Schritt für Schritt zum Zertifikat: Die ISO 27001 Checkliste

Die Zertifizierung nach ISO 27001 gilt als international anerkannter Standard, mit dem der effektive Schutz der Informationsbestände, Daten und Geschäftsprozesse nachgewiesen werden kann. Somit wird nicht nur das Vertrauen zwischen Unternehmen, Kunden und Vendoren gestärkt, sondern auch Sales-Zyklen beschleunigt und ein echter Wettbewerbsvorteil geschaffen.

Eine Zertifizierung lohnt sich aus vielerlei Hinsicht, ist jedoch mit einigen Anforderungen verbunden. Wir haben eine Checkliste entwickelt, mit der wir Sie bei der Implementierung eines ISO-konformen ISMS unterstützen und auf den Audit vorbereiten. Los geht’s!

Schritt 1: Entwickeln Sie eine Roadmap für die Implementierung Ihres ISMS und den Zertifizierungsprozess

Ein detaillierter Plan sollte der Grundstein eines jeden erfolgreichen Projektes sein – so auch bei der Zertifizierung nach ISO 27001. Gehen Sie dabei folgende Fragestellungen durch:

• Identifizieren Sie die Hürden und Schwachstellen, die Sie während des Projekts beheben müssen
• Erstellen Sie einen Kostenplan in Abhängigkeit des Status quo Ihres ISMS, der Größe Ihres Unternehmens und der Anzahl der Mitarbeiter, die für das Projekt benötigt werden
• Definieren Sie den erwarteten Workload von der Planung bis hin zum Audit

Schritt 2: Definieren Sie den Umfang Ihres ISMS

Im Allgemeinen versteht man unter einem ISMS die Entwicklung von Richtlinien und Verfahren innerhalb eines Unternehmens, die dazu dienen die Informationssicherheit kontinuierlich zu steuern, kontrollieren und aufrechtzuerhalten. Der Umfang Ihres ISMS ist dabei von diversen Faktoren abhängig.

• Entscheiden Sie, welche Geschäftsbereiche durch das ISMS abgedeckt werden sollen
• Informieren Sie Ihre Stakeholder über den Umfang des ISMS

Schritt 3: Führen Sie ein ISMS-Aufsichtsgremium ein

Das ISMS eines Unternehmens sollte kontinuierlich überwacht und optimiert werden. Aus diesem Grund ist die Aufstellung eines Aufsichtsgremiums unerlässlich.

• Benennen Sie ein entsprechendes Gremium
• Schließen Sie das Top-Management mit ein, z.B. die Personen, die strategische Verantwortung haben und einen Einfluss auf die Ressourcenallokation ausüben können

Schritt 4: Verschaffen Sie sich einen Überblick über die Informationsbestände

In diesem Schritt sollten Sie alle Assets Ihres Unternehmens betrachten, in denen Informationen gelagert und verarbeitet werden. Die Assets sollten klassifiziert und einem Verantwortungsbereich zugeordnet werden.

• Auf welchen physischen Gegenständen werden die Informationen gespeichert und verarbeitet? Hierbei könnte sowohl Laptops als auch Server oder lokale Gebäude von Bedeutung sein
• Auch immaterielle Assets, wie beispielsweise geistiges Eigentum, sollte betrachtet werden

Schritt 5: Führen Sie eine Risikobewertung durch​

Jedes Unternehmen ist einer Vielzahl potenzieller Bedrohungen ausgesetzt. Um deren Auswirkungen zu minimieren oder sogar abzuwenden, sollten Sie die Risiken stets im Auge behalten.

• Stellen Sie ein Rahmenwerk für das Risikomanagement auf, welches einen konsistenten Umgang mit Risiken sicherstellt
• Identifizieren Sie Szenarien, in denen der Schutz von Informationen oder Systemen gefährdet sein könnte
• Bestimmen Sie sowohl die Wahrscheinlichkeit der Szenarien als auch den erwarteten Schaden im Eintrittsfall
• Evaluieren Sie den potenziellen Einfluss der Szenarien auf die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Systemen
• Bewerten Sie zudem, wie sich die Szenarien auf die Erreichung der Unternehmensziele auswirken

Schritt 6: Entwickeln Sie ein Risikoregister

Um die zuvor durchgeführte Risikobewertung zu dokumentieren und ein strukturiertes Risikomanagement sicherzustellen, sollten Sie ein entsprechendes Risikoregister entwickeln. Darin werden die Risiken aufgezeichnet, bewertet sowie Gegenmaßnahmen aufgestellt. Für die Dokumentation empfiehlt sich in den meisten Fällen ein Spreadsheet.

• Fassen Sie die identifizierten Risiken zusammen
• Stellen Sie den potenziellen Schaden und die Eintrittswahrscheinlichkeit der Risiken dar
• Entwickeln Sie Maßnahmen für jedes Risiko und setzen Sie realistische Fristen
• Bestimmen Sie eine verantwortliche Person bzw. Bereich

Schritt 7: Erstellen Sie das Statement of Applicability (SOA)

• Gehen Sie alle Maßnahmen im Anhang A der ISO 27001-Norm durch und bestimmen Sie, welche für Ihr Unternehmen relevant sind, um die ein ordnungsgemäßes Risikomanagement sicherzustellen
• Listen Sie alle Maßnahmen auf und begründen Sie deren In- bzw. Exklusion in Ihrem ISMS

Schritt 8: Erstellen Sie die Richtlinie zur Informationssicherheit

Diese Richtlinie stellt das Rahmenwerk für die Implementierung, Wartung und Optimierung Ihres ISMS sicher. Bei der Erstellung der Richtlinie sollten folgende Referenzen berücksichtig werden:

• Ziele der Informationssicherheit
• Führung und Engagement
• Rollen, Verantwortlichkeiten und Autoritäten
• Ansätze der Risikobewertung und -minimierung
• Kommunikation
• Management-Review

Schritt 9: Stellen Sie alle notwendigen Dokumente zusammen, die Sie im Rahmen des Audits benötigen

• Verschaffen Sie sich eine Übersicht über alle Dokumente, die für eine Zertifizierung nach ISO 27001 notwendig sind
• Passen Sie die Dokumente nach ihren unternehmensspezifischen Richtlinien und Prozessen an

Schritt 10: Führen Sie Mitarbeiterschulungen und Awareness-Programme ein

Dieser Schritt soll sicherstellen, dass Ihre Mitarbeiter stets mit den aktuellen Richtlinien und Prozessen vertraut sind.

• Kommunizieren Sie klar, welche Rolle die Mitarbeiter bei der Aufrechterhaltung des ISMS haben
• Spielen Sie Risikoszenarien durch und stellen Sie sicher, dass Ihre Mitarbeiter entsprechend reagieren
• Führen Sie Sanktionen für den Fall ein, dass Mitarbeiter sich nicht entsprechend der ISMS-Vorgaben verhalten

Schritt 11: Führen Sie einen internen Audit durch

Der ISO-Standard schreibt vor, dass vor dem offiziellen externen Audit ein interner “Probelauf” durchgeführt werden muss. Um diesen erfolgreich durchzuführen, sollten Sie folgende Punkte beachten:

• Wenn der Audit von internen Personen durchgeführt wird, sollten Sie Mitarbeiter mit entsprechenden Kompetenzen auswählen. Diese sollte zudem nicht an der Entwicklung und Aufrechterhaltung des ISMS beteiligt sein
• Teilen Sie die Ergebnisse des Audits mit der Geschäftsleitung und dem Aufsichtsgremium
• Lösen Sie die identifizierten Schwachstellen vor dem externen Audit

Schritt 12: Durchführung des externen ISMS-Audits im das ISO 27001-Zertifikat zu erhalten

Nun ist es endlich soweit – Sie haben alle notwendigen Anforderungen in Ihrem Unternehmen implementiert und sind nun bereits für den externen Audit. Hierfür muss ein unabhängiger Auditor beauftragt werden, der den Audit in zwei Stufen durchführt.

Wenn Sie mehr über den Ablauf des Audits erfahren möchten, klicken Sie hier.

Schritt 13: Führen Sie regelmäßige Management-Reviews durch

Nach dem Audit ist vor dem Audit: Um die Konformität Ihres ISMS zu erhalten, sind regelmäßige Beurteilungen unumgänglich. Dabei sollten folgende Aspekte beachtet werden:

• Die Reviews sollten quartalsweise, mindestens jedoch einmal im Jahr durchgeführt werden
• Stellen zu jeder Zeit die Wirksamkeit des ISMS sicher
• Führen Sie Anpassungen durch, wenn sich Risiken verändern oder diese aus anderen Gründen erforderlich sind

Mit TrustSpace zum ISO 27001-Zertifikat

Der Zertifizierungsprozess ist keineswegs einfach und erfordert finanzielle, personelle und zeitliche Ressourcen. Wir von TrustSpace haben eine Lösung entwickelt, die Ihnen den Weg zum Zertifikat signifikant vereinfacht. Durch unsere intuitive Plattform werden Sie Schritt für Schritt auf Ihrem Weg zur ISO 27001-Zertifizierung begleitet. Zudem automatisieren wird die kontinuierliche Erstellung von Wirksamkeitsnachweisen vollständig. Unsere End-to-End-Lösung ermöglicht Ihnen Einsparungen in zwei wichtigen Ressourcen-Feldern: Zeit und Geld. Mittels der automatisierten Audit-Vorbereitung können Sie den Vorbereitungsprozess um bis zu 6 Monate verkürzen. Unsere Security Engine TrustSpaceOS sorgt zudem dafür, dass Sie Kosten für externe Berater einsparen. Ein umfangreiches Dashboard bietet Ihnen zu jeder Zeit einen Einblick in den aktuellen Status Ihres ISMS. So erkennen Sie nicht nur wann sie bereit für den Audit sind, sondern können Sicherheitsrisiken frühzeitig erkennen und entsprechend angehen. Zudem bietet TrustSpace eine Vielzahl von Systemintegrationen, die auf Ihre Bedürfnisse angepasst werden können.

Starten Sie noch heute in eine sichere Zukunft und sprechen Sie mit einem unserer Experten!

‍