Jul 01, 2019

ISO 27001-Checkliste: Vorbereitung auf die Zertifizierung

Zu den beliebtesten Frameworks für die Verwaltung und den Schutz von Informationswerten gehört ISO 27001, eine international anerkannte Norm. Im Wesentlichen enthält sie praktische Richtlinien für die Gestaltung eines effizienten Informationssicherheits-Managementsystems (ISMS), damit Unternehmen ihre Daten sichern können.
ISO27001 Compliance check

Wie können Sie sich aber sicher sein, dass Sie gut auf die Zertifizierung vorbereitet sind, wenn die Implementierungsphase abgeschlossen ist? Unsere ISO 27001-Checkliste soll Ihnen bei der Beantwortung dieser Frage helfen.

Inhaltsverzeichnis:

Ermittlung des aktuellen Stands

Sieben Punkte nach ISO 27001 zum Checken:

• Kontext der Organisation

• Führung

• Planung

• Support

• Betrieb

• Bewertung der Performance

• Optimierung

Anwendung der ISO 27001-Checkliste

Erwartungen an ISO 27001 

Unternehmen geben sich große Mühe, ein ISMS zu erstellen – sie folgen strikt dem Informationssicherheitsstandard ISO 27001, implementieren robuste GRC-Lösungen, besuchen kostspielige Schulungen und unterziehen sich nervenaufreibenden Audits.

Um Ihnen Stress zu ersparen, möchten wir Ihnen eine kurze Version der ISO 27001-Checkliste der globalen Normungsorganisation an die Hand geben, damit Ihr Unternehmen sich auf die ISO 27001-Zertifizierung vorbereiten kann.

Ermittlung des aktuellen Stands

In der Vorzertifizierungsphase konzentriert man sich hauptsächlich darauf, sich in der Organisation mit den Prinzipien von ISO 27001 vertraut zu machen und die Rollen der einzelnen Personen zu verstehen sowie Ihre Aktivitäten und Prozesse anhand des Standards zu bewerten.

Die Checkliste umfasst sieben Punkte mit insgesamt 63 Fragen. Das Ausfüllen des Fragebogens liefert die für die Analyse erforderlichen Informationen.

Die sieben Punkte, die Sie gründlich prüfen müssen, bevor Sie sich nach ISO 27001 zertifizieren lassen, sind:

  • Kontext der Organisation
  • Führung
  • Planung
  • Support
  • Betrieb
  • Bewertung der Performance

Sieben Punkte nach ISO 27001 zum Checken

Schauen wir uns nun die einzelnen Konzepte der Checkliste für ISO 27001 genauer an.

1. Kontext der Organisation 

Einfach ausgedrückt ist der Kontext der Organisation das Geschäftsumfeld, das durch externe und interne Probleme bestimmt wird, die sich auf das ISMS einer Organisation auswirken können. Externe Probleme können finanzielle, rechtliche, regulatorische und soziale Faktoren umfassen, während interne Probleme die Struktur, die Ressourcen und das Management des Unternehmens betreffen.

Um den Kontext Ihrer Organisation zu beschreiben, sollten Sie alle externen und internen Faktoren ermitteln, die für Ihr Unternehmen, Ihre Daten und die Ihnen von anderen Parteien anvertrauten Informationen relevant sind.

Sie können auch alle interessierten Parteien und Stakeholder sowie ihre Relevanz für die Daten definieren. Sie müssen die Verpflichtungen für die interessierten Parteien bestimmen, einschließlich gesetzlicher, behördlicher oder vertraglicher Anforderungen.

Danach können Sie den Umfang Ihres Informationssicherheits-Managementsystems unter Berücksichtigung der strategischen Ausrichtung Ihres Unternehmens, seiner Ziele und der Anforderungen an die interessierten Parteien festlegen. Schließlich können Sie aufzeigen, wie Sie das ISMS in Übereinstimmung mit ISO 27001 einrichten, implementieren, unterstützen und verbessern.

2. Führung 

Das Top-Management Ihres Unternehmens muss seine Hingabe, seine Führung und sein Engagement unter Beweis stellen, indem das Informationssicherheits-Managementsystem und die Sicherheitsrichtlinien entsprechend der Unternehmensstrategie durchgesetzt werden. Es liegt auch in der Verantwortung der Führung, allen Beteiligten die Bedeutung der ergriffenen Maßnahmen zu vermitteln.

3. Planung 

Im Rahmen der Planung werden die Maßnahmen Ihres Unternehmens zum Umgang mit Informationssicherheitsrisiken konzipiert. Für eine erfolgreiche ISO 27001-Zertifizierung müssen Sie die Erklärung zur Anwendbarkeit der ISO 27001 (Statement of Applicability, SoA) entwickeln. Das SoA-Dokument verdeutlicht, welche Sicherheitsmaßnahmen im Anhang A Sie in das ISMS Ihrer Organisation aufgenommen oder davon ausgeschlossen haben und warum.

