Als eines der international angesehensten Rahmenwerke ist ISO/IEC 27001 eine optimale Zertifizierung für Unternehmen, die ihre Informationssicherheit stärken und das Vertrauen der Kunden aufbauen möchten.

Jedoch ist eine ISO 27001-Zertifizierung kein Kinderspiel.

Es stehen Ihnen viele Stunden und Wochen bevor, wenn Sie mit Ihrem Zertifizierungsprozess beginnen. Die besten Dinge im Leben sind bekanntlich nicht einfach zu erreichen, oder?

Um die Vorbereitung auf eine ISO 27001-Zertifizierung zu erleichtern und somit Ihre Arbeit zu vereinfachen, haben wir eine interaktive ISO 27001-Checkliste erstellt. Diese umfasst alle wesentlichen und nebensächlichen Aufgaben, die Sie auf Ihrem Weg zur Zertifizierung erledigen müssen.

Interaktive ISO 27001-Checkliste: Ein schrittweiser Leitfaden

Auch wenn es schön wäre, einfach mit den Fingern zu schnippen und ISO 27001-zertifiziert zu sein, erfordert der Zertifizierungsprozess eine beträchtliche Zeit.

Der Zeitrahmen für die Zertifizierung hängt von der Größe Ihres Unternehmens und der Komplexität der von Ihnen verwalteten Daten ab.

Ein kleines bis mittelständisches Unternehmen kann davon ausgehen, in etwa vier Monaten auditbereit zu sein und den Audit in sechs Monaten abgeschlossen zu haben. Größere Organisationen benötigen möglicherweise mehr als ein Jahr.

Während diese Checkliste einen Überblick über die Schritte zur ISO 27001-Konformität bietet, sieht dieser Prozess für jedes Unternehmen anders aus. Faktoren wie die Größe eines Unternehmens oder die Reife ihrer Risikomanagementstrategien können diese Schritte beeinflussen.

Bereit anzufangen? Wir führen Sie durch jeden Schritt der ISO 27001-Checkliste unten.

Wie man ISO 27001-zertifiziert wird

Brauchen Sie etwas mehr Anleitung, wie Sie die obigen Schritte abschließen können? Wir führen Sie durch jeden Schritt des ISO 27001-Implementierungsprozesses unten.

1. Bilden Sie ein ISO 27001-Team

Sammeln Sie zuerst ein engagiertes Team, um den ISO 27001-Prozess zu überwachen und verantworten.

Dieses Team wird den Umfang des Zertifizierungsprozesses bestimmen, Informationsmanagementpraktiken und -richtlinien erstellen, die Zustimmung der Stakeholder einholen und direkt mit dem Auditor zusammenarbeiten.

Abhängig von der Größe Ihrer Organisation und dem Umfang der von Ihnen verwalteten Daten können Sie möglicherweise nur eine Person für die Projektleitung haben oder ein größeres Team benötigen. Es kann hilfreich sein, einen leitenden Projektmanager zu ernennen, der ISO 27001 überwacht und ein Team um sich herum aufbaut.

Einige der Eigenschaften, die man bei einem idealen ISO 27001-Projektmanager suchen sollte, sind:

• Verständnis für IT
• Vertrautheit mit den Geschäftsprozessen der Organisation
• Hintergrund im Projektmanagement
• Fähigkeit, die Details der ISO 27001 effektiv zu kommunizieren

2. Bauen Sie Ihr Informationssicherheitsmanagementsystem (ISMS) auf

Es besteht eine gute Chance, dass Ihr Unternehmen bereits ein ad-hoc Informationsmanagementsystem hat. Ein solches Asset-Management wird jedoch bei einem ISO 27001-Audit nicht ausreichen.

Kurz gesagt, ein Informationssicherheitsmanagementsystem, oder ISMS, ist das Rahmenwerk, das ein Unternehmen verwendet, um Informationen und Risiken zu verwalten. Ein ISMS besteht aus Richtlinien und Verfahren, die genau festlegen, wie Informationen gespeichert und verwaltet werden.

