Blog
Sprintwinkel rechts
ISO 27001
Sprintwinkel rechts
ISO 27001 Checkliste: 13 einfache Schritte für den Einstieg

ISO 27001 Checkliste: 13 einfache Schritte für den Einstieg

TL; DR

Eine ISO 27001-Checkliste bietet Organisationen einen strukturierten Fahrplan zur Implementierung eines Informationssicherheits-Managementsystems (ISMS), zur Vorbereitung auf die Zertifizierung und hilft dabei, sich nicht in Richtlinien, Verfahren, Kontrollen und Auditdokumentation zu verlieren.
Die 13-stufige Checkliste zur Implementierung von ISO 27001 umfasst die Bildung eines internen Teams, die Definition des Geltungsbereichs des ISMS, die Erstellung von Richtlinien und Verfahren, die Durchführung von Risikobewertungen, die Erstellung der Anwendbarkeitserklärung (Statement of Applicability, SOA), die Implementierung der Kontrollen gemäß Anhang A und die Durchführung interner Audits.
Die ISO 27001-Zertifizierung erfordert außerdem externe Audits der Stufen 1 und 2, gefolgt von jährlichen Überwachungsaudits und kontinuierlichen Verbesserungen durch Risikobewertungen, Aktualisierungen der Richtlinien, Monitoring und Korrekturmaßnahmen.
Teams, die bereits SOC 2 anwenden, können bestehende Trust Services-Kontrollen den Anforderungen von ISO 27001 zuordnen, um gegebenenfalls Nachweise wiederzuverwenden, während Automatisierungsplattformen wie Sprinto den Aufwand für manuelle Dokumentation, Nachweissammlung und Auditvorbereitung reduzieren können.

ISO 27001, der Goldstandard für Informationssicherheit, ist sehr umfassend und strukturiert. Viele Unternehmen fühlen sich entweder überfordert, wo sie anfangen sollen, oder versuchen, die Dinge zu kompliziert zu gestalten. Unsere ISO-27001-Checkliste bietet hierfür die Lösung.

Es spart Ihnen Zeit, indem es Unsicherheiten minimiert und Ihnen den nötigen Fahrplan für einen beschleunigten Zertifizierungsprozess bietet. Lesen Sie weiter für eine Schritt-für-Schritt-Anleitung.

Sprinto-Logo
Verzichten Sie auf die manuelle Checklistenarbeit.

Warum ist die ISO 27001-Checkliste für jede Organisation so wichtig?

Eine Checkliste nach ISO 27001 ist entscheidend für die Vereinfachung der Implementierung des Rahmenwerks. Sie erläutert die wichtigsten Punkte zur Abgrenzung des ISMS-Geltungsbereichs, zur Durchführung von Risikobewertungen und zur Grundlagen der SOA (Statement of Appropriability), Auswahl wichtiger Kontrollen und Durchführung interner Audits. Teams, die bereits SOC 2 anwenden, ergänzen die Checkliste typischerweise um eine SOC-2-Kriterienzuordnung zu ISO 27001 Übung, damit die bestehenden Trust Services-Kontrollen als ISO 27001-Nachweis wiederverwendet und nicht dupliziert werden können.

Darum benötigen Sie die ISO 27001-Checkliste:

Vereinfacht die Einhaltung von Vorschriften

Eine Checkliste nach ISO 27001 hilft dabei, komplexe Anforderungen in einfache, umsetzbare Aufgaben zu unterteilen. Sie dient als Schritt-für-Schritt-Anleitung für die Einrichtung, Implementierung und Aufrechterhaltung eines ISMS und unterstützt Unternehmen dabei, auf Kurs zu bleiben.

Verbessert die Verantwortlichkeit

Die Checkliste hilft dabei, Aufgaben und Verantwortlichkeiten für verschiedene Aspekte des ISMS den relevanten Beteiligten zuzuweisen. Die Fortschrittskontrolle wird durch die Checkliste erleichtert, und die Berichtswege sind klar definiert, was Verantwortlichkeit und Eigenverantwortung fördert.

