Unsere Top -Tipps zum ersten Mal ISO 27001 Audit Erfolg

Wenn du willst ISO Zertifizierung 27001, Ihr Audit der Stufe 2 wird einer der großen Knackpunkte sein. Sie müssen nachweisen, dass Ihr ISMS mehr ist als nur gut geschriebene Dokumente und allgemeine gute Absichten. Es muss in der Praxis genauso gut funktionieren wie auf dem Papier.

Im Laufe der Jahre haben wir vielen Kunden geholfen, beim ersten Audit der Stufe 2 erfolgreich zu sein. Und einige unserer ISO 27001 Die Experten waren selbst Auditoren der Zertifizierungsstellen, daher kennen wir den Prozess von beiden Seiten sehr gut. Wir haben darauf zurückgegriffen, um Folgendes zu teilen:

  • Stufe Prüfung beste Tipps
  • ISO 27001 Starter-for-Ten-Checkliste

Achten Sie darauf, alles Nötige abzudecken

Ihr Prüfer wird sich jeden Teil Ihres ISMS ansehen. Sie werden sich insbesondere auf die Kernkomponenten konzentrieren. Wenn diese nicht den Anforderungen entsprechen, werden Sie nicht für die Zertifizierung empfohlen. Wenn Sie sich also auf Ihr Audit vorbereiten, achten Sie besonders darauf, Folgendes abzudecken:

Risikomanagement

Damit Ihre Infosec-Abwehr funktioniert, müssen Sie verstehen, wovor Sie sich schützen. Gehen Sie also Ihre durch Risikomanagement Inhalte und Prozesse mit einem feinen Zahnkamm.

Stellen Sie sicher, dass Sie Folgendes haben:

Vermögensverwaltung

Ihr ISMS blickt sowohl nach innen als auch nach außen. Ihr Prüfer muss sicherstellen, dass Sie genau verstehen, was Sie schützen. Überprüfen Sie also noch einmal, ob Sie alles aufgezeichnet und verstanden haben Informationsvermögen.

Bedenken Sie, dass Ihre Organisation Informationsressourcen sind mehr als nur ihre IT-Software und Hardware. Die Liste kann alles umfassen, von Kunden und Lieferanten über Verträge bis hin zu immateriellen Werten wie Ihrer Marke und Ihrem Ruf. Stellen Sie sicher, dass Sie alles enthalten haben!

Incident Management

Ihr Prüfer prüft, ob Ihr ISMS in der Praxis funktioniert. Sie müssen also dafür sorgen, dass Sie und Ihre Kollegen genau wissen, was zu tun ist, wenn das Schlimmste passiert und der Zucker am Dampfen ist.

Sie müssen absolut sicher sein, dass Ihre Vorfallmanagement Die Prozesse sind auf dem neuesten Stand. Das heißt festhalten:

  • Wann und wie sie ausgelöst werden
  • Wer macht was wann, wenn ein neuer Vorfall eintritt
  • Wie Sie Ihre Reaktion auf jeden Vorfall aufzeichnen und daraus lernen, damit Sie:
    • Verbessern Sie Ihr ISMS
    • Stellen Sie sicher, dass Wiederholungen weniger oder gar keine Auswirkungen haben

Integrieren Sie Ihr ISMS richtig

Ihr Prüfer muss sicherstellen, dass Ihr ISMS in der Praxis funktioniert. Um sicherzustellen, dass dies der Fall ist, lassen Sie es eine Weile laufen. Nehmen Sie sich etwas Zeit und Raum, um Vertrauen in Ihr ISMS aufzubauen, bevor Sie es Ihrem Prüfer zeigen.

Sie werden auf zwei Arten Selbstvertrauen aufbauen. Zum Teil wird es von selbst kommen, wenn Sie Ihr ISMS überwachen, sehen, was funktioniert, und korrigieren, was nicht. Sie sollten aber auch einige formellere Kästchen ankreuzen. Stellen Sie sicher, dass Sie Folgendes durchgeführt haben:

  • Ein oder mehrere interne Audits und Managementsystemüberprüfungen
  • Angemessene Schulungs- und Einbindungsaktivitäten für das Personal

Dieser zweite Punkt ist besonders wichtig. Ein ISMS ist nur dann wirksam, wenn die Menschen es verstehen und einhalten. Stellen Sie also sicher, dass Ihre Leute Folgendes wissen:

