Implementieren Sie ISO 27001 und wissen nicht, wo Sie anfangen sollen?
Welche möglichen Wege gibt es also für die Implementierung Ihres ISO 27001 ISMS?
Ein beliebter Weg ist die „Informationssicherheitsmanagement-Lückenanalyse“, bei der Sie viel Zeit und Geld in die Suche nach Lücken investieren. Aber Sie erhalten immer noch nur eine Lückenanalyse (wahrscheinlich mit Ergebnissen in einer schwer zu navigierenden und zu verwaltenden Tabelle), aber keine Fortschritte bei der Festlegung Ihrer Daten ISMS. Es gibt einen besseren Weg.
Ein weiterer gängiger Weg besteht darin, die Gap-Analyse zu vermeiden und einfach mit der Lieferung zu beginnen. Einige Organisationen beginnen mit der Erstellung aller 93 Anhang A-Kontrollen, indem zunächst Richtlinien, Prozesse und Verfahren eingeführt werden. Dies ist jedoch auch nicht optimal und kann zeitaufwändig sein, insbesondere wenn das Unternehmen keine Risiken hat, bei denen diese Kontrollen anwendbar wären. Dies ist ein „Bottom-up“-Ansatz, und wir empfehlen immer, dass er den „Top-down“-Kernanforderungen folgt.
Der ISO-Standard führt Sie gut durch den Top-Down-Prozess, wenn Sie am Anfang mit den Kernanforderungen der ISO 27001 beginnen. Die Kernanforderungen (Managementklauseln) decken jedoch den Betrieb über die Implementierung hinaus ab und lenken daher die Aufmerksamkeit auf die Berücksichtigung von Aktivitäten nach der Zertifizierung (z. B. Überwachung, interne Anhörung, Überprüfung und Verbesserung), bevor Sie Ihr ISMS überhaupt in Betrieb nehmen. Dies ist besser, aber nicht der beste Weg, wenn Sie es eilig haben oder den zweckmäßigsten Weg einschlagen möchten. Es gibt einen besseren Weg Ergebnisse sichern, das das Beste aus allen gängigen Praktiken nutzt und die Verschwendung einer Lückenanalyse vermeidet. Wir nennen es die Assured Results Method – ARM.
Streben Sie bei Ihrem ersten ISMS nach Pragmatismus und nicht nach Perfektion
Oft, aber nicht immer, gibt es einen externen Treiber für die Erreichung von ISO 27001, wie z. B. eine Ausschreibungsanforderung oder Kundendruck aufgrund einer Änderung der Risikobereitschaft in der Lieferkette (z. B. aufgrund von Cyberkriminalität oder Vorschriften wie z. B Datenschutz). Diese externen Treiber bedeuten in der Regel einen engen Zeitrahmen, sodass Perfektion oft der Feind des Guten ist, wenn es darum geht, etwas zu erreichen Erfolgreiche ISO 27001-Zertifizierung zu einer komprimierten Frist, insbesondere wenn nach einer unabhängigen Zertifizierung.
Bei ISO 27001 geht es, wie auch bei den anderen ISO-Managementstandards, um kontinuierliche Verbesserung und es handelt sich grundsätzlich um einen auf Risikomanagement basierenden Standard. Ein pragmatischer Umgang mit dem Geschäftsrisiko (vorausgesetzt, dies ist auch für die Kunden akzeptabel) und das Aufzeigen von Verbesserungen als Teil des Managementsystems wird von Prüfern daher gut angenommen. Es zeigt auch eine Die Organisation hat die Kontrolle und ist sich ihrer Risiken bewusst. Daher legt der ARM den Schwerpunkt auf das Pragmatische über das Perfekte und ermöglicht es Ihnen, problemlos auf dem aufzubauen, was Sie heute haben. Anschließend planen Sie Verbesserungen im Laufe der Zeit, priorisiert unter Risikogesichtspunkten.
Wenn Sie heute noch nicht genug tun, dann das vorkonfigurierte ISMS.online-Plattform, die mitgelieferte umsetzbare Dokumentation und die optionalen Virtual Coach-Dienste helfen Ihnen dabei, viel schneller und zu geringeren Gesamtkosten Ergebnisse zu erzielen als mit allen anderen Alternativen. Der Virtual Coach beinhaltet auch die ARM-Schritte zum Erfolg, die unten zusammengefasst sind.
Wir machen das Erreichen von ISO 27001 einfach
Verschaffen Sie sich einen Vorsprung von 77 %
Unser ISMS ist mit Tools, Frameworks und Dokumentation vorkonfiguriert, die Sie übernehmen, anpassen oder ergänzen können. Einfach.
Ihr Weg zum Erfolg
Unsere Assured-Results-Methode ist darauf ausgelegt, Sie gleich beim ersten Versuch zertifizieren zu lassen. 100 % Erfolgsquote.
Sieh und lern
Vergessen Sie zeitraubende und kostspielige Schulungen. Unsere Virtual Coach-Videoserie steht Ihnen rund um die Uhr zur Verfügung, um Sie dabei zu unterstützen.
So befolgen Sie ARM für einen schnellen und effektiven ISO 27001-Erfolg
Schritt 1: Beschreiben Sie die aktuelle organisatorische Informationssicherheitsumgebung
A: Legen Sie den Grundstein für ein erfolgreiches Informationssicherheitsmanagement
Das bedeutet, dass Sie Ihre Organisation und deren Relevanz verstehen Informationssicherheit dazu. Es umfasst Überlegungen für Parteien, die an Ihrem Informationssicherheitsmanagement interessiert sind, die Informationsbestände, die Sie schützen müssen, die Risiken, denen Sie ausgesetzt sind, und Ihre oberste Ebene Informationssicherheitsrichtlinie.
Praktischerweise gehört dazu auch die Adressierung Klausel 4, Klausel 5und Abschnitt 6 der Norm ISO 27001 zusammen mit Anhang A 8, der sich auf die Klassifizierung von Informationen und die Bestandsaufnahme von Informationsressourcen konzentriert. Wenn Sie dies noch nicht können, finden Sie auf der Plattform ISMS.online zahlreiche Inhalte und Tools, die Ihnen dabei helfen, diese Bereiche schnell zu beschreiben. Es bietet auch eine Liste der gängigsten Risiken der Informationssicherheit, verlinkt auf die relevanten Anhang-A-Kontrollen und stellt entscheidend sicher, dass Sie einen Ansatz für Ihre Implementierung wählen, der zu Ihrer Unternehmenskultur, Risikobereitschaft und gewünschten Arbeitsweisen passt.
B: Beschreiben Sie aktuelle Richtlinien und Kontrollen zur Informationssicherheit
Sie verfügen bereits über einige Richtlinien und Kontrollen, auch wenn diese eher implizit als gut dokumentiert sind. Diese basieren höchstwahrscheinlich auf der Berücksichtigung von Risiken oder vermeintlichen „Best Practices“ und dem Wissen professioneller Mitarbeiter oder einfach nur auf vernünftigen Ansätzen zum Schutz Ihrer wertvollen Informationen vor böswilligen Parteien. Es kann sein, dass dies nicht formell geschehen ist Risikobewertung oder dokumentierter Ansatz. Für diesen Schritt müssen Sie lediglich beschreiben, was Sie heute im Kontext der Standards tun Richtlinien und Kontrollen in Anhang A, und verknüpfen Sie es dann wieder mit den Informationsressourcen und der Hauptrisikoarbeit, die Sie bei der Grundsteinlegung leisten werden.
Wenn Sie nicht einfach beschreiben können, wie Sie arbeiten heute in den relevanten Bereichen der Informationssicherheit Basierend auf Ihrer Risikoanalyse können Sie dies auch nicht im Audit der Stufe 2 nachweisen, sodass ein externer Prüfer keine andere Wahl hat, als Hinweise auf Nichtkonformität und potenzielle Fehler herauszugeben. Es ist eines der häufigsten Probleme, mit denen Unternehmen konfrontiert sind, wenn sie einfach Toolkits für Informationssicherheitsrichtlinien-Dokumente kaufen, sie dann in einem gemeinsamen Laufwerk ablegen und denken, das sei gut genug für den Erfolg. es ist nicht. Die umsetzbare Dokumentation, der Inhalt und die vorgefertigten Tools innerhalb der ISMS.online-Plattform für die Anhang-A-Kontrollen werden Ihnen bei Ihrer Überlegung helfen. Sie geben Ihnen auch die Möglichkeit, es zu übernehmen, anzupassen oder zu ergänzen, was enorm viel Zeit spart und vor allem sicherstellt, dass es für Ihr Unternehmen richtig ist, um es auch in der Praxis unter Beweis stellen zu können.
C: Übernahme oder Anpassung der verbleibenden Kernanforderungen von ISO 27001
Jetzt können Sie zurückgehen und beschreiben, wie Sie die verbleibenden Kernanforderungen des Standards angehen werden, die sich eher auf die betriebliche Verwaltung und die laufende Verbesserung des Informationssicherheits-Managementsystems konzentrieren. Es beinhaltet, wie Sie einige administrativ schmerzhafte, aber wichtige Aspekte des ISMS angehen und die Führung und Rollen klären, die das Informationssicherheitsmanagementsystem unterstützen. Die möglicherweise mühsame Verwaltung umfasst die Dokumentation der Anwendbarkeitserklärung für ISO 27001 Abschnitt 6.1.3 sowie der Prozesse dafür Erfüllung der Informationssicherheitsziele in Abschnitt 6 der Kernanforderungen. In diesem Teil wird auch darauf eingegangen, wie der Vorgang verwaltet wird. interne AuditsEs werden Managementbewertungen, Korrekturmaßnahmen, Nichtkonformitäten und Verbesserungen durchgeführt.
Wie die anderen Teile von ISO 27001 hat ISMS.online hier bereits viele der Anforderungen berücksichtigt, was einen relativ unkomplizierten Ansatz mit automatisierter Berichterstellung und praktischen vorkonfigurierten Arbeitsbereichen bedeutet, um diesen effektiven Betrieb einfach zu demonstrieren. Es trägt wesentlich dazu bei, dass Sie diese endgültigen Anforderungen in möglichst kurzer Zeit erreichen.
Schritt 2: Gehen Sie mit dem ISMS live
Je früher Sie Ihr Informationssicherheitsmanagementsystem in den Betriebsmodus versetzen können, desto schneller kann es zum „Business as Usual“ übergehen und zeigen, dass Sie die Informationssicherheit ernst nehmen. Es ist wahrscheinlich, dass Ihr ISMS wird organisch mit Prozessen in Betrieb gehenWährend des Implementierungszeitraums werden Kontrollen und Richtlinien eingeführt. Es ist jedoch von Vorteil, ein Datum anzugeben, an dem das ISMS als „lebendig und betriebsbereit“ gilt.
Die Vorteile sind:
- Ein klar definierter „Startpunkt“, vor dem die Prüfer keine Überlegungen anstellen sollten Umfang des ISMS-Audits und sollte nicht dokumentiert werden Feststellungen der Nichteinhaltung vor diesem Datum
- Es konzentriert sich auf verantwortliche Parteien innerhalb der Organisation ab dem Zeitpunkt, an dem von ihnen erwartet wird, dass sie Nachweise für Kontrollen in ihrem Verantwortungsbereich erbringen
- Alles, was vor diesem Datum liegt, kann bei einem Audit von Ihnen als „vorzeitige Einführung“ bezeichnet werden.
Sie müssen zum Go-Live-Datum nicht „perfekt“ sein, aber es lohnt sich, ein Datum auszuwählen, an dem die meisten Prozesse, Richtlinien und Kontrollen betriebsbereit sind. Natürlich können zwischen diesem Datum und dem Audit der Stufe 1 oder 2 noch Verbesserungen vorgenommen werden.
Idealerweise sollte das Datum mindestens 1 Monat vor dem Audit der Stufe 1 liegen (normalerweise 1 Monat vor dem Audit der Stufe 2). Damit soll sichergestellt werden, dass durch die Zeitpunkt des Audits der Stufe 2Es wurden Beweise im Wert von mindestens 2 Monaten gesammelt.
Vereinbaren und dokumentieren Sie das formelle „Start“-Datum des ISMS. Wenn Sie ISMS.online nutzen, empfehlen wir Ihnen, dies in Ihrem ISMS-Board-Bereich zu erfassen und zu dokumentieren und es auch Ihren Mitarbeitern in diesem Bereich mitzuteilen, z. B. über Ihre ISMS.online-Gruppenkommunikation, und es dem Prüfer auf Anfrage zur Einsichtnahme zur Verfügung zu stellen.
Schritt 3: Planen Sie Verbesserungen der Informationssicherheit
Bei der Beschreibung Ihrer aktuellen Informationssicherheitsimplementierung ist es sehr wahrscheinlich, dass Sie Verbesserungen identifiziert haben, die Sie benötigen oder vornehmen möchten. Dies kann darin bestehen, Ihre Risiken weiter auf ein akzeptables Maß zu reduzieren, die betriebliche Effizienz zu verbessern oder sogar neue Chancen zu nutzen. Anstatt zu diesem Zeitpunkt langsamer zu werden, um sich zu verbessern, hätten Sie sich Notizen zu diesen verbesserungswürdigen Bereichen gemacht, und jetzt ist es an der Zeit, diese Verbesserungen der Informationssicherheit zu planen. Dadurch zeigen Sie, dass Sie die Kontrolle über das ISMS haben und zeigen Ihrer Geschäftsleitung sowie einem externen Prüfer, dass Sie sich kontinuierlich verbessern.
In ISMS.online wird empfohlen, diese Verbesserungen im „Corrective Actions & Improvements Track“ aufzuzeichnen (oder, wenn es ganz einfach ist, sie als Aufgaben in den entsprechenden Risikobehandlungsplan einzufügen). Um nachzuweisen, dass die Kontrolle und Planung effektiv sind, sollten Sie jetzt alles überprüfen Bearbeiten Sie die Elemente und weisen Sie Eigentümer zu, priorisieren Sie sie für Maßnahmen und legen Sie Zieltermine für die Fertigstellung fest.
Bei der Priorisierung sollte Folgendes berücksichtigt werden:
- Wie einfach die Umsetzung der Verbesserung sein wird
- Wie viel Risikominderung oder andere Vorteile werden erreicht?
- Wenn die Implementierung der Verbesserung nach der Zertifizierung abgeschlossen werden kann (wobei der Risikoeigentümer das über dem Ziel liegende Risikoniveau gerne akzeptiert, bis die Implementierung abgeschlossen ist)
- Wenn die Implementierung vor dem ISO 27001 Stufe 1 Audit abgeschlossen sein muss (Verbesserungen der Beschreibung der Kontrollen)
- Wenn die Implementierung vor dem ISO 27001-Stufe-2-Audit abgeschlossen sein muss (Verbesserungen bei der Implementierung und dem Betrieb von Kontrollen)
Wenn vor dem Audit der Stufe 1 oder 2 festgestellte Verbesserungen erforderlich sind, sollten Sie sicher sein, dass diese erreicht werden können, bevor Sie das entsprechende Audit buchen. (Die Prüfungen der Stufen 1 und 2 liegen normalerweise etwa einen Monat auseinander).
Wenn Sie Schritt 3 abgeschlossen haben, sind Sie in einer wirklich guten Ausgangslage, um das Audit der Stufe 1 erfolgreich zu absolvieren.
Schritt 4: ISO 27001-Audits der Stufen 1 und 2
Was ist das Audit der Stufe 1 für ISO 27001?
Nachdem Sie die Schritte 1 bis 3 abgeschlossen haben, sind Sie für das Audit der Stufe 1 bestens gerüstet. Der Prüfer der Zertifizierungsstelle möchte die Dokumentation des Informationssicherheits-Managementsystems sehen und verstehen, dass Sie die Anforderungen zumindest theoretisch erfüllt haben! Bei dieser Phase handelt es sich eher um eine Desktop-Überprüfung des ISMS mit dem Prüfer, die die obligatorischen Bereiche abdeckt und sicherstellt, dass der Geist des Standards angewendet wird. Zukunftsorientierte Zertifizierungsstellen beginnen damit, dies über Plattformen wie ISMS.online aus der Ferne durchzuführen, was die Kosten senkt und den Prozess auch beschleunigen kann. Das Ergebnis dieser Übung ist eine Empfehlung für die Auditbereitschaft der Stufe 2 (möglicherweise mit Beobachtungen, die während des Audits der Stufe 2 neu bewertet werden müssen) oder die Notwendigkeit, alle festgestellten Nichtkonformitäten zu beheben, bevor weitere Fortschritte erzielt werden können.
Was ist das Audit der Stufe 2 für ISO 27001?
Nach Abschluss des Audits der Stufe 1 verfügt der Auditor über ein grundlegendes Verständnis Ihrer Organisation Informationssicherheitslage und ihr Ansatz für das Informationssicherheitsmanagement. Sie werden nun sehen wollen, dass Sie tatsächlich das tun, was Sie sagen. Darüber hinaus erwarten sie, dass Sie beurteilen, wie effektiv Ihr ISMS ist und wie Sie die kontinuierliche Verbesserung bewältigen. Das Ziel des Stufe-2-Audits besteht darin, nachzuweisen, dass Ihr ISMS wie beschrieben und in Übereinstimmung mit den Anforderungen des Standards funktioniert und das Maß an Informationssicherheit bietet, das als angemessen und verhältnismäßig zu den Risiken angesehen wird, denen Ihr Unternehmen ausgesetzt ist. Stufe 1 ist recht einfach, aber in Stufe 2 geht es darum, dem Prüfer die Gewissheit zu geben, dass Sie das ISMS in lebendiger Form über den angegebenen Umfang hinweg demonstrieren.
Stellen Sie sich als letzten Gegencheck vor dem Audit der Stufe 2 die folgenden einfachen Fragen:
- Haben wir kritische Feststellungen aus dem Phase-1-Audit abgeschlossen?
- Können wir den Betrieb aller erforderlichen ISMS-Prozesse nachweisen?
- Werden Ziele gemessen und erreicht?
- Wird das Risikoregister geführt?
- Is Sicherheitsbewusstsein und Schulung für diejenigen bereitgestellt, die in den Geltungsbereich fallen?
- Sind Kompetenzlücken geschlossen sein?
- Werden interne Audits durchgeführt?
- Sind formell ISMS-Management-Bewertungen durchgeführt?
- Werden Korrekturmaßnahmen und Verbesserungen protokolliert und nachverfolgt?
- Können wir den Betrieb aller relevanten Informationssicherheitskontrollen und -prozesse nachweisen?
- Können wir nachweisen, dass bei identifizierten Vorfällen diese im Laufe der Zeit protokolliert, verfolgt, verwaltet und umgesetzt werden?
- Können wir zeigen, dass wir mit unserem aktuellen Risikoprofil zufrieden sind? Das ist:
- Das Risiko ist tolerierbar und es sind derzeit keine weiteren Maßnahmen erforderlich
- Ist ein Risiko derzeit akzeptabel, wenn man identifizierte Verbesserungen berücksichtigt, die protokolliert wurden und über einen definierten Zeitraum umgesetzt werden?
Wenn Sie diese Fragen mit „Ja“ beantworten können, sind Sie wahrscheinlich bereit für das Audit der Stufe 2.
Der Prüfer wird weitere Untersuchungen durchführen, dann Ihren Ansatz stichprobenartig testen und mit ziemlicher Sicherheit Mitarbeiter auswählen, um nachzuweisen, dass sie geschult, aufmerksam und konform sind. Es ist sehr wichtig, dass Ihre Mitarbeiter und andere Personen im Geltungsbereich (z. B. Lieferanten) auf Anfrage des Prüfers nachweisen können, dass sie wissen, wo sie die angegebenen Richtlinien und Verfahren finden, und diese befolgen. Angebote von ISMS.online Richtlinienpakete zur Compliance-Demonstration und ISMS-Kommunikationsgruppen zur Einbindung von Mitarbeitern und wichtigen Lieferanten zum Thema Informationssicherheit. Die Beweisaufnahme kann Folgendes umfassen:
- Physische Inspektionen (z. B. Rundgang vor Ort/im Büro)
- Interviews mit Mitarbeitern, die für das ISMS oder die Informationssicherheit verantwortlich sind
- Interviews mit allgemeinem Personal (z. B. zur Überprüfung der Bekanntheit)
- Einsicht in Protokolle und Aufzeichnungen (jeglicher Art)
- Überprüfung der Implementierung technischer Kontrollen (z. B. Konfigurationsdateien)
Wenn Ihr Geltungsbereich mehrere Standorte umfasst, möchte die Zertifizierungsstelle eine Reihe davon prüfen, insbesondere Standorte mit Schlüsselfunktionen. Genaue Einzelheiten erhalten Sie bei der Angebotsanfrage.
Es gibt zwei Ergebnisse des Stufe-2-Audits:
- Nicht für die Zertifizierung empfohlen – Dies ist höchst ungewöhnlich, da alle größeren Probleme während des Audits der Stufe 1 hätten identifiziert werden müssen. Es passiert, wenn Maßnahmen zur Behebung von Nichtkonformitäten aus dem Audit der Stufe 1 wurden nicht übernommen. In sehr seltenen Fällen wird eine bisher unentdeckte schwerwiegende Nichtkonformität festgestellt. Wenn dies geschieht, wird die Zertifizierungsstelle das Audit mit ziemlicher Sicherheit sofort stoppen und die erforderlichen Schritte zur Behebung des Problems detailliert beschreiben. Im schlimmsten Fall kann eine erneute Durchführung des Audits der Stufe 2 erforderlich sein.
- Empfohlen für die Zertifizierung – Das bedeutet, dass Sie Ihre Zertifizierung vorbehaltlich einer Peer-Review des Audits innerhalb der Zertifizierungsstelle und einer möglichen Überprüfung durch die Akkreditierungsstelle (z. B. UKAS) erhalten.
Möglicherweise erhalten Sie auch Bereiche mit Verbesserungsbedarf oder geringfügige Abweichungen, die gemäß den Empfehlungen des Prüfers behoben werden sollten.
Was passiert nach dem ISO 27001 Stufe 2 Audit?
Wenn Sie zur Zertifizierung empfohlen wurden... HERZLICHEN GLÜCKWUNSCH! Genießen Sie den Moment, denn es ist wirklich harte Arbeit, ein unabhängig zertifiziertes Informationssicherheitsmanagement aufzubauen, dem die Menschen vertrauen können. Wenn es einfach wäre, würde es jeder tun, aber er tut es nicht. Obwohl ISMS.online die gesamte Reise viel einfacher und schneller macht, ist es dennoch eine wunderbare Leistung, die es wert ist, gefeiert zu werden.
Anschließend prüft die Zertifizierungsstelle den Auditbericht intern und leitet ihn an die Akkreditierungsstelle (z. B. UKAS) weiter, die sich eine Stichprobe jeder Zertifizierungsstelle ansieht, um sicherzustellen, dass die Standards eingehalten werden. Sobald die Akkreditierungsstelle ihr Gütesiegel vergibt, wird ein Zertifikat ausgestellt. Der Prozess der Überprüfung und Zertifizierung dauert normalerweise 3-4 Wochen. Die Gültigkeitsdauer des Zertifikats beträgt 3 Jahre, und Sie werden in regelmäßigen Abständen, in der Regel jährlich, Überwachungsaudits durchführen.
Vorerst können Sie weitermachen, indem Sie „Erfolge feiern und auf ihnen aufbauen“, denn ein ISMS ist lebenslang und nicht nur die erste Zertifizierung. Was gegeben werden kann, kann leicht wieder weggenommen werden, wenn Sie Ihren Ansatz nicht im Laufe der Zeit beibehalten und verbessern. Denken Sie also daran, ein wenig und oft weiterzumachen, und Sie werden feststellen, dass es sich schnell in eine sehr überschaubare, positive Erfahrung für Sie und die Organisation einfügt .
