5 Tipps zur Vorbereitung auf die ISO 27001 Zertifizierung von echten Auditoren
Die Vorbereitung auf die ISO 27001 Zertifizierung beinhaltet viele verschiedene Aspekte. Sind alle Ihre Richtlinien und Dokumente in Ordnung? Haben Sie ausreichende Nachweise, dass Ihr ISMS alle Compliance-Anforderungen erfüllt? Haben Sie alle notwendigen Aspekte des Risikomanagements behandelt?
Um Ihnen zu helfen, haben wir ehemalige ISO-Leitende Auditoren nach ihren bewährten Erkenntnissen und Best Practices für die Vorbereitung und Durchführung des ISO 27001 Zertifizierungsprozesses gefragt.
Sie können sie unten lesen oder die Webinar-Aufzeichnung ansehen, in der Cavan Leung, Compliance-Manager bei Secureframe, sowie Tom Rozen und Elad Motola, CRO und COO bei Consilium Labs, vorgestellt werden.
Zertifizierung für ISO 27001
ISO 27001 umfasst einen Zertifizierungsprozess, um offiziell konform zu werden. Der Zertifizierungsprozess beinhaltet ein Audit, das von einer akkreditierten Auditfirma, auch bekannt als Zertifizierungsstelle, durchgeführt werden muss.
Die Stufen der ISO 27001 Zertifizierung sind wie folgt:
- Jahr 1 - Erstzertifizierungsaudit: Dies ist das erste Mal, dass eine Organisation die ISO 27001 Zertifizierung durchläuft. Dieses Audit ist in „Phase 1“ und „Phase 2“ innerhalb desselben Jahres unterteilt und umfasst 100% der ISO 27001 Anforderungen. Nachdem die Organisation das Audit der Phase 2 erfolgreich bestanden hat, erhält sie ihr ISO 27001 Zertifikat. Dieses Zertifikat ist drei Jahre gültig, vorbehaltlich jährlicher Überwachungsaudits.
- Jahre 2 und 3 - Überwachungsaudit: In dieser Phase ist ISO 27001 bereits in der Organisation etabliert. Die Auditoren prüfen in der Regel alle Anforderungen des ISMS-Rahmens und eine Stichprobe der Anhang A-Kontrollen, um sicherzustellen, dass das ISMS weiterhin wirksam ist und ordnungsgemäß verwaltet wird.
- Jahr 4 - Rezertifizierungsaudit: Dies ist der Zeitpunkt, an dem das ISO 27001 Zertifikat abläuft. Während eines Rezertifizierungsaudits bewerten die Auditoren das ISMS und stellen sicher, dass alle ISO 27001-Anforderungen erfüllt sind, um die Organisation für weitere drei Jahre zu rezertifizieren.
Empfohlene Lektüre
Was ist ISO 27001 Zertifizierung?
Wie man sich auf die ISO 27001 Zertifizierung vorbereitet
Im Folgenden sind Möglichkeiten aufgeführt, wie häufige Herausforderungen und Schmerzpunkte angegangen werden können, mit denen Organisationen konfrontiert sind, wenn sie sich auf den ISO 27001-Zertifizierungsprozess vorbereiten und diesen abschließen.
1. Erwartung, am ISO 27001-Audit-Prozess teilzunehmen.
ISO 27001-Zertifizierungsaudits sind interaktiver, als viele Organisationen erwarten, insbesondere wenn es sich um das erste Audit handelt.
Nach der Stufe 1 Dokumentationsprüfung muss der ISO 27001-Auditor seine Ergebnisse durch eine Reihe von Interviews validieren. Beispielsweise umfasst die Steuerung A.5 von Anhang A Informationssicherheitspolitiken. Während der Stufe 1 überprüft der Auditor Richtliniendokumente und Nachweise zur Überprüfung/Akzeptanz durch Mitarbeiter. In Stufe 2 interviewt der Auditor das Management und andere wichtige Interessengruppen, um zu überprüfen, ob es einen regelmäßigen Prozess gibt, um Richtlinien innerhalb der Organisation zu verbreiten, zu überprüfen und zu aktualisieren.
Im Folgenden sind einige häufige Fragen aufgeführt, die Kunden während dieser Interviews von ihren Prüfern erwarten können.
- Interessierte Parteien: Wenn Sie eine generische Liste eingereicht haben, wird der Auditor Sie wahrscheinlich bitten, bei der Auflistung der für den Kunden relevanten interessierten Parteien spezifischer zu sein.