  • Wofür es ist
  • Warum es so wichtig ist
  • Welche Richtlinien und Kontrollen sie befolgen müssen
  • Wie man ihnen genau folgt

Stellen Sie sicher, dass Ihr ISMS echte Veränderungen herbeiführt

Organisationen erstellen ISMS, weil sie ohne sie nicht sicher genug sind. Um sicher zu werden, müssen Unternehmen ihren Sicherheitsansatz ändern. Dadurch lässt sich ganz einfach überprüfen, ob Ihr ISMS prüfungsbereit ist. Frag dich selbst:

Hat sich tatsächlich etwas geändert?

Eine effektive ISMS wird sichtbare, praktische Veränderungen in der Arbeitsweise Ihrer Organisation bewirken. Diese Änderungen wirken sich sowohl auf die internen als auch externen Prozesse und Beziehungen aus. Sie sollten für Sie sehr offensichtlich sein.

Wenn Ihr ISMS praktische, positive und offensichtliche Veränderungen hervorgebracht hat, ist es der Prüfungsreife einen Schritt näher gekommen. Aber wenn es nur Ihr bestehendes umbenannt wird Sicherheitssysteme, Sie haben wahrscheinlich noch mehr Arbeit vor sich.

Machen Sie sich keine Sorgen, dass Sperrungen Auswirkungen auf Ihre Prüfung haben könnten

Audits der Stufe 2 erfolgten stets ausführlich und vor Ort. Das ist in unserer modernen, von Covid infizierten Welt schwierig. Aber lass dich davon nicht beunruhigen.

Die Zertifizierungsstellen sind sich darüber im Klaren, dass der Auditprozess unabhängig vom Sperrstatus einer Organisation wie gewohnt weitergeführt werden sollte. Sie prüfen Ihre Organisation gerne aus der Ferne und arbeiten mit Ihnen zusammen alle Herausforderungen meistern.

Durch Remote-Audits ist es umso wichtiger, über ein vollständig transparentes, leicht zugängliches All-in-One-ISMS zu verfügen, wie (wir denken, wir sollten es erwähnen). unsere Plattform könnte Ihnen beim Erstellen helfen. Und wenn Sie bereits bei uns sind, haben Sie das bereits.

Hören Sie nicht auf, wenn Ihr Audit der Stufe 2 abgeschlossen ist

„Viele Organisationen bestehen ihr Audit, feiern ihre harte Arbeit und … vergessen im Grunde alles über ihr ISMS.“ Jeder geht wieder seinem Tagesjob nach. Dann, etwa zehn Monate später, herrscht große Panik, wenn sie sich auf ihr erstes Wartungsaudit vorbereiten müssen.

Ein ISMS ist kein Fire-and-Forget-System. Um die ISO 27001-Zertifizierung aufrechtzuerhalten, muss es:

  • Lernen Sie aus allen Infosec-Vorfällen
  • Entwickeln Sie sich weiter, während die Mutterorganisation wächst und sich verändert
  • Berücksichtigen Sie alle neuen Bedrohungen und Entwicklungen im Bereich der Informationssicherheit

Wir sagen oft, dass die Wartung Ihres ISMS eine ebenso große Herausforderung darstellt wie die Einrichtung und den Betrieb. Stellen Sie sicher, dass es eine Herausforderung ist, für die Sie bereit sind!

Befolgen Sie unsere Starter-for-Ten-Checkliste nach ISO 27001

Wir haben Ihnen einige allgemeine Tipps zur Vorbereitung auf Ihr Stufe-2-Audit gegeben. Wir werden mit einigen spezifischen Hinweisen enden. Diese Tabelle ist ein Starter-für-Ten-Leitfaden zur Überprüfung Ihres ISMS anhand der ISO 27001 Standard. Es wird Ihnen helfen, sich zu konzentrieren, während Sie die einzelnen Teile durchdenken.

 

ISO 27001 Referenz & Beschreibung

Klausel 10.1

Wurden alle Erkenntnisse aus Ihrem Stufe-1-Audit protokolliert, verwaltet und nachverfolgt?

Wurden alle wesentlichen Nichtkonformitäten vollständig behoben?

Sind geringfügige Nichtkonformitäten entweder abgeschlossen oder auf dem richtigen Weg? Korrekturmaßnahme planen?

Klausel 5

Laufen alle geplanten Prozesse zeitgerecht ab, um ein ausreichendes Ressourcenniveau anzuzeigen?

Klauseln 6.1, 8.2 und 8.3

Zeigt Ihr Risikoregister ein genaues aktuelles Bild des Risikoniveaus (d. h. Sie sind? Aktualisierung der Risiken im Hinblick auf Änderungen und Verbesserungen der Risikobehandlung)?

Klausel 6.2

Stehen Sie Erreichen Ihrer Informationssicherheitsziele?

Klausel 7.2

Schließen Sie welche? Informationssicherheit Kompetenzlücken?

Klausel 7.3

Betreiben Sie die Informationssicherheit? Bewusstsein Programm, das Sie beschrieben haben?

Klausel 9.1

Haben Sie Ihre genommen und beurteilt? ISMS-Leistungsmessungen?

Klauseln 9.2, 10.1 und 10.2

Haben Sie mindestens zwei abgeschlossen? interne Audits aus dem Auditplan?

Haben Sie alle Ihre Ergebnisse protokolliert, verfolgt und verwaltet?

Sie müssen nicht unbedingt Ergebnisse vervollständigen, die einer erheblichen Verbesserung bedürfen, aber Sie müssen nachweisen, dass Maßnahmen geplant sind oder im Gange sind.

Klauseln 9.3, 10.1 und 10.2

Verfügt über mindestens ein formelles ISMS Managementbewertung gemäß den Anforderungen der Norm stattgefunden?

Haben Sie alle Befunde protokolliert, nachverfolgt und verwaltet?

Anhang A-Kontrollen

Können Sie nachweisen, dass Sie jede Kontrolle und jeden relevanten Prozess effektiv betreiben?

Können Sie dort, wo Sie Verbesserungen vornehmen müssen, nachweisen, dass Sie diese verfolgen und verwalten?

A.16. Management von Informationssicherheitsvorfällen

Können Sie nachweisen, dass Sie Vorfälle im Laufe der Zeit protokollieren, verfolgen, verwalten und darauf reagieren?

Zum Abschluss… und viel Glück!

Wir haben viel über das Audit der Stufe 2 nachgedacht, weil wir es erstellt haben unsere Plattform um unseren Kunden dabei zu helfen. Tatsächlich jeder Kunde, der unserem gefolgt ist Methode mit gesicherten Ergebnissen hat die Zertifizierung gleich beim ersten Versuch bestanden.

Und Sie müssen nicht alles noch einmal von vorne beginnen. Es ist ganz einfach, Ihre bestehende Arbeit auf unsere Plattform zu migrieren. Sie können wechseln, wann immer es Ihnen passt, auch wenn Sie Ihr Stufe-1-Audit abgeschlossen haben oder bereits abgeschlossen haben ISO 27001 erreicht Zertifizierung.

Und das ist das. Wenn dieser Blog-Beitrag Ihnen bei Ihrem Audit der Stufe 2 hilft, lassen Sie es uns wissen – wir freuen uns zu hören, wie Unternehmen damit zurechtkommen. Jetzt bleibt uns nur noch, Ihnen viel Glück zu wünschen! Wir sind sicher, dass sich Ihre harte Arbeit auszahlen wird.

 

Sind Sie bereit zu erfahren, wie wir Ihnen zum ersten Erfolg in Phase 2 verhelfen können?

Buchen Sie eine unverbindliche Demo, um unsere Plattform in Aktion zu sehen. Und wir sind überraschend erschwinglich. Hier können Sie Ihr Angebot einholen.

« So führen Sie Ihr ISO 27001-Management-Review durch

5 Top-Tipps für die ISO 27001-Zertifizierung »

Zuletzt bearbeitet: 7. Februar 2022
Autor

Al Robertson

Al ist ein professioneller Autor und veröffentlichter Autor, der eine Reihe von Themen abdeckt. Er hat eine Reihe von Artikeln zum Thema Compliance und insbesondere zur Informationssicherheit verfasst und erläutert, wie die ISO 27001-Zertifizierung Unternehmen beim Wachstum unterstützen kann.

Alle Beiträge von Al Robertson anzeigen

Zusammenhängende Posts

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren