ISO 27001 Beratung in 5 Schritten


Geringe Kosten, reduzierter Aufwand, unkomplizierte Umsetzung – Dank unserer effizienten Implementierungsmethoden etablieren wir in nur fünf Schritten ein ISMS nach ISO 27001. Wir wenden bei unserer Beratung das Coaching-Prinzip an. Dadurch profitieren Sie von niedrigeren Beraterkosten und mehr Wissenstransfer.

ISO 27001 Beratung

Schritt 1: Kick-off

Der Kontext der Organisation und der Anwendungsbereich des ISMS werden definiert. Anschließend wir die Informationssicherheitsleitlinie formuliert. Mit einfachen Tools helfen wir Ihnen den ersten Schritt problemlos zu meistern.

Schritt 2: ISMS Implementierung

Das Asset-, Risiko- und Maßnahmen-Management sowie weitere unterstützende Prozesse werden etabliert. Wir unterstützen Sie hierbei mit unkomplizierten Best-Practice Methoden für die Umsetzung der ISMS Prozesse.

Schritt 3: ISMS Betrieb

Die implementierten Prozesse werden genutzt, um die wesentlichen Risiken zu identifizieren, zu analysieren und zu bewerten. Nicht akzeptable Risiken werden behandelt. Durch unsere Expertise vermeiden Sie typische Anfängerfehler und reduzieren teuere Korrekturen.

Schritt 4: Leistungsbewertung

Durch ein internes Audit wird die Konformität des ISMS überprüft. Vorhandene Nicht-Konformitäten werden durch Korrekturmaßnahmen beseitigt. Das Management bewertet die Leistungen des ISMS.

Schritt 5: Zertifizierung

Das Zertifizierungsaudit wird durch eine akkreditierte Zertifizierungsstelle durchgeführt. Gerne unterstützen wir Sie bei den bürokratischen Arbeiten und begleiten Sie durch das ISMS Audit.

 

Mehr zu unserer Beratung?

Was sind die ISMS Anforderungen?
Was ist der Anhang A?
Wie lege ich den Anwendungsbereich fest?
Was macht ein Informationssicherheitsbeauftragter?
Was sind Richtlinien, Prozesse und Verfahren?
Was sind Maßnahmenziele und Maßnahmen?
Wer ist Energieversorger?
Gibt es Alternativen zu ISO 27001?
Was bedeutet implementieren bzw. etablieren?
Was ist die Informationssicherheit?
Wie unterscheidet sich die Informationssicherheit von der IT-Sicherheit?
Gibt es ISMS Vorlagen?
Was ist die Definition von ISMS?
Wie viel wird die ISO 27001 Zertifizierung kosten?


Was sind die ISMS Anforderungen in ISO 27001?

Kapitel 4

Kapitel 5

Kapitel 6

Kapitel 7

Kapitel 8

Kapitel 9

Kapitel 10


Was ist der Anhang A?


Festlegen des Anwendungsbereichs

Der Anwendungsbereich (auch Geltungsbereich oder Scope genannt) beschreibt den Bereich der Organisation, in dem das ISMS Anwendung findet. Dies kann die ganze Organisation sein, nur bestimmte Bereiche/Abteilungen oder einzelne Geschäftsprozesse. Der Anwendungsbereich wird mit Hilfe der zuvor ermittelten Themen (ISO 27001, Kapitel 4.1) und Anforderungen (ISO 27001, Kapitel 4.2) sowie Schnittstellen und Abhängikeiten zu anderen Organisationen bzw. Bereichen festgelegt.

Die Grenzen des ISMS

Die durch die Definition des Scopes geschaffenen Grenzen des ISMS dürfen die Effektivität des ISMS nicht gefährden. Es dürfen also keine Bereiche oder Geschäftsprozesse ausgegrenzt werden, die den Sicherheitsanforderungen von interessierten Parteien (ISO 27001, Kapitel 4.2) unterworfen sind. Auch dürfen Elemente, die die Sicherheit im Anwendungsbereich wesentlich beeinflussen, wie z.B. ein für die Datenverarbeitung genutztes Rechenzentrum, ausgeschloßen werden. Nicht sicherheitsrelevante Bereiche können aus dem Scope genommen werden. Dies macht auch Sinn, falls den Implementierungsaufwand reduzieren will, um eine schnelle Zertifizierung erreichen.

Die Grenzen, die durch Schnittstellen zu anderen Organisationen bzw. Bereichen definiert werden, müssen sorgfältig beschrieben werden. Durch die Abgrenzung leiten sich nämlich auch die Verantwortlichkeiten, Maßnahmenziele sowie Maßnahmen für das ISMS ab. Abgrenzungen bzw. Ausnahmen sollten stets begründet werden.

Damit klar ist, was alles zum Scope gehört, muss dieser im sogenannten Scoping Statement schriftlich dokumentiert werden.

Änderungen des Anwendungsbereichs

Änderungen des Scopes bei einem bereits implementierten ISMS sind zulässig. Sie müssen sogar erfolgen, sobald sich die Themen (ISO 27001, Kapitel 4.1) und Anforderungen (ISO 27001, Kapitel 4.2) in solchem Maße verändern, dass sich die Grenzen des ISMS verschieben. Ein anderer Grund für die Änderung des Anwendungsbereichs ist die Ausdehnung des ISMS auf bisher nicht einbezogene Bereiche oder Standorte. Aber auch der Weg in die andere Richtung ist denkbar. Wurde zuvor die ganze Organisation als Scope festgelegt und anschließend festgestellt, dass der Umfang zu komplex bzw. groß ist, kann eine Verkleinerung des Scopes angestrebt werden.

Audit im Anwendungsbereichs

Der Scope legt auch den Bereich fest, der bei einer Zerifizierung auditiert wird. Daher muss für den Auditor aus dem Scoping Statement klar ersichtlich sein, was alles zum Scope gehört. Insbesondere wenn sich der Scope über mehrere Standorte erstreckt, muss das dem Auditor mitgeteilt werden, damit er den Besuch der unterschiedlichen Standorte planen kann.


Was macht ein Informationssicherheitsbeauftragter?

Des Weiteren kann es die Rolle „ISMS Beauftragter“ geben. Diese Person ist verantwortlich für die Umsetzung, Etablierung und Verbesserung des ISMS.


Was sind Richtlinien, Prozesse und Verfahren?

Richtlinie

Durch das Management freigegebenes Regelwerk für die Erreichung eines Ziels.
Z.B. Mobile Device Policy.

Prozess

Ein Satz von Aktivitäten und Verantwortlichkeiten, die Inputs in Outputs umwandeln.
Z.B. Change Management.

Verfahren

Die Art und Weise, wie ein Prozess abgewickelt wird.
Z.B. Verfahren für Emergency Changes

Bei der Implementierung von Maßnahmen kann man relevante Prozesse von den Richtlinien ableiten. Anschließend kann man zu den abgeleiteten Prozessen Verfahren definieren. So kann man bspw. von der  Security Incident Richtlinie einen Security Incident Managementprozess ableiten und hierzu ein Notfallverfahren dokumentieren.


Was sind Maßnahmenziele und Maßnahmen?

In der ISO 27001 gibt es 35 Maßnahmenziele und 114 Maßnahmen. Maßnahmenziele gruppieren Maßnahmen. Jedes Maßnahmenziele hat mindestens eine Maßnahme. Um das jeweilige Maßnahmenziel zu erreichen, müssen die definierten Maßnahmen umgesetzt werden. Die Maßnahmenziele und Maßnahmen findet man im Anhang A der ISO/IEC 27001. Dieser Teil der Norm ist ebenso wie die vorangehenden Kapitel normativ.


Wer ist Energieversorger?


Gibt es Alternativen zu ISO 27001?

Zwei Alternativen zu ISO 27001 sind ISIS12 und BSI (Bundesamt für Sicherheit in der Informationstechnik). ISIS12 bietet eine Methode an, um ein Informationssicherheitsmanagementsystem in 12 Schritten zu etablieren. Das BSI veröffentlicht in regelmäßigen Abständen das BSI Grundschutz Kompendium (früher: BSI Grundschutzkatalog) und Standards für die Informationssicherheit. Der Aufwand für die Implementierung von ISIS12 ist kleiner und der vom BSI Grundschutz größer als bei ISO 27001.


Was bedeutet implementieren bzw. etablieren?


Was ist die Informationssicherheit?

Laut Definition ist die Informationssicherheit die Aufrechterhaltung des Schutzes von Informationen. Dabei bezieht sich der Schutz der Informationen auf die drei Hauptaspekte der Informationssicherheit: Vertraulichkeit, Integrität und Verfügbarkeit. Allerdings kann es neben diesen Aspekten auch andere Sicherheitsziele geben wie die Authentizität, Verlässlichkeit, Nachvollziehbarkeit oder Zurechenbarkeit.

Vertraulichkeit

Die Vertraulichkeit von Daten ist dann gewährleisten, wenn keine unberechtigte Person (oder Objekt) die Information einsehen kann. Sie wird oft durch die Verschlüsselung der Daten realisiert.

Beispiele für die Verletzung der Vertraulichkeit:

  • Ein Angreifer liest Daten, die im Netzwerk zwischen zwei Parteien ausgetauscht werden und nicht für Dritte bestimmt sind, mit.
  • Ein vertraulicher Brief wird in den Papierkorb geschmissen. Eine dritte Person fischt das Dokument heraus und liest es.

Integrität

Die Integrität beschreibt die Unversehrtheit von Informationen. Demnach dürfen Daten nicht unberechtigt verändert, gelöscht oder ergänzt werden.

Vefügbarkeit

Die Verfügbarkeit bezieht sich auf die Erreichbarkeit von Informationen bzw. IT-Systemen. Sollten diese unberechtigterweise nicht erreichbar sein, so ist die Verfügbarkeit gestört.


Unterschied zwischen Informationssicherheit und IT-Sicherheit

IT-Sicherheit ist ein Teilgebiet der Informationssicherheit und bezieht sich vorrangig auf IT-Systeme, die Informationen tragen. Die Informationssicherheit betrachtet jedoch auch die Bereiche physische Sicherheit und organisatorische Sicherheit.


Gibt es ISMS Vorlagen?


Was ist die Definition von ISMS?

ISMS ist die Abkürzung für Informationssicherheitsmanagementsystem. Andere Managementsysteme sind z.B. ISO 9001 für Qualitätsmanagement oder ISO 20000-1 für IT-Service-Management.


Wie viel wird die ISO 27001 Zertifizierung kosten?

 

Wollen Sie mehr erfahren?

ISO 27001 Schulung