Es gibt drei Säulen eines ISMS: Menschen, Prozesse und Technologie.

ISO 27001 ist der internationale Standard, der detaillierte Anweisungen dazu bietet, wie man ein erstklassiges ISMS erstellt und wie man die Compliance-Anforderungen erfüllt.

Wir unterteilen, wie man den ISMS-Umfang in drei Schritten bestimmt:

• Legen Sie den Umfang fest: Beginnen Sie mit der Frage: „Welche Informationen müssen geschützt werden?“ Sie müssen alle Orte identifizieren, an denen Informationen gespeichert sind. Dies umfasst sowohl physische als auch digitale Dokumente und Informationssysteme.
• Identifizieren Sie, wie auf diese Informationen zugegriffen werden kann: Überprüfen Sie Zugangskontrollen und dokumentieren Sie jeden Zugangspunkt, wie z. B. den Computer eines Mitarbeiters oder einen Aktenschrank.
• Bestimmen Sie, was nicht im Umfang liegt: Eine hilfreiche Frage ist: „Welche Teile des Unternehmens müssen unsere wertvollen Informationsressourcen erstellen, darauf zugreifen oder diese verarbeiten?“ Abteilungen oder Parteien, die außerhalb dieser Kategorie fallen, müssen möglicherweise nicht in den Umfang einbezogen werden.

Nachdem Sie den ISMS-Umfang bestimmt haben, müssen Sie die Geltungsbereichserklärung Ihres ISO 27001-Zertifikats erstellen. Sie werden darlegen, was im und was außerhalb des Geltungsbereichs in Bezug auf Produkte und Dienstleistungen, Standorte, Abteilungen und Personen, Technologie und Netzwerke liegt.

Es ist wichtig zu beachten, dass Ihr ISMS nicht statisch ist. Während sich Ihr Unternehmen weiterentwickelt, können neue Prozesse und Abteilungen eingeführt werden. Wenn dies geschieht, ist es wichtig, Ihr ISMS zu überarbeiten und bei Bedarf Anpassungen vorzunehmen.

3. Erstellen und veröffentlichen Sie ISMS-Richtlinien, -Dokumente und -Aufzeichnungen

Zwei große Teile des ISO 27001-Prozesses sind die Dokumentation und das Teilen dieser Dokumente intern. Dies wird Ihnen helfen, sich verantwortlich zu machen und eine Grundlage für die Einrichtung, Implementierung, Wartung und kontinuierliche Verbesserung des ISMS zu schaffen.

Hier ist eine Liste der ISMS-Dokumente, die Sie zusammenstellen müssen:

• Absatz 4.3: Umfang des ISMS
• Absatz 5.2: Informationssicherheitspolitik
• Absatz 5.5.1: Alle dokumentierten Informationen, die die Organisation für notwendig erachtet, um das ISMS zu unterstützen
• Absatz 6.1.2: Informationssicherheits-Risikobewertungsprozess/-methodik
• Absatz 6.1.3: Informationssicherheits-Risikobehandlungsplan und Erklärung der Anwendbarkeit (SoA)
• Absatz 6.2: Informationssicherheitsziele
• Absatz 7.1.2 und 13.2.4: Definierte Sicherheitsrollen und Verantwortlichkeiten
• Absatz 7.2: Nachweise der Kompetenz
• Absatz 8.1: Vermögensinventar, akzeptable Nutzung von Vermögenswerten und Betriebsplanung
• Absatz 8.2 und 8.3: Ergebnisse der Informationssicherheits-Risikobewertung und Risikobehandlung
• Absatz 9.1: Zugriffskontrollrichtlinie, Nachweis der ISMS-Überwachung und Verfolgung von Metriken
• Absatz 9.2: Ein dokumentierter interner Auditprozess und abgeschlossene interne Auditberichte
• Absatz 9.3: Ergebnisse von Managementbewertungen
• Absatz 10.1: Nachweis von Nichtkonformitäten und durchgeführten Korrekturmaßnahmen
• Absatz 12.4: Benutzeraktivitäten, Ausnahmen und Sicherheitsvorfallsprotokolle

Wenn Sie Ihre Dokumente erstellen, können Sie Richtlinienschablonen mit organisationsspezifischen Richtlinien, Prozessen und Sprache anpassen.

