechend angepasst.
  • Falls es der Zertifizierungsstelle notwendig erscheint, wird ein Nachaudit bzw. Audit aus besonderem Anlass angesetzt.
• Änderungen beim Kunden können zu einer Einschränkung oder Erweiterung des Geltungsbereiches der Zertifizierung führen, was zu einer Neuausstellung des Zertifikates mit dem neuen Geltungsbereich führt.
• Bei Zweifel an der Wirksamkeit des Managementsystems kann die Zertifizierungsstelle das Zertifikat vorübergehend aussetzen oder zurückziehen.

• Nach erfolgreicher Zertifizierung erfolgen jeweils nach einem Jahr Überwachungsaudits (mit kleinerem Auditumfang).
• Nach 3 Jahren wird ein neues Angebot für Rezertifizierung (Beginn neuer 3-Jahreszyklus) erstellt.

• Nach erfolgreicher Zertifizierung wird dem Unternehmen ein ISO/IEC 27001-Zertifikat im Namen der Österreichischen Computer Gesellschaft ausgestellt. Dieses ist für drei Jahre gültig und trägt das Zertifizierungszeichen der OCG sowie das Zertifizierungslogo der Akkreditierung Austria für die Zertifizierungsstelle der OCG.
• Nach Ablauf der 3-Jahres-Frist kann das Zertifikat mit einem Rezertifizierungsaudit für weitere drei Jahre verlängert werden.

Die OCG verpflichtet sich als Zertifizierungsstelle der Objektivität und Unparteilichkeit. Zu diesem Zweck wurde ein Unabhängigkeitskomitee eingerichtet, das sich mit folgenden Themen befasst:

• Bewertung der Unabhängigkeit von möglichen Kunden der OCG vor der Angebotserstellung und auch der Abläufe innerhalb der Zertifizierungsstelle
• Bewertung der Unabhängigkeit aller im Zertifizierungsprozess involvierter Personen (vor allem Auditor*innen)
• Behandlung von Beschwerden Dritter über Kunden oder über die Zertifizierungsstelle selbst
• Einsprüche von Kunden gegen Entscheidungen des Zertifizierungskomitees