- Kontext der Organisation: Wenn interne und externe Probleme nicht definiert sind, wird der Auditor Sie wahrscheinlich bitten, diese mithilfe des Risikobewertungsprozesses zu definieren.
- Beschriftung: Wenn Sie Ihre Richtlinien und Verfahren nicht gemäß einer vordefinierten Klassifikationsmatrix kennzeichnen, wird der Auditor Sie wahrscheinlich bitten, dies zu tun.
Wie kann Secureframe helfen?
Secureframe kann diese Interaktionen zwischen Ihnen und Ihrem Auditor minimieren und erleichtern. Es bietet alle notwendigen ISO 27001-Richtlinienschablonen, die Sie für Ihre einzigartige Organisation anpassen können. Es ermöglicht Ihnen auch, diese Richtlinien zu überprüfen, zu aktualisieren und zu verbreiten, damit Mitarbeiter sie in einem Dashboard überprüfen und akzeptieren können.
Ihr dedizierter Secureframe-Compliance-Manager kann auch beim Validierungsprozess helfen, Fragen zu Scope oder anderen Teilen des Prozesses beantworten und zusätzliche Nachweise anfordern, die Ihr Auditor möglicherweise benötigt.
2. Management einbeziehen.
Auditoren müssen überprüfen, ob die Leitung die endgültige Verantwortung für den Aufbau und die Aufrechterhaltung eines effektiven ISMS übernommen hat. Dazu gehört auch, angemessene Zeit und Ressourcen für die Überwachung und Verbesserung des ISMS im Laufe der Zeit bereitzustellen. Dies ist eine zwingende Voraussetzung der ISO 27001.
Wie kann Secureframe helfen?
Die Secureframe-Plattform bietet kontinuierliche Überwachung und Echtzeit-Benachrichtigungen über Nichtkonformitäten, sodass Ihre Organisation das ISMS im Laufe der Zeit überwachen, messen und verbessern und bei Bedarf Korrekturmaßnahmen ergreifen kann. Die Plattform ermöglicht es Ihnen auch, Kontrollen und Tests an Einzelpersonen zuzuweisen und Benachrichtigungen zu erhalten, wenn diese fehlschlagen oder wiederholt werden müssen.
Dies wird Ihnen helfen, die ISO 27001-Anforderung für die Managementüberprüfung sowie andere Anforderungen zu erfüllen.
3. Verstehen Sie Ihre Risikomanagementstrategie.
Organisationen sollten verstehen, wie die Erklärung zur Anwendbarkeit, das Risikoregister, die Schwachstellenbewertung/Penetrationstests und andere Dokumentationen miteinander in Beziehung stehen und zusammenarbeiten, um ihre Risikomanagementstrategie zu bilden. Diese Strategie besteht typischerweise aus den folgenden vier Komponenten, um jede der untenstehenden Fragen zu beantworten.
- Risikobewertung: Welche Risiken hat Ihr Unternehmen?
- Penetrationstests/Schwachstellenbewertung: Gibt es noch andere Schwachstellen, die zu Ihrem Gesamtrisikoprofil beitragen?
- Risikoregister/Risikobehandlung: Wie planen Sie, diese Risiken zu priorisieren und zu mindern?
- Erklärung zur Anwendbarkeit: Wie sieht dieser Plan in der Praxis aus? Welche spezifischen Kontrollen werden Sie implementieren und wer wird sie verwalten?
Wie kann Secureframe helfen?
Die Secureframe-Plattform kann Ihnen während des gesamten Risikomanagementprozesses helfen. Ein Risikomanagementmodul ist integriert, das es Ihnen ermöglicht, Risiken in Ihrer Umgebung durch die Beantwortung einer Reihe von Fragen zu identifizieren und zu bewerten.
Sobald Sie diese Fragen beantwortet haben, generiert die Plattform ein Risikoregister, das es Ihnen ermöglicht, Risiken an einem Ort zu überwachen, zu verwalten und zu mindern. Sie können auch Risikobehandlungen und Minderungsmaßnahmen Risikoeigentümern zuweisen, um Sichtbarkeit und Verantwortlichkeit in der gesamten Organisation zu schaffen.
Darüber hinaus kann die Plattform automatisch eine Erklärung zur Anwendbarkeit basierend auf den von Ihnen ausgewählten anwendbaren Kontrollen generieren, sodass Sie nicht von Grund auf neu beginnen müssen.
Empfohlene Lektüre
Wie man eine ISO 27001 Risikobewertung durchführt
4. Verstehen Sie die Anforderungen von internen Audits.
Im Gegensatz zur Zertifizierungsprüfung, die von einem akkreditierten externen Auditor durchgeführt wird, kann das ISO interne Audit intern oder durch eine externe Beratungsfirma durchgeführt werden. Die Ergebnisse dieser internen Audits helfen Organisationen, das ISMS im Laufe der Zeit zu verbessern und sicherzustellen, dass es die Anforderungen für die ISO 27001-Zertifizierung erfüllt.
Der ISO/IEC 27001-Standard legt die Anforderungen an ein internes Audit in Klausel 9.2 fest. Diese Klausel fordert, dass interne Audits:
- In geplanten Intervallen durchgeführt werden
- Bestimmen, ob das ISMS die eigenen Standards der Organisation sowie die Anforderungen der ISO 27001 erfüllt
- Als Teil eines formalen Auditprogramms dokumentiert werden
- Von einem unabhängigen und unparteiischen internen Auditor durchgeführt werden (d.h. nicht von jemandem, der über ein operatives Kontroll- oder Eigentumsniveau über das ISMS verfügt oder an dessen Entwicklung beteiligt war)
- Einschließen, dass die Auditergebnisse dem Management berichtet und als Teil der Aufzeichnungen der Organisation aufbewahrt werden
Wie kann Secureframe helfen?
Die Secureframe-Plattform verfügt über einen ISO 27001-Bericht, in dem Sie alle Rahmenanforderungen, Kontrollen, zugehörigen Tests, Richtlinien und Nachweise an einem einzigen Ort sehen können. Diese zentrale Ansicht hilft Ihrer Organisation, einen reibungslosen internen Prüfungsprozess zu haben, unabhängig davon, ob Sie dies intern oder an einen Dritten auslagern.
Sie müssen keine Screenshots bereitstellen, Konfigurationen einrichten oder manuell Daten und Nachweise abrufen. Sie müssen lediglich Ihren Cloud-Dienstanbieter integrieren, und Secureframe wird diese Konfigurationsdaten automatisch abrufen und mit den Rahmenanforderungen vergleichen. Anschließend sehen Sie auf der Secureframe-Plattform bestandene oder nicht bestandene Tests mit umsetzbaren Korrekturmaßnahmen. Dies zeigt Ihnen, wie nahe Sie der Erreichung der ISO 27001-Konformität sind und wie Sie etwaige Lücken schließen können.
Empfohlene Lektüre
Alles, was Sie über ISO 27001-Audits wissen müssen [+ Checkliste]
5. Den Umfang der Zertifizierung richtig bestimmen.
Vor der Durchführung des ISO 27001-Audits muss der Umfang definiert werden, und der Kunde muss ein klares Verständnis dafür haben, welchen Zertifizierungsumfang er hat. Dies kann für Organisationen eine Herausforderung darstellen, insbesondere für diejenigen, die versuchen, zum ersten Mal zertifiziert zu werden.
Organisationen müssen alle Anforderungen aus den Klauseln 4-10 berücksichtigen, einschließlich sowohl interner als auch externer Probleme sowie physischer Vermögenswerte wie Rechenzentren. Dies sollte in ihrer ISMS-Umfangserklärung widerspiegelt werden.
Beispielsweise ist es wichtig, dass der Prüfungsplan die relevanten Kontrollen und Fragen enthält, die während des Audits überprüft werden, wenn Ihr Audit ein Rechenzentrum umfasst. Dies hilft sicherzustellen, dass die richtigen Nachweise im Voraus vorbereitet werden.
Wie kann Secureframe helfen?
Die Secureframe-Plattform hat die Fähigkeit, Ihre Endpunktressourcen, Cloud-Ressourcen und relevanten Code-Repositories automatisch zu verfolgen. Sie ermöglicht auch das Filtern von Massenkonformitätsanforderungen, wie z.B. Endpunktressourcen, die im Umfang enthalten sind, und relevantes Personal sowie relevante Cloud-Ressourcen.
Die Plattform bietet auch ISMS-Vorlagen, die alle relevanten Anforderungen der ISO-Klauseln 4-10 abdecken, einschließlich interner und externer Probleme, interessierter Parteien und Umfang. Ihr dedizierter Compliance-Manager kann Ihnen helfen, diese Vorlagen anzupassen und alle Fragen zum Umfang Ihrer Zertifizierung zu beantworten.
Häufig gestellte Fragen zum ISO 27001-Audit- und Zertifizierungsprozess
Nachfolgend finden Sie Antworten von leitenden ISO 27001-Auditoren auf häufig gestellte Fragen zum ISO 27001-Audit- und Zertifizierungsprozess.
1. Was muss in der Schulung zur Sicherheitsbewusstseinsbildung behandelt werden, um die Anforderungen von ISO 27001 zu erfüllen?
Cavan Leung: Es gibt keine vorgeschriebenen Themen, die von der ISO festgelegt wurden. Es wird jedoch gefordert, dass alle relevanten Mitarbeiter, die in den Geltungsbereich Ihres ISMS fallen, regelmäßig eine Schulung zur Sicherheitssensibilisierung absolvieren. Die Mitarbeiter müssen auch über die ISO 27001-Richtlinien und -Verfahren, die in der Organisation gelten, informiert sein.
2. Wie detailliert muss das interne Audit sein? Muss jedes Kontrollsystem bewertet werden?
Elad Motola: Ja, das interne Audit muss alle obligatorischen und Anhang-A-Kontrollen abdecken. Das hat zwei Gründe. Erstens um sicherzustellen, dass Sie auf das externe Audit vorbereitet sind. Zweitens, weil dies vom ISO 27001-Standard gefordert wird.
3. Führen Secureframe-Kunden interne Audits typischerweise selbst durch oder beauftragen sie Dritte damit?
Cavan Leung: Es hängt davon ab, ob die Organisation die Anforderungen an Unparteilichkeit und Kompetenz für interne Audits erfüllen kann.
Wenn Sie sich für ein internes Audit entscheiden, müssen Sie sicherstellen, dass die Person, die das Audit durchführt, über ein gewisses Maß an Kompetenz verfügt. Sie muss wissen, wie man auditiert und über Kenntnisse in der Informationssicherheit verfügen, idealerweise mit einer ISO 27001-Auditorenzertifizierung. Diese Person muss auch unparteiisch sein. Sie darf also nicht in die Implementierung, Wartung oder irgendeinen Aspekt des Betriebs Ihres ISMS eingebunden sein. Wenn eine Organisation nicht über eine Person verfügt, die diese Kriterien erfüllt, werden interne Auditdienste in der Regel ausgelagert.
Die Größe der Organisation beeinflusst ebenfalls diese Entscheidung. Kleinere Organisationen lagern dies typischerweise aus, da ihrem Team die Kompetenz oder Unparteilichkeit fehlt, um ein internes Audit durchzuführen. Kleine bis mittelgroße Organisationen und Unternehmen nutzen in der Regel jemanden aus ihrem Team, um das interne Audit durchzuführen.
4. Wie auditiert ein ISO-Auditor Ihre physischen Kontrollen, wenn Sie zu 100 % cloudbasiert sind?
Elad Motola: Es hängt davon ab, ob der Kunde ein Büro hat und ob alle Mitarbeiter remote arbeiten. Wenn alle Mitarbeiter remote arbeiten, müssen die meisten Anforderungen als nicht anwendbar mit einer Begründung für diese Antwort gekennzeichnet werden.
Wenn der Kunde ein Büro hat, aber alle Mitarbeiter remote arbeiten, muss der Auditor das Audit nicht vor Ort durchführen. Er muss jedoch einige der physischen Anforderungen überprüfen. Dies kann mithilfe eines Telefons oder Computers mit Kamera erfolgen, um einige der physischen Aspekte zu überprüfen.
5. Ist es möglich, dass ein Unternehmen durch die Nutzung der Secureframe-Plattform ISO 27001 ohne die Hilfe eines Beraters implementieren kann?
Cavan Leung: Die kurze Antwort lautet ja. Durch die Nutzung der Secureframe-Plattform erhalten Sie einen Schritt-für-Schritt-Prozess zur Zertifizierung sowie alles, was Sie benötigen, um alle erforderlichen Kontrollen zu implementieren und die Einhaltung der Vorschriften aufrechtzuerhalten, ohne einen Berater bezahlen zu müssen.
Wie Secureframe Ihnen bei der Vorbereitung auf die ISO 27001-Zertifizierung helfen kann
Secureframe optimiert die ISO 27001-Zertifizierung, indem es Aspekte des Bereitschaftsprozesses optimiert, einschließlich Aufgabenverwaltung, Nachweissammlung, Schulung zur Sicherheitssensibilisierung sowie Risikobewertung und -management.
Secureframe optimiert auch Aspekte des Auditprozesses, indem es Auditpartnern wie Consilium Labs eine Berichtsansicht, den Nachweisexport und ein einfaches Dashboard zur Verfügung stellt.
Dies kann Ihnen helfen, die ISO 27001-Konformität schnell und einfach zu erreichen und aufrechtzuerhalten. Vereinbaren Sie eine Demo, um dies selbst zu sehen.