Beziehen Sie sich auf Informationen oder Verweise auf unterstützende Dokumentationen bezüglich:

• Informationssicherheitsziele
• Führung und Engagement
• Rollen, Verantwortlichkeiten und Befugnisse
• Ansatz zur Risikobewertung und -behandlung
• Kontrolle der dokumentierten Informationen
• Kommunikation
• Interne Überprüfung
• Managementbewertung
• Korrekturmaßnahmen und kontinuierliche Verbesserung
• Verstöße gegen Richtlinien

4. Führen Sie eine Risikobewertung durch

Der nächste Schritt in Ihrer ISO 27001-Checkliste besteht darin, eine interne Risikobewertung durchzuführen. Dies wird potenzielle Risiken für die Datensicherheit identifizieren und die Schwere dieser Risiken beurteilen.

Ähnlich wie Sie im zweiten Schritt ermittelt haben, wo alle Ihre sensiblen Daten gespeichert sind, werden Sie dasselbe für die Risiken tun, denen Ihre Organisation ausgesetzt ist. Nachdem Sie eine Liste der Risiken zusammengestellt haben, bestimmen Sie die Wahrscheinlichkeit, dass diese Risiken auftreten könnten.

Bewerten Sie dann die potenziellen Auswirkungen aller identifizierten Risiken. Denken Sie nicht nur an die Geschäftskontinuität, sondern auch an die finanziellen Auswirkungen, die ein Risiko für Ihre Organisation hat.

Die Verwendung einer Risikomatrix ist eine hilfreiche Methode, um die wichtigsten Risiken Ihrer Organisation zu identifizieren. Hier ist ein Beispiel, wie dieser Prozess aussehen könnte.

• Nachdem Sie die Risiken identifiziert haben, können Sie sie basierend auf der Wahrscheinlichkeit der möglichen Ereignisse sortieren. Zum Beispiel könnten Sie eine Skala von 1-5 erstellen, wobei 1 unwahrscheinlich und 5 wahrscheinlich ist.
• Als nächstes messen Sie die potenziellen Auswirkungen jedes Risikos. Sie können eine weitere Skala von 1-5 verwenden, wobei 1 eine unbedeutende Auswirkung und 5 katastrophal ist.
• Sie können dann das Gesamtrisiko jeder identifizierten Bedrohung berechnen, um Ihnen zu helfen, die dringendsten zu priorisieren.

Nach der Bewertung und Priorisierung der Risiken erstellen Sie für jedes Risiko einen Behandlungsplan. Weisen Sie bestimmten Mitarbeitern Verantwortlichkeiten zu und verfolgen Sie die Umsetzung bis zum Abschluss.

5. Eine Erklärung zur Anwendbarkeit (SoA) ausfüllen

Konsultieren Sie die ISO 27002-Dokumentation, um sich mit den 114 Kontrollen von Anhang A vertraut zu machen. Sie können Anhang A als Sammlung aller möglichen Sicherheitskontrollen betrachten, um die für Ihre Organisation relevanten zu finden.

Sobald Sie die Sicherheitsmaßnahmen ausgewählt haben, die Ihre identifizierten Risiken am besten adressieren, können Sie eine Erklärung zur Anwendbarkeit (SoA) erstellen.

Die SoA gibt an, welche ISO 27001-Kontrollen und -Richtlinien von der Organisation angewendet werden. In diesem Dokument wird beschrieben, welche Maßnahmen zur Risikobewältigung ergriffen werden.

6. Implementieren Sie ISMS-Richtlinien und -Kontrollen

Nach der Identifizierung und Entwicklung von Risikomanagementprozessen können Sie mit der Implementierung der Informationssicherheitspolitik beginnen. Diese Politik gibt einen umfassenden Überblick darüber, wie Ihre Organisation die Informationssicherheit angeht. Sie können ein kostenloses Template für eine Informationssicherheitspolitik hier herunterladen.

Das ISMS steht im Mittelpunkt der ISO 27001. Die Norm bietet Schritt-für-Schritt-Anleitungen, wie Daten vor Bedrohungen und Schwachstellen geschützt werden können. Organisationen wenden oft die Plan-Do-Check-Act (PDCA)-Methode an, um einen ISMS-Plan umzusetzen.

Hier ist ein Blick darauf, wie die PDCA-Methode in der Praxis aussieht:

• Planen: Überprüfen Sie die aktuellen Cybersicherheitsmanagementprozesse und identifizieren Sie Lücken im Vergleich zu den Anforderungen der ISO 27001 ISMS.
• Durchführen: Führen Sie die neuen ISMS-Kontrollen und -Richtlinien ein.
• Prüfen: Überwachen und überprüfen Sie das ISMS und nehmen Sie gegebenenfalls Änderungen vor.
• Handeln: Pflegen und verbessern Sie das ISMS im Laufe der Zeit.

Gehen Sie die ISO 27001-Klauseln 4-10 und die Kontrollanweisungen des Anhangs A durch, um sicherzustellen, dass Sie alle Anforderungen erfüllt haben. Führen Sie weiterhin eine laufende Wirksamkeitsüberwachung Ihrer ISMS-Einführung durch.

Dies ist auch der Zeitpunkt, an dem Sie die Mitarbeiter über alle neuen Verfahren im Zusammenhang mit dem ISMS informieren sollten, die sich auf ihre täglichen Aufgaben auswirken könnten. Teilen Sie Richtlinien mit den Mitarbeitern und verfolgen Sie, ob diese überprüft werden.

7. Schulung der Teammitglieder zu ISO 27001

Führen Sie regelmäßige Schulungen für Mitarbeiter durch, um sie mit ISO 27001 und dem ISMS des Unternehmens vertraut zu machen.

Gehen Sie auf Begriffe ein, die im Zusammenhang mit ISO 27001 möglicherweise neu für sie sind, und heben Sie die Bedeutung der Zertifizierung hervor.

Dies ist auch die Zeit, um Erwartungen an das Personal in Bezug auf ihre Rolle bei der Aufrechterhaltung des ISMS festzulegen. Informieren Sie die Mitarbeiter darüber, was passieren könnte, wenn das Unternehmen die Anforderungen an die Datensicherheit nicht erfüllt.

Dies wird dazu beitragen, die Bedeutung Ihres ISMS zu verdeutlichen und das Bewusstsein für Sicherheit in Ihrem Team zu verankern.

8. Sammeln von Dokumentationen und Nachweisen

Wenn es ein Wort gibt, das Sie im Zusammenhang mit ISO 27001 immer wieder hören werden, dann ist es dieses: Dokumentation. Je mehr Dokumentation Sie vor den Prüfungsphasen durchführen, desto besser.

Jetzt ist es an der Zeit, alle für ISO 27001 erforderlichen Dokumente und Aufzeichnungen für die Prüfungen vorzubereiten.

9. Interne Prüfung durchführen

Sobald Ihr ISMS in gutem Zustand ist, planen Sie eine interne Prüfung, um zu sehen, wo Ihr Unternehmen auf dem Weg zur Zertifizierung steht.

Wählen Sie einen unabhängigen und objektiven Prüfer aus, um die interne Prüfung durchzuführen. Wenn die Prüfung abgeschlossen ist, erfassen und beheben Sie die Ergebnisse der internen Prüfung, bevor Sie die Stufe-1-Prüfung ansetzen.

10. Durchführung einer Stufe-1-Prüfung

Wählen Sie einen akkreditierten ISO 27001-Prüfer, um eine Stufe-1-Prüfung durchzuführen. Im Rahmen dieser externen Prüfung werden die für die ISO 27001-Zertifizierung erforderlichen Dokumente überprüft.

Sobald sie alle Dokumente durchgegangen sind, werden sie Lücken oder Stellen identifizieren, an denen Ihr ISMS die ISO 27001-Norm nicht erfüllt.

11. Erhalten einer Stufe-2-Prüfung

In diesem Stadium wird Ihr Prüfer Tests an Ihrem ISMS durchführen, um dessen Implementierung und Funktionalität zu bewerten. Sie werden auch sehen, wie Ihr ISMS im Vergleich zu den anwendbaren Kontrollanweisungen des Anhangs A abschneidet.

Ziel dieser Prüfung ist es sicherzustellen, dass die in der Stufe-1-Prüfung begonnenen Prozesse unternehmensweit befolgt werden.

12. Umsetzung des Stufe-2-Prüfungsratschlags

Nehmen Sie alle Empfehlungen des Prüfers zu Herzen. Sobald alle größeren Abweichungen behoben sind, wird der Prüfer der Organisation einen Entwurf des ISO 27001-Konformitätszertifikats zur Überprüfung senden.

Das Unternehmen nimmt dann kleinere Anpassungen vor, bevor es das Zertifikat an den Prüfer zurücksendet. Der Prüfer wird das Zertifikat dann veröffentlichen, und Ihre ISO 27001-Zertifizierung ist offiziell.

13. Verpflichtung zu nachfolgenden Audits und Bewertungen

Die ISO 27001-Zertifizierung ist nicht der letzte Schritt. Um kontinuierliche Compliance mit ISO 27001 aufrechtzuerhalten, muss sich Ihre Organisation zu laufenden Audits und Bewertungen verpflichten.

Ein ISO 27001-Zertifikat ist drei Jahre gültig. Während dieser Zeit verlangt ISO 27001 von den Organisationen, jedes Jahr ein Überwachungsaudit durchzuführen, um sicherzustellen, dass ein konformes ISMS nicht erloschen ist.

Hier sind zusätzliche Schritte, die Sie unternehmen sollten, um die Compliance sicherzustellen:

• Führen Sie mindestens einmal pro Jahr oder in einem vierteljährlichen Überprüfungszyklus Managementbewertungen durch.
• Bereiten Sie sich auf Überwachungsaudits im ersten und zweiten Jahr vor.
• Führen Sie jährliche Risikoanalysen durch.
• Bereiten Sie sich auf das Wiederholungsaudit im dritten Jahr vor.

14. Kontinuierliche Verbesserungen durchführen

Ihr ISMS wird nach der ISO 27001-Zertifizierung Veränderungen durchlaufen. Wenn Sie Ihre Softwareanbieter wechseln oder mit neuen Lieferanten zusammenarbeiten, kann dies eine Überarbeitung Ihres ISMS erfordern.

Ihr ISO 27001-Team sollte Ihr ISMS nach Bedarf aktualisieren und jede Änderung dokumentieren. Darüber hinaus müssen alle Bedrohungen für Ihr ISMS, die identifiziert und behoben wurden, dokumentiert werden.

Dies wird nicht nur den nächsten Zertifizierungsprozess erleichtern, sondern auch Nonkonformitäten aufzeigen, die die allgemeine Sicherheit Ihrer Daten beeinträchtigen könnten.

Erreichen und Aufrechterhalten der ISO 27001-Compliance mit Secureframe

Wenn dieser Prozess ein wenig mühsam erscheint, liegt das daran, dass er es auch ist.

Organisationen wie Secureframe machen diesen Prozess jedoch viel einfacher. Unsere Compliance-Automatisierungsplattform vereinfacht den gesamten ISO 27001-Auditprozess und spart Ihnen Hunderte von Stunden und Tausende von Dollar.

Wir haben Partnerschaften mit Dutzenden von Auditoren und können Sie mit einem Auditunternehmen zusammenbringen, das bereits mit Ihrer Branche vertraut ist. Darüber hinaus bieten wir Zugang zu ISO 27001-Experten, die Sie durch alle Feinheiten führen können, die viele Unternehmen auf dem Weg zur Zertifizierung stolpern lassen.

Kurz gesagt, Secureframe unterstützt Sie bei jedem Schritt des ISO 27001-Prozesses. Um herauszufinden, wie wir Ihnen helfen können, fordern Sie noch heute eine Demo an.