Darüber hinaus wird in dieser Phase festgelegt, wie Informationssicherheitsziele definiert werden müssen und welche Eigenschaften sie haben müssen.

4. Support

Die Hauptthemen beim Support sind die Ressourcen, die richtige Infrastruktur, die Kompetenz der Mitarbeitenden, das Bewusstsein und die Kommunikation zur Einrichtung, Verbesserung und Aufrechterhaltung des ISMS in Ihrer Organisation. Eine weitere Anforderung ist die Erfassung von Informationen nach ISO 27001. Die Daten müssen dokumentiert, aktualisiert und verwaltet werden.

5. Betrieb 

Das Ziel bei diesem Punkt besteht darin, die obligatorischen Prozesse zur Implementierung der Informationssicherheit auszuführen. Diese Prozesse müssen geplant, implementiert und kontrolliert werden. In dieser Phase muss das Management die geplante Bewertung und Behandlung von Risiken umsetzen. Darüber hinaus müssen Sie den Risikobehandlungsplan erfüllen und die Ergebnisse dokumentieren.

6. Bewertung der Performance 

Hierbei geht es darum, über das kontinuierliche Monitoring, entsprechende Messungen und Analysen zu bewerten, wie effektiv Ihr Informationssicherheitsmanagementsystem ist. Dafür ist das Wissen erforderlich, welche Informationen analysiert werden sollten, um die Wirksamkeit Ihres ISMS zu bewerten. Außerdem müssen Sie in festgelegten Abständen interne und externe Audits durchlaufen.

7. Optimierung 

Die Optimierung betrifft Ihre Handlungsbereitschaft und die Methoden, mit denen Sie auf Abweichungen reagieren, diese beheben und mit den Ergebnissen umgehen. Außerdem sind Erläuterungen dazu notwendig, wie Sie die Ursachen für ähnliche Abweichungen beseitigen wollen, damit diese in der Zukunft nicht mehr auftreten.

Anwendung der ISO 27001-Checkliste

Nehmen Sie sich Zeit, die Fragen sorgfältig durchzulesen und die Kästchen auf der Liste anzukreuzen. Allerdings sollten Sie bedenken, dass danach nicht sofort ein klares Bild entstehen kann. Die gesammelten Daten müssen anhand einer bestimmten Methode analysiert werden, um die Punktzahl zu berechnen, Ihre Position im Compliance-Prozess zu identifizieren und eine Schlussfolgerung zu formulieren. 

Es kann etwas kompliziert sein, die Methode anzuwenden und das Ergebnis selbst herauszufinden. Um diese herausfordernde Aufgabe an die richtigen Fachleute zu delegieren, könnte es sinnvoll sein, professionelle Compliance-Berater zu engagieren.

Eine weitere Möglichkeit, Compliance-Prozesse einfacher ablaufen zu lassen, ist der Einsatz von zuverlässigen und effektiven Softwarelösungen, die von Sicherheitsexperten erstellt werden und in der Regel eine Reihe von unterstützenden Dienstleistungen beinhalten.

Bei der Infopulse GmbH bieten wir sowohl die Compliance-Beratung als auch das ISO 27001-Softwaretool Infopulse Standards Compliance Manager mit vollständiger Unterstützung für die ISMS-Implementierung an, die von der Zielbestimmung bis hin zu automatisierten regelmäßigen Audits des Compliance-Status Ihres Unternehmens gemäß ISO 27001 oder anderen Standards führt.

Erwartungen an ISO 27001

Die Zertifizierung nach ISO 27001 ebnet den Weg zu vielen herausragenden Zielen:

  • Schutz des Unternehmens, seines Rufs und Wertsteigerung
  • Sicherheit für die Partner und Kunden des Unternehmens und ihre Daten
  • Mehr Umsatz und weniger Risiken für eine Organisation 
  • Optimierte Prozesse durch die Compliance gemäß Best Practices und Normen

Infopulse Standards Compliance Manager bietet die komplette Unterstützung auf dem Weg zur ISMS-Implementierung an, von der Definition des Umfangs Ihres Informationssicherheits-Managementsystems bis hin zu automatisierten regelmäßigen Audits des Compliance-Status Ihres Unternehmens gemäß ISO 27001 oder einem anderen Standard.

ISO 27001-Checkliste

Diese Checkliste ist eine Version des BSI-Fragebogens zu ISO/IEC 27001:2013 für die Selbstbewertung, der dazu dienen soll, das Informationssicherheits-Managementsystem Ihres Unternehmens auf die Bereitschaft vor einer ISO/IEC 27001:2013-Zertifizierung hin zu überprüfen.

Kostenfreies Konto

Kontaktieren Sie uns, um einen unverbindlichen Testzugang zu erhalten

    Welche Standards interessieren Sie?

    Mit dem Setzen des Hakens akzeptiere ich die Datenschutzrichtlinien und stimme zu, weitere Informationen zu meiner Anfrage und zum Produkt "Compliance Aspekte" zu erhalten. Ich verstehe, dass ich die Compliance Aspekte Updates jederzeit abbestellen kann.