Da Informationssicherheitsverletzungen zur neuen Normalität geworden sind, müssen Sicherheitsteams spezielle Maßnahmen ergreifen, um das Risiko eines schädlichen Verstoßes zu verringern. Die ISO 27001 stellt einen effektiven Weg dar, solche Risiken zu reduzieren.
In diesem Blog erklären wir, wie Sie die ISO 27001-Zertifizierung erhalten und werfen einen Blick auf den Zertifizierungsprozess.
Prepare
Get an understanding of ISO 27001
Das Lesen der Norm bietet einen hervorragenden Hintergrund zu ISO 27001 und seinen Anforderungen. Es gibt verschiedene Möglichkeiten, sich über ISO 27001 zu informieren:
- Lesen Sie ein kostenloses Whitepaper über die Norm
- Lesen Sie die kostenlosen Informationen der Governance über ISO 27001 und die ersten Schritte
- Erwerben Sie eine Kopie der Norm (sie ist nicht frei verfügbar)
- Möglicherweise möchten Sie an einem Online-Einführungskurs zur ISO 27001 Foundation teilnehmen
Ernennen Sie einen ISO 27001-Champion
Einen Einblick in ISO 27001 zu erhalten, ist eine nützliche Möglichkeit, sich mit dem Zertifizierungsprozess vertraut zu machen, aber Sie benötigen einen echten Experten, um den Prozess abzuschließen.
Dies kann jemand in Ihrer Organisation oder ein Dritter sein, der den Prozess verwaltet. In jedem Fall sollten sie Erfahrung mit der Implementierung eines ISMS (Information Security Management System) haben und verstehen, wie die Anforderungen in Ihrem Unternehmen umgesetzt werden können.
Wenn Sie kein internes Fachwissen haben, können Sie sich für den ISO 27001 Online Lead Implementer Trainingskurs anmelden.
Sichere Unterstützung der Geschäftsleitung
Kein Projekt kann ohne das Buy-In und die Unterstützung der Unternehmensführung erfolgreich sein.
Eine Gap-Analyse, die eine umfassende Überprüfung aller bestehenden Informationssicherheitsvorkehrungen gegen die Anforderungen der ISO/IEC 27001:2013 umfasst, stellt einen guten Ausgangspunkt dar.
Eine gründliche Lückenanalyse sollte idealerweise einen priorisierten Plan empfohlener Maßnahmen und zusätzliche Leitlinien für die Festlegung des Umfangs Ihres ISMS enthalten.
Die Ergebnisse der Lückenanalyse können zur Entwicklung eines starken Business Case für die Implementierung von ISO 27001 herangezogen werden.
Kontext, Umfang und Ziele festlegen
Es ist wichtig, die Projekt- und ISMS-Ziele von Anfang an festzulegen, einschließlich Projektkosten und Zeitrahmen. Sie müssen überlegen, ob Sie externe Unterstützung durch eine Beratung in Anspruch nehmen oder über die erforderliche interne Expertise verfügen.
Vielleicht möchten Sie die Kontrolle über das gesamte Projekt behalten und sich in kritischen Phasen des Projekts auf die Unterstützung eines engagierten Online-Mentors verlassen.
Mit einem Online-Mentor können Sie sicherstellen, dass Ihr Projekt auf Kurs bleibt, und gleichzeitig die damit verbundenen Kosten für den Einsatz von Vollzeit-Beratern für die Dauer des Projekts sparen.
Sie müssen auch den Umfang des ISMS entwickeln, der sich auf die gesamte Organisation oder nur eine bestimmte Abteilung oder einen bestimmten geografischen Standort erstrecken kann.
Bei der Definition des Geltungsbereichs müssen Sie den organisatorischen Kontext sowie die Bedürfnisse und Anforderungen interessierter Parteien (Stakeholder, Mitarbeiter, Regierung, Aufsichtsbehörden usw.) berücksichtigen.).
‚Kontext‘ berücksichtigt interne und externe Faktoren, die die Informationssicherheit Ihres Unternehmens beeinflussen können. Es umfasst Aspekte wie die Organisationskultur, Risikoakzeptanzkriterien, bestehende Systeme, Prozesse usw.
(Betrachten Sie ein All-Inclusive-Do-it-Yourself-Paket, das fünf Tage strukturierte Beratung sowie Tools, Schulungen und Software umfasst).
Ein Management-Framework einrichten
Das Management-Framework beschreibt die Prozesse, die eine Organisation befolgen muss, um ihre ISO27001-Implementierungsziele zu erreichen.
Diese Prozesse umfassen die Durchsetzung der Rechenschaftspflicht des ISMS, einen Zeitplan für Aktivitäten und regelmäßige Audits, um einen kontinuierlichen Verbesserungszyklus zu unterstützen.
Durchführung einer Risikobewertung
ISO 27001 schreibt zwar keine spezifische Risikobewertungsmethode vor, verlangt jedoch, dass die Risikobewertung ein formaler Prozess ist.
Dies bedeutet, dass der Prozess geplant und die Daten, Analysen und Ergebnisse aufgezeichnet werden müssen.
Bevor Sie eine Risikobewertung durchführen, müssen Sie Ihre grundlegenden Sicherheitskriterien festlegen. Dies bezieht sich auf die geschäftlichen, rechtlichen und regulatorischen Anforderungen der Organisation sowie auf ihre vertraglichen Verpflichtungen im Zusammenhang mit der Informationssicherheit.
vsRisk Cloud, die einfachste und effektivste Risikobewertungssoftware, bietet den Rahmen und die Ressourcen für die Durchführung einer ISO 27001-konformen Risikobewertung.
Implementieren von Kontrollen zur Risikominderung
Sobald die relevanten Risiken identifiziert wurden, muss die Organisation entscheiden, ob die Risiken behandelt, toleriert, beendet oder übertragen werden sollen.
Es ist wichtig, alle Entscheidungen in Bezug auf Risikoantworten zu dokumentieren, da der Auditor sie während des Registrierungs- (Zertifizierungs-) Audits überprüfen möchte.
Die SoA (Statement of Applicability) und der RTP (Risk Treatment Plan) sind zwei obligatorische Berichte, die als Nachweis für die Risikobewertung vorgelegt werden müssen.
Schulungen durchführen
Der Standard verlangt, dass Sensibilisierungsprogramme für Mitarbeiter initiiert werden, um das Bewusstsein für Informationssicherheit im gesamten Unternehmen zu schärfen.
Sie müssen auch Richtlinien implementieren, die die Mitarbeiter zu guten Gewohnheiten führen. Dies kann eine Clean Desk-Richtlinie und die Anforderung umfassen, Computer zu sperren, wenn sie ihre Arbeitsstationen verlassen.
Ein unternehmensweiter E-Learning-Kurs zur Sensibilisierung der Mitarbeiter ist der einfachste Weg, um die Philosophie hinter dem Standard zu vermitteln und was Mitarbeiter tun sollten, um die Compliance sicherzustellen.
Überprüfen und Aktualisieren der erforderlichen Dokumentation
Dokumentation ist erforderlich, um die erforderlichen ISMS-Prozesse, Richtlinien und Verfahren zu unterstützen.
Die Erstellung von Richtlinien und Verfahren ist jedoch oft eine ziemlich mühsame und herausfordernde Aufgabe. Glücklicherweise stehen Dokumentationsvorlagen zur Verfügung, die von ISO 27001–Experten entwickelt wurden, um die meiste Arbeit für Sie zu erledigen.
Diese formatierten und vollständig anpassbaren Vorlagen enthalten fachkundige Anleitungen, die jeder Organisation helfen, alle Dokumentationsanforderungen der ISO 27001 zu erfüllen.
Der Standard erfordert mindestens die folgende Dokumentation:
- Geltungsbereich des ISMS
- Informationssicherheitspolitik
- Risikobewertungsprozess für die Informationssicherheit
- Prozess zur Behandlung von Risiken für die Informationssicherheit
- Erklärung zur Anwendbarkeit
- Ziele für die Informationssicherheit
- Kompetenznachweis
- Dokumentierte Informationen, die von der Organisation als notwendig für die Wirksamkeit des ISMS bestimmt wurden
- Operative Planung und Kontrolle
- Ergebnisse der Bewertung des Informationssicherheitsrisikos
- Ergebnisse des Informationssicherheitsrisikos behandlung
- Nachweis der Überwachung und Messung der Ergebnisse
- Ein dokumentierter interner Auditprozess
- Nachweis der Prüfungsprogramme und der Prüfungsergebnisse
- Nachweis der Ergebnisse von Managementüberprüfungen
- Nachweis der Art der Nichtkonformitäten und der daraus resultierenden Maßnahmen
- Nachweis der Ergebnisse von Korrekturmaßnahmen taken
Messen, überwachen und überprüfen
ISO 27001 unterstützt einen Prozess der kontinuierlichen Verbesserung. Dies erfordert, dass die Leistung des ISMS ständig analysiert und auf Wirksamkeit und Compliance überprüft wird und Verbesserungen an bestehenden Prozessen und Kontrollen identifiziert werden.
Durchführung eines internen Audits
ISO/IEC 27001:2013 schreibt interne Audits des ISMS in geplanten Intervallen vor. Praktische Kenntnisse des Lead-Audit-Prozesses sind auch für den Manager von entscheidender Bedeutung, der für die Implementierung und Aufrechterhaltung der ISO 27001-Compliance verantwortlich ist.
Der Online-Kurs Certified ISO 27001 Lead Auditor vermittelt Ihnen, wie Sie ein effektives Informationssicherheitsaudit nach ISO 27001: 2013 planen und durchführen.
Es lehrt Sie auch, ein Team von Auditoren zu führen und externe Audits durchzuführen. Wenn Sie noch keinen Registrar ausgewählt haben, müssen Sie möglicherweise eine geeignete Organisation für diesen Zweck auswählen.
Registrierungsaudits (um eine akkreditierte Registrierung zu erreichen, die weltweit anerkannt ist) dürfen nur von einem unabhängigen Registrar durchgeführt werden, der von der zuständigen Akkreditierungsbehörde in Ihrem Land akkreditiert ist.
Registrierungs-/Zertifizierungsaudits
Während des ersten Audits prüft der Auditor, ob Ihre Dokumentation den Anforderungen der ISO 27001 entspricht. Sie werden auch auf Bereiche hinweisen, in denen es zu Abweichungen und Verbesserungspotenzialen des Managementsystems kommt.
Sobald alle erforderlichen Änderungen vorgenommen wurden, ist Ihre Organisation für Ihr Registrierungsaudit der Stufe 2 bereit.
Zertifizierungsaudit
Während eines Audits der zweiten Stufe führt der Auditor eine gründliche Bewertung durch, um festzustellen, ob Sie die ISO 27001-Norm einhalten.
Wie lange dauert die Zertifizierung?
Der ISO 27001-Implementierungsprozess hängt von der Größe und Komplexität des Managementsystems ab, aber in den meisten Fällen können kleine bis mittlere Unternehmen damit rechnen, den Prozess innerhalb von 6-12 Monaten abzuschließen.
Zertifizierungsunterstützung mit IT Governance USA
Sind Sie bereit, Ihr ISO 27001-Projekt zu beginnen? Dann sind unsere Implementierungspakete der perfekte Ausgangspunkt.
Mit einer Kombination aus Tools, Software, Leitfäden und qualifizierungsbasierten Schulungen mit bis zu 40 Stunden Online-Beratung erhalten Sie die fachkundige Anleitung, die Sie benötigen, um die Anforderungen Ihres Unternehmens zu erfüllen.
Sie helfen Ihnen, den Zeit- und Arbeitsaufwand für die Implementierung eines ISMS zu reduzieren und die Kosten für Beratungsarbeit, Reisen und andere Kosten im Zusammenhang mit traditioneller Beratung zu eliminieren.
Eine Version dieses Blogs wurde ursprünglich am 13.März 2019 veröffentlicht.