Erleichtert Audits

Die Checkliste erleichtert interne Audits, indem sie eine Liste der zu prüfenden und zu bestätigenden Punkte bereitstellt. Sie unterstützt Organisationen außerdem bei der Vorbereitung auf externe Audits, indem sie die Vollständigkeit von Anforderungen wie Richtlinien, Verfahren, Risikobewertungen und Aufzeichnungen sicherstellt.

Sprinto half Equalture, einem in den Niederlanden ansässigen Softwareunternehmen, seine Vertriebsgeschwindigkeit durch die Erfüllung der ISO 27001-Norm zu steigern – und das alles in weniger als 8 Wochen.
Vor Sprinto „Wir haben festgestellt, dass, wenn man die Frage ‚Sind Sie nach ISO 27001 zertifiziert?‘ mit ‚Nein‘ beantwortet, etwa 160 weitere Fragen auftauchen.“
Nach Sprinto Jetzt können wir ganz bequem sagen: „Ja, wir sind ISO-konform.“ Kunden fühlen sich nun viel wohler bei der Zusammenarbeit mit uns.
Jaap Haagmans CTO von Equalture

ISO 27001 Checkliste (Ein Implementierungsleitfaden)

Eine ISO 27001-Checkliste bewertet die Einhaltung der ISO 27001-Norm durch eine Organisation und beschreibt die Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und Verbesserung eines Informationssicherheits-Managementsystems (ISMS).

ISO-Checkliste

Hier sind 13 wichtige Punkte der ISO 27001-Audit-Checkliste für die Zertifizierung:

Sprinto-Flares
Vereinfachen Sie den Weg von der Checkliste zur Zertifizierung mit weniger manuellem Aufwand

1. Ein internes ISO 27001-Team bilden

Behandeln Sie dieses Team als Ihre Taskforce für ISO-Konformität Checkliste. Das Team übernimmt die Verantwortung für die Compliance-Initiative und leitet sie. Zudem arbeitet es eng mit allen Beteiligten zusammen, um den Prozess erfolgreich abzuschließen. Das Team kann aus einem Informationssicherheitsbeauftragten (bei Bedarf kann dieser intern benannt werden) und wichtigen Mitgliedern Ihres IT-Teams bestehen.

  • Definieren Sie Rollen und Verantwortlichkeiten: Stellen Sie sicher, dass die Rollen und Verantwortlichkeiten für PeopleOps, das Engineering-Team, die IT-Abteilungen und andere am Prozess beteiligte Teams klar definiert sind.
  • Statten Sie sie mit dem richtigen Maß an Bewusstsein aus: Prüfen Sie, ob jedes Teammitglied die Sicherheitsvorgaben versteht.

2. Bauen Sie Ihr ISMS auf

Bevor Sie ein ISMS aufbauen können, müssen Sie es definieren und konzipieren. Die ISMS Der Schutzumfang definiert, welche Informationen und Informationswerte Sie schützen möchten, und basiert auf Ihren:

  • Organisationsstruktur
  • Geschäftsbedarf & Standorte
  • Geschäftskritische Prozesse und Produkte

Hier sind einige bewährte Vorgehensweisen zum Festlegen Ihres Projektumfangs: 

  • Den Geltungsbereich klar definieren: Der Schutzumfang muss unter anderem die Systeme, Prozesse, physischen Standorte, Dienstleistungen und Produkte Ihrer Organisation umfassen, die geschützt werden müssen. 
  • Verstehen Sie Ihre Daten: Da jedes Unternehmen einzigartig ist und unterschiedliche Datentypen verarbeitet, müssen Sie vor dem Aufbau eines ISMS feststellen, welche Art von Daten Sie schützen müssen. 
  • Geltungsbereich festlegen: Da nicht alles berücksichtigt werden kann, ist es wichtig, den Fokus auf Systeme, Dienstleistungen, Produkte und Plattformen zu beschränken, die kritische Berührungspunkte für den Umgang mit sensiblen Daten darstellen.

Beachten Sie, dass alle Organisationsressourcen außerhalb des Geltungsbereichs als extern zu Ihrem Unternehmen gehörend behandelt werden. Der Geltungsbereich muss entweder in einem separaten Dokument oder als Teil Ihrer Gesamtinformationen definiert werden. Sicherheitskonformität Richtlinien. Und vergessen Sie nicht, die Genehmigung des Managements für den Umfang einzuholen.

3. ISMS-Richtlinien, -Verfahren und -Dokumentation erstellen und veröffentlichen

Die Checkliste zur Implementierung von ISO 27001 erfordert eine umfangreiche Dokumentation und verlangt von der Organisation die Einrichtung von Richtlinien und Verfahren zur Kontrolle und Minderung von Sicherheitsrisiken für ihr ISMS. 

Folgende Richtlinien müssen Sie einhalten:

  • Informationssicherheitsrichtlinie 
  • Richtlinie für mobile Geräte 
  • Fernzugriffs-/Telearbeitsrichtlinie 
  • Zugriffskontrollrichtlinie 
  • Richtlinie für aufgeräumte Schreibtische und Bildschirme 
  • Richtlinie zur zulässigen Nutzung von Informationsressourcen 
  • Kommunikationsrichtlinie (Informationstransfer) 
  • Richtlinie oder Plan für sichere Entwicklung 
  • Sicherheitsrichtlinie für Lieferanten)

Obligatorische Dokumente für das ISMS-Management:

  • Umfang des ISMS
  • Anwendungsbereichserklärung (wird später ausführlich behandelt)
  • Inventar der Vermögenswerte
  • Risikobewertung und Behandlungsplan (wird später ausführlich behandelt)
  • Sicherheitsrollen und -verantwortlichkeiten

Erforderliche Pflichtverfahren:

  • Informationsklassifizierung und -management
  • Asset Management
  • Schwachstellenmanagement
  • Verwaltung von (Wechsel-)Medien und Speichergeräten
  • Benutzerzugriffsverwaltung
  • Arbeiten in sicheren Bereichen
  • Change Control
  • Kapazitätsmanagement
  • Anti-Malware
  • Sicherung und Wiederherstellung
  • Management von Informationssicherheitsvorfällen
  • Business Continuity Plan

Zusätzlich benötigte Dokumente: 

  • Stellenbeschreibungen von Mitarbeitern im Bereich Informationssicherheit
  • Schulung des Personals 
  • Prüfungspläne
  • Interne und externe Prüfungen und deren Ergebnisse
  • Wartungspläne und durchgeführte Wartungsarbeiten 
  • Protokolle, KPIs, Kennzahlen, Konfigurationsdateien und Netzwerkpläne
  • Protokolle der Sitzungen (in denen die Diskussion über Risiken und allgemeine Sicherheitsthemen festgehalten wird)
Sprinto-Flares
Reduzieren Sie den Dokumentationsaufwand gemäß ISO 27001 für Richtlinien und Aufzeichnungen.

4. Risikobewertung und -behandlung durchführen

Die Risikobewertung ist eine wichtige Aktivität, um die Anforderungen der ISO 27001 zu erfüllen. So können Sie diese erfüllen:

  • Bewerten Sie die Risiken für Anlagen und Systeme: Führen Sie eine interne Risikoanalyse durch, um zu verstehen, wie Anlagen und Systeme Bedrohungen ausgesetzt sein könnten.
  • Sicherheitsrisiken priorisieren: Identifizieren Sie die Risiken, die die Vertraulichkeit, Integrität und Verfügbarkeit der Daten beeinträchtigen könnten, weisen Sie ihnen eine Eintrittswahrscheinlichkeit zu und ordnen Sie die Auswirkungsgrade (von hoch bis niedrig) ein.
  • Beginnen Sie mit der Risikobehandlung: Wählen Sie auf Grundlage der identifizierten und priorisierten Risiken geeignete Kontrollmaßnahmen zur Risikominderung aus. Beispielsweise können Sie rollenbasierte Zugriffskontrollen und Multi-Faktor-Authentifizierung (MFA) für unberechtigten Zugriff auswählen.  Anhang A  (Version 2022) spezifiziert 93 Kontrollen in vier Kategorien, die Richtlinien, Zugriffskontrollen und Lieferantenbeziehungen umfassen.

Daher umfasst die Risikobehandlung (Risikobeseitigung) Verfahren/Maßnahmen, die ergriffen werden, um die identifizierten Risiken auf ein akzeptables Niveau zu senken. Methodik der Risikobewertung Die Messmethode muss im Voraus vereinbart und konsequent angewendet werden.

Sprinto integriert sich nahtlos in Ihre Cloud-Umgebung und identifiziert Fehlkonfigurationen und Schwachstellen präzise und genau. Es bietet eine umfassende Risikoübersicht und unterstützt IT-Teams bei der proaktiven Risikobewältigung über eine zentrale Konsole. 

Identifizieren Sie Risiken nicht nur oberflächlich. Sprinto unterstützt Sie beim Aufbau echter Risikoresilienz, indem es die Auswirkungen jedes Risikos anhand branchenüblicher Benchmarks analysiert. Erstellen Sie Ihr eigenes Risikoregister, indem Sie benutzerdefinierte Risiken hinzufügen und ihnen Auswirkungsbewertungen zuweisen. 

Vergleichstabelle

Auch hier gilt: Dokumentieren Sie alles sorgfältig als Teil Ihrer Checkliste zur Einhaltung der ISO 27001-Norm.

5. Erstellen Sie die Anwendbarkeitserklärung (Statement of Applicability, SOA).

Die SOA für ISO 27001 ist eine Liste aller Kontrollen aus Anhang A, die für Ihre Organisation gelten.

  • Das SOA sollte offenlegen, welche Kontrollmaßnahmen die Organisation zur Minderung der identifizierten Risiken gewählt hat.
  • Sie sollte außerdem Begründungen für die Einbeziehung und den Ausschluss von Kontrollmaßnahmen enthalten. Sie sollte auf die relevanten Dokumente zur Umsetzung jeder einzelnen Kontrollmaßnahme verweisen.

Es gibt 11 Anforderungen der ISO 27001 (obligatorisch)., mit 114 Sicherheitskontrollen, die in 14 Abschnitte unterteilt sind (Anhang A). Um mehr über die in Anhang A aufgeführten Kontrollen zu erfahren, kann sich beziehen gemäß der Norm ISO 27002, die die Kontrollen detailliert beschreibt.

6. ISMS-Richtlinien und -Kontrollen implementieren

Die Implementierung der ISMS-Richtlinien und -Kontrollen ist der wichtigste Schritt auf Ihrer ISO 27001-Checkliste. Sie können für die Implementierung den häufig verwendeten PDCA-Zyklus (Planen, Durchführen, Überprüfen, Anpassen) heranziehen. Zu seinen Elementen gehören:

  • Hallenplan – Identifizieren Sie die Herausforderungen und Bedrohungen und notieren Sie die Anforderungen und Kontrollziele.
  • Do – Lösungen, Prozesse und Technologien implementieren und testen, um Risiken und Betriebsausfälle zu minimieren
  • Einblick in das – Überwachung und Überprüfung der Leistung des ISMS
  • Handlung – Aktualisieren und verbessern Sie Ihr ISMS auf Grundlage der Ergebnisse von Ausgaben oder Fehlern.
Informationssicherheitsmanagement

Denken Sie außerdem daran, 

  • Stellen Sie sicher, dass Ihr ISMS die zwingenden Anforderungen der Klauseln 4-10 erfüllt. ISO 27001 Audit-Checkliste und die ausgewählten Kontrollen aus Anhang A.
  • An diesem Punkt müssen Sie auch einen Kommunikationsplan erstellen, um Ihre Mitarbeiter über die Richtlinien und Verfahren zu informieren, und einen fortlaufenden Plan zur Erfassung ihres Feedbacks und ihrer Bewertungen einrichten.
Sprinto-Flares
Die Implementierung von Kontrollmaßnahmen soll system- und mitarbeiterübergreifend einfacher zu handhaben sein.

