ISO 27001 ist ein strenger Standard und es kann einschüchternd sein, ihn anzugehen, wenn man zum ersten Mal zertifiziert wird.
Wo fängt man an? Welche Richtlinien und Kontrollen werden benötigt? Woher wissen Sie, ob Sie für ein Audit bereit sind?
Das Verständnis des ISO 27001 Zertifizierungsprozesses kann Ihnen helfen, sich auf ein erfolgreiches Audit vorzubereiten und dabei viel Stress zu vermeiden.
In diesem Beitrag erklären wir den ISO 27001 Zertifizierungsprozess, einschließlich was Organisationen tun müssen, um sich vorzubereiten und was in jeder Phase des Zertifizierungsaudits passiert.
Phasen des Zertifizierungsprozesses
Die Phasen des ISO 27001 Zertifizierungsprozesses
Um die ISO 27001 Zertifizierung zu erreichen, müssen Sie eine Reihe von Audits durchlaufen. Hier ist, was Sie erwarten können, um sich vorzubereiten und Ihre Zertifizierung abzuschließen.
Phase eins: Erstellen Sie einen Projektplan
Wer innerhalb Ihrer Organisation wird den Prozess überwachen, Erwartungen setzen und Meilensteine verwalten? Wie werden Sie die Unterstützung der Unternehmensführung gewinnen? Werden Sie einen ISO 27001 Berater einstellen, um Ihnen bei der Navigation durch den Prozess zu helfen?
Sich über ISO 27001 Standards und seine 114 Kontrollen zu informieren, ist ein wichtiger Teil dieses Prozesses. Ein guter Anfang ist unser ausführlicher Leitfaden zu ISO 27001.
Phase zwei: Definieren Sie den Umfang Ihres ISMS
Jedes Unternehmen ist einzigartig und verfügt über unterschiedliche Datentypen. Bevor Sie Ihr ISMS aufbauen, müssen Sie genau bestimmen, welche Art von Informationen Sie schützen müssen.
Für einige Unternehmen umfasst der Umfang ihres ISMS die gesamte Organisation. Für andere umfasst es nur eine bestimmte Abteilung oder ein System.
Ihr Team muss diskutieren, was Sie in der Umfangserklärung Ihres ISO 27001 Zertifikats darstellen möchten.
Beginnen Sie mit der Frage:
„Welcher Dienst, welches Produkt oder welche Plattform sind unseren Kunden am wichtigsten, um sie als Teil unseres ISO 27001 Zertifikats zu sehen?"
Phase drei: Führen Sie eine Risikoanalyse und Lückenanalyse durch
Eine formelle Risikoanalyse ist eine Voraussetzung für die ISO 27001 Konformität. Das bedeutet, dass die Daten, die Analyse und die Ergebnisse Ihrer Risikoanalyse dokumentiert werden müssen.
Zu Beginn überlegen Sie sich Ihre Basislinie für die Sicherheit. Welchen gesetzlichen, regulatorischen oder vertraglichen Verpflichtungen unterliegt Ihr Unternehmen?
Viele Startups, die kein eigenes Compliance-Team haben, entscheiden sich dafür, einen ISO-Berater zu engagieren, um bei der Lückenanalyse und dem Abhilfeplan zu helfen. Ein Berater, der Erfahrung mit Unternehmen wie Ihrem hat, kann fachkundige Anleitung geben, um Ihnen zu helfen, die Compliance-Anforderungen zu erfüllen.
Darüber hinaus können sie Ihnen helfen, bewährte Verfahren zu etablieren, die Ihre allgemeine Sicherheitslage stärken.
Phase vier: Entwickeln und implementieren Sie Richtlinien und Kontrollen
Jetzt, da Sie Risiken identifiziert haben, müssen Sie entscheiden, wie Ihre Organisation darauf reagieren wird. Welche Risiken sind Sie bereit zu tolerieren und welche müssen Sie angehen?
Ihr Auditor wird während Ihres ISO 27001 Zertifizierungsaudits die Entscheidungen, die Sie bezüglich jedes identifizierten Risikos getroffen haben, überprüfen wollen. Sie müssen auch eine Erklärung zur Anwendbarkeit und einen Risikobehandlungsplan als Teil Ihrer Auditnachweise erstellen.
Die Erklärung zur Anwendbarkeit fasst zusammen und erklärt, welche ISO 27001 Kontrollen und Richtlinien für Ihre Organisation relevant sind. Dieses Dokument ist eines der ersten, das Ihr externer Auditor während Ihres Zertifizierungsaudits überprüfen wird.
Der Risikobehandlungsplan ist ein weiteres wichtiges Dokument für die ISO 27001-Zertifizierung. Es wird festgehalten, wie Ihr Unternehmen auf die während des Risikobewertungsprozesses identifizierten Bedrohungen reagieren wird.
Der ISO 27001-Standard skizziert vier Maßnahmen:
- Risiko modifizieren, indem Kontrollen eingerichtet werden, die die Wahrscheinlichkeit verringern, dass es auftritt
- Risiko vermeiden, indem die Umstände verhindert werden, unter denen es auftreten könnte
- Risiko teilen mit einem Dritten (d. h. Sicherheitsmaßnahmen an ein anderes Unternehmen auslagern, Versicherung abschließen usw.)
- Risiko akzeptieren, weil die Kosten der Bewältigung höher sind als der potenzielle Schaden
Als Nächstes implementieren Sie Richtlinien und Kontrollen als Reaktion auf die identifizierten Risiken. Ihre Richtlinien sollten bewährte Sicherheitspraktiken etablieren und verstärken, wie z. B. die Anforderung, dass Mitarbeiter eine Multi-Faktor-Authentifizierung verwenden und Geräte sperren, wann immer sie ihre Arbeitsplätze verlassen.
Phase fünf: Mitarbeitertraining abschließen
ISO 27001 verlangt, dass alle Mitarbeiter in Information Security geschult werden. Dies stellt sicher, dass jeder in Ihrer Organisation die Bedeutung der Datensicherheit versteht und seine Rolle sowohl bei der Erreichung als auch bei der Aufrechterhaltung der Compliance kennt.
Phase sechs: Dokumentieren und Belege sammeln
Um die ISO 27001-Zertifizierung zu erhalten, müssen Sie Ihrem Auditor nachweisen, dass Sie wirksame Richtlinien und Kontrollen eingerichtet haben und dass diese gemäß den Anforderungen des ISO 27001-Standards funktionieren.
Das Sammeln und Organisieren all dieser Belege kann äußerst zeitaufwendig sein. Compliance-Automatisierungssoftware für ISO 27001 kann Hunderte von Stunden mühsamer Arbeit eliminieren, indem sie diese Belege für Sie sammelt.
Phase sieben: eine ISO 27001-Zertifizierungsaudit abschließen
In dieser Phase wird ein externer Auditor Ihr ISMS evaluieren, um zu überprüfen, ob es den ISO 27001-Anforderungen entspricht, und Ihre Zertifizierung ausstellen.
Ein Zertifizierungsaudit erfolgt in zwei Phasen. Zuerst wird der Auditor ein Stage 1-Audit abschließen, bei dem er Ihr ISMS-Dokumentation überprüft, um sicherzustellen, dass Sie die richtigen Richtlinien und Verfahren implementiert haben.
Als Nächstes wird ein Stage 2-Audit Ihre Geschäftsprozesse und Sicherheitskontrollen überprüfen. Sobald die Audits der Stufen 1 und 2 abgeschlossen sind, erhalten Sie eine ISO 27001-Zertifizierung, die drei Jahre gültig ist.
Phase acht: kontinuierliche Compliance aufrechterhalten
ISO 27001 dreht sich um kontinuierliche Verbesserung. Sie müssen Ihr ISMS kontinuierlich analysieren und überprüfen, um sicherzustellen, dass es weiterhin effektiv funktioniert. Und wenn Ihr Unternehmen sich entwickelt und neue Risiken entstehen, müssen Sie nach Möglichkeiten suchen, bestehende Prozesse und Kontrollen zu verbessern.
Der ISO 27001-Standard erfordert periodische interne Audits als Teil des laufenden Monitorings. Interne Auditoren untersuchen Prozesse und Richtlinien, um potenzielle Schwachstellen und Verbesserungsbereiche vor einem externen Audit zu identifizieren.
Der Zertifizierungsauditprozess
Der ISO 27001-Zertifizierungsauditprozess
- Stufe 1: ISMS-Designprüfung
Überprüfen Sie die ISMS-Dokumentation, um sicherzustellen, dass die Richtlinien und Verfahren ordnungsgemäß entworfen sind. - Stufe 2: Zertifizierungsaudit
Überprüfen Sie Geschäftsprozesse und Kontrollen auf Compliance mit den Anforderungen des ISMS und Anhang A. - Überwachungsaudits
Stellen Sie sicher, dass Ihr ISO 27001-Compliance-Programm weiterhin effektiv ist und aufrechterhalten wird. - Re-Zertifizierungsaudit
Am Ende der dreijährigen Zertifizierungsfrist bewertet ein Re-Zertifizierungsaudit das ISMS und die Anhang A-Kontrollen auf Compliance. Die Re-Zertifizierung ist weitere drei Jahre gültig.
Sobald Sie Ihr ISMS aufgebaut, eine Lückenbewertung abgeschlossen, Kontrollen implementiert, Ihr Personal geschult und Nachweise gesammelt haben, sind Sie bereit, den Prüfungsprozess zu beginnen.
Ein formelles ISO 27001-Audit erfolgt in Phasen:
Stufe 1: ISMS-Design-Prüfung
Überprüfung der ISMS-Dokumentation, um sicherzustellen, dass Richtlinien und Verfahren ordnungsgemäß gestaltet sind.
In dieser Phase wird Ihr Prüfer sicherstellen, dass Ihre Dokumentation den ISO 27001 ISMS-Anforderungen in den Klauseln 4-10 entspricht. Er wird auch auf Nichtkonformitäten oder Verbesserungsmöglichkeiten hinweisen.
Sobald Sie die vorgeschlagenen Änderungen implementiert haben, sind Sie bereit für Ihr Stufe-2-Audit.
Stufe 2: Zertifizierungsaudit
Überprüfung von Geschäftsprozessen und Kontrollen, um die Einhaltung der ISO 27001 ISMS- und Anhang A-Anforderungen sicherzustellen.
Hier wird Ihr Auditor eine detaillierte Bewertung durchführen, um festzustellen, ob Ihre Organisation die ISO 27001-Anforderungen erfüllt.
Sobald Stufe 1 und Stufe 2 abgeschlossen sind, ist Ihre ISO 27001-Zertifizierung drei Jahre gültig.
Überwachungsaudits
Innerhalb Ihres dreijährigen Zertifizierungszeitraums müssen Sie fortlaufende Audits durchführen. Diese Audits stellen sicher, dass Ihr ISO 27001-Konformitätsprogramm weiterhin effektiv ist und aufrechterhalten wird.
Überwachungsaudits überprüfen, ob Organisationen ihr ISMS und die Anhang A-Kontrollen ordnungsgemäß aufrechterhalten. Überwachungsprüfer werden auch überprüfen, ob bei der Zertifizierungsaudit festgestellte Nichtkonformitäten oder Ausnahmen behoben wurden.
Rezertifizierungsaudit
Im letzten Jahr der dreijährigen ISO-Zertifizierung kann Ihre Organisation einem Rezertifizierungsaudit unterzogen werden.
Ähnlich wie bei Stufe 2 wird der Prüfer eine detaillierte Bewertung durchführen, um festzustellen, ob Ihre Organisation die ISO 27001-Anforderungen für Prozess-/Kontrolldesign und Betriebseffektivität erfüllt.
Nach Abschluss des Rezertifizierungsaudits ist Ihre ISO 27001-Zertifizierung weitere drei Jahre gültig. Die meisten Organisationen verbringen 6-12 Monate damit, sich auf ein ISO 27001-Zertifizierungsaudit vorzubereiten und es abzuschließen.
Der ISO 27001-Zertifizierungsprozess kann einschüchternd wirken — aber es muss nicht so überwältigend sein. Dieses Flussdiagramm hilft Ihnen, den ISO 27001-Zertifizierungsprozess zu visualisieren, in überschaubare Schritte zu unterteilen und Ihren Fortschritt auf dem Weg zur Einhaltung der Vorschriften zu verfolgen.
ISO 27001-Nachweisanforderungen
ISO 27001-Anforderungen: Prozessnachweise
Während Ihres Zertifizierungsaudits muss Ihr Prüfer verschiedene Aspekte Ihres ISMS bewerten, einschließlich Richtlinien, Geschäftsprozesse und unterstützende Nachweise.
Hier ist eine Grundlinie der Dokumentation, die Sie Ihrem Prüfer vorlegen müssen:
- ISMS-Umfang
- Informationssicherheitspolitik
- Informationssicherheits-Risikobewertungsprozess
- Informationssicherheits-Risikobehandlungsprozess
- Erklärung zur Anwendbarkeit
- Informationssicherheitsziele
- Nachweis der Kompetenz
- Schulungsprogramm zur Sicherheitsbewusstseinsbildung und Ergebnisse
- Ergebnisse der Informationssicherheits-Risikobewertung
- Ergebnisse der Informationssicherheits-Risikobehandlung
- Nachweis der Überwachung und Messung der Ergebnisse
- Dokumentierter interner Prüfungsprozess
- Nachweise von Prüfungsprogrammen und Ergebnissen
- Nachweise von Managementbewertungen
- Nachweise von Nichtkonformitäten und Korrekturmaßnahmen
- Nachweis der Korrekturergebnisse
- Nachweise der Kontrollaktivitäten von Anhang A
Straffen Sie den Prozess mit Secureframe
Sobald Sie Richtlinien erstellt und Nachweise für Ihr ISO 27001-Audit zusammengestellt haben, werden Sie wahrscheinlich Hunderte von Dokumenten haben, die gesammelt, katalogisiert und aktualisiert werden müssen. Und Sie müssen sicherstellen, dass alle Ihre Dokumentation mit den richtigen Kontrollen und Anforderungen organisiert ist, damit Ihr Auditor alles überprüfen kann.
Secureframe kann die schwere Arbeit vereinfachen, um den Prozess der Vorbereitung und Aufrechterhaltung der Konformität besser handhabbar und weniger stressig zu gestalten. Wir helfen Ihnen, ein konformes ISMS aufzubauen, Ihren Tech-Stack auf Schwachstellen zu überwachen und Risiken zu managen. Vereinbaren Sie eine Demo, um mehr zu erfahren.