7. Durchführung von Sensibilisierungs- und Schulungsprogrammen für Mitarbeiter

Mitarbeiter bilden die erste Verteidigungslinie gegen Cyberangriffe, Sicherheitslücken und Hackerangriffe. Daher spielen Sensibilisierungs- und Zertifizierungsschulungen für Mitarbeiter eine wichtige Rolle im Rahmen der ISO 27001-Normen. 

  • Sorgen Sie für fortlaufende Sicherheitsschulungen: Sie müssen sicherstellen, dass Ihre Mitarbeiter regelmäßig relevante Schulungen und Weiterbildungen im Bereich Informationssicherheit erhalten und in regelmäßigen Abständen über die Richtlinien und Verfahren des Unternehmens informiert werden.
  • Bereiten Sie sie auf reale Risiken vor: Sie müssen Ihre Mitarbeiter auch darin schulen, wie sie auf einige der häufigsten Risiken, denen Ihr Unternehmen ausgesetzt ist, gemäß der Checkliste ISO 27001 reagieren können.

Sprinto unterstützt Sie bei der Schulung Ihrer Mitarbeiter, der Durchführung von Tests nach Abschluss eines Moduls und der Dokumentation dieser Tests in einem Repository, um Ihnen die Bereitstellung von Nachweisen zu erleichtern. 

8. ISMS überwachen, Gap-Analyse durchführen und Korrekturmaßnahmen ergreifen

Die beste Methode zur Bewertung Ihres ISMS besteht darin, es zu überwachen und zu überprüfen. 

  • Kontinuierliche Verbesserung sicherstellen: Überwachen Sie Ihr ISMS, führen Sie eine Gap-Analyse durch, beheben Sie Schwachstellen, testen Sie weiter und überwachen Sie erneut – dieser kontinuierliche Kreislauf hilft Ihnen, Ihr ISMS zu stärken. Denken Sie daran: Kontinuierliche Verbesserung ist der Schlüssel zum Erfolg.
  • Schließen Sie den Kreislauf mit Beweisen: Sammeln Sie nach der Behebung der Mängel Nachweise, die belegen, wie das ISMS die Anforderungen der Norm gemäß Ihrer ISO 27001-Checkliste erfüllt. Dies können Screenshots der Multi-Faktor-Authentifizierung (MFA), Zugriffsprotokolle, Schulungsnachweise, Richtliniendokumente und interne Prüfberichte sein.

Wir bieten Ihnen eine kostenlose Ressource zur Überprüfung Ihrer Gap-Analysephase.

Fallstudie

Erfahren Sie, wie Sprinto geholfen hat. Equalture erfüllt die ISO 27001-Norm. und die Verkaufsgeschwindigkeit erhöhen

9. Interne Prüfung durchführen lassen

Interne Audits werden intern durchgeführt, um zu bewerten, ob das Informationssicherheitsmanagementsystem (ISMS) die Anforderungen der Norm erfüllt. Diese Audits können von einem internen Team (auch ISO 27001-interner Auditor genannt) durchgeführt werden, das von der Geschäftsleitung benannt wird, oder an externe Auditoren vergeben werden. 

Das interne Audit ähnelt der Vorbereitungsphase des externen Audits anhand der ISO-27001-Checkliste. Es sucht nach Lücken, Abweichungen und Schwachstellen im Informationssicherheitsmanagementsystem (ISMS). Im Rahmen des internen Audits wird die Leistung des ISMS bewertet und Ihre Dokumentation geprüft, bevor ein interner Auditbericht erstellt wird. 

Hier ein Einblick in den Ablauf der internen Revision:

Dokumentationsprüfung

  • Der interne Auditor wird die gesamte Dokumentation prüfen, sicherstellen, dass der Auditumfang das ISMS angemessen abdeckt, und die Kontrollen hinsichtlich der Konformität mit der ISO-Norm bewerten. 

Feldüberprüfung

  • Der interne Auditor wird das ISMS überprüfen, Penetrationstests durchführen und Beweise sammeln, um aufzuzeigen, was funktioniert und was nicht. 
  • Sie werden auch mit verschiedenen Teams sprechen und sich darüber informieren, wie diese das ISMS einhalten.

Interner Prüfbericht

Auf Grundlage ihrer Feststellungen und Analysen wird der Auditor dem Management gemäß der Checkliste der ISO 27001 einen internen Auditbericht vorlegen. 

  • Der Bericht wird den Umfang, das Ziel und die Reichweite der Prüfung enthalten. 
  • Darin wird auch detailliert aufgeführt, welche Richtlinien, Verfahren und Kontrollen funktionieren und welche nicht, jeweils mit entsprechenden Belegen.
  • Der Bericht enthält außerdem detaillierte Angaben zu Korrekturmaßnahmen und Empfehlungen, Einschränkungen und weiteren Beobachtungen. 
  • Der Bericht enthält Verbesserungsvorschläge und Kurskorrekturen, bevor sich Ihr Unternehmen einer externen Prüfung unterziehen kann. Der Bericht wird der Geschäftsleitung vorgelegt. 

Managementbewertung

Das Management prüft den internen Prüfbericht. Der Prüfer und das Management können die Liste der wesentlichen und weniger wesentlichen Abweichungen sowie die Maßnahmenpläne besprechen und überprüfen, ob das Unternehmen gemäß der Checkliste zur ISO 27001-Konformität für das externe Audit und die ISO-Zertifizierung bereit ist. 

10. Interne Revision – Phase 1

Sobald die interne Prüfung keine Beanstandungen ergeben hat, sind Organisationen bereit für eine externe Prüfung. Der Ablauf der externen Prüfung entspricht dem einer internen Prüfung; der Unterschied besteht darin, dass sie zu einer Zertifizierung (bzw. Rezertifizierung) führt.

Der akkreditierte externe Auditor für ISO 27001 prüft die von Ihnen für ISO 27001 erstellte Dokumentation, vergleicht sie mit der ISO-Norm und kontrolliert die Konformität. 

  • Der Auditor wird alle für das ISMS erstellten Dokumente einsehen wollen und diese überprüfen, um sicherzustellen, dass alle obligatorischen Dokumente vorliegen.
  • Während Organisationen den Geltungsbereich ihres ISMS selbst festlegen können, sollten kleinere Organisationen die gesamte Organisation in den Geltungsbereich einbeziehen. 
  • Die Stufe 1 Das ISO 27001-Audit schließt mit einem Auditbericht ab.Dies beinhaltet unter anderem eine Bewertung Ihres ISMS, seines Geltungsbereichs und seiner Zertifizierung, der Verbesserungspotenziale und Ihrer Auditbereitschaft. 
  • Die ISO 27001-Audits der Stufen 1 und 2 sollten innerhalb von sechs Monaten durchgeführt werden. Andernfalls muss das Audit der Stufe 1 möglicherweise wiederholt werden.
Sprinto-Flares
Neugierig auf die Kosten der ISO 27001-Konformität?

11. Externe Prüfung – Phase 2

Das Hauptaudit beinhaltet ein stichprobenartiges Beweisaudit, um festzustellen, ob Ihre Organisation das ISMS gemäß den ISO-Normen betreibt. 

Der externe Prüfer wird überprüfen, ob die Dokumente, Richtlinien, Verfahren und Kontrollen Ihrer Organisation gemäß dem Standard implementiert sind und effektiv funktionieren und ob sie dazu beitragen, Ihre Organisationsziele zu erreichen.

Der Auditor wird außerdem die Wirksamkeit der vorbeugenden und korrigierenden Maßnahmen bewerten und die Maßnahmen aus dem ISO 27001-Audit der Stufe 1 überprüfen, um sicherzustellen, dass die Verbesserungsvorschläge berücksichtigt wurden.

Am Ende des ISO 27001-Audits der Stufe 2 erstellt der Auditor einen Bericht mit seinen Feststellungen und einer Zusammenfassung der Ergebnisse. Dieser Bericht beschreibt geringfügige und schwerwiegende Abweichungen sowie Verbesserungsmöglichkeiten. Bei schwerwiegenden Abweichungen ist für die Zertifizierung keine erneute Durchführung des gesamten Prozesses erforderlich.

  • Sie müssen die wesentlichen Abweichungen beheben und dem Auditor Nachweise über die Korrekturmaßnahmen vorlegen. 
  • Geringfügige Abweichungen haben in der Regel keinen Einfluss auf die Zertifizierungsempfehlung. Mehrere geringfügige Abweichungen können sich jedoch zu Ihrem Nachteil summieren.

Nutzen Sie das Partner-Auditor-Programm von Sprinto, um sich zertifizieren zu lassen. Sammeln Sie präzise Nachweise, um bewährte Sicherheitspraktiken zu demonstrieren und Audits problemlos zu bestehen. 

12. Nach der Zertifizierung regelmäßige Überwachungsaudits durchführen lassen

Das ISO Zertifizierung 27001 besitzt eine Gültigkeit von drei Jahren; allerdings verpflichtet sie die Organisation, sich jedes Jahr periodischen Überwachungsaudits zu unterziehen.

Die periodischen Überwachungsaudits sind obligatorisch, um Ihre ISO 27001-Zertifizierung aufrechtzuerhalten, und sind nicht so umfassend wie das ISO 27001-Audit der Stufe 2. 

Das Audit wird in der Regel am Ende des ersten und zweiten Jahres nach der Zertifizierung durchgeführt. Der Auditor durchläuft dabei ein ähnliches Verfahren wie im Stufe-2-Audit nach ISO 27001 und überprüft unter anderem Abweichungen und Korrekturmaßnahmen, Dokumentenaktualisierungen, die Aufrechterhaltung und die Leistungsfähigkeit des ISMS. 

Gemäß der Checkliste nach ISO 27001 wird das zweite Überwachungsaudit wahrscheinlich verschiedene Aspekte Ihres ISMS behandeln. 

  • Prüfungsergebnisse mit dem Management besprechen: Am Ende des Audits wird der Geschäftsleitung ein Bericht vorgelegt, in dem die Ergebnisse und festgestellten Abweichungen detailliert aufgeführt sind. 
  • Bearbeitung von Abweichungen: â € <â € <Bei schwerwiegenden Abweichungen müssen Sie innerhalb von drei Monaten Korrekturmaßnahmen ergreifen und entsprechende Nachweise vorlegen.

Wird dies nicht beachtet, kann Ihre Zertifizierung gefährdet sein. Eventuelle kleinere Abweichungen müssen ebenfalls behoben und die entsprechenden Nachweise dem Auditor vorgelegt werden. Diese haben jedoch keinen Einfluss auf Ihren Zertifizierungsstatus. 

Meistern Sie Ihre Überwachungsaudits mit dem Sprinto-Dashboard, das Ihnen hilft, die Kontrollmaßnahmen wie Richtlinien und Prozesse zu verbessern und diese gleichzeitig automatisch und kontinuierlich zu verfolgen. 

13. Kontinuierliche Verbesserung durchführen

Genau wie Ihre Organisation muss auch das ISMS wachsen und sich weiterentwickeln. Wenn Sie zum BeispielDie Hinzunahme neuer Anbieter und Software, die Identifizierung neuer Bedrohungen sowie Änderungen/Aktualisierungen von Richtlinien und Verfahren wirken sich auf das ISMS aus und müssen daher hinsichtlich ihres Risikos bewertet und mit einer entsprechenden Kontrollmaßnahme behandelt werden, um dieses Risiko zu mindern. 

  • Jährliche Risikobewertungen dokumentieren: Führen Sie jährliche Risikobewertungen durch und dokumentieren Sie alle Änderungen der Risikobewertungen und der dazugehörigen Behandlungspläne.
  • ISMS-Umfang neu bewerten: Auch der Anwendungsbereich des ISMS kann sich ändern. Stellen Sie daher sicher, dass das ISMS und seine Ziele weiterhin angemessen und wirksam bleiben. 
  • Mit dem Management abstimmen: Stellen Sie sicher, dass die Geschäftsleitung den Änderungen/Aktualisierungen zustimmt.

Dies hilft Ihnen, die Rezertifizierungsaudits am Ende des dritten Jahres erfolgreich zu bestehen. Ähnlich wie beim ISO 27001-Audit der Stufe 2 werden auch beim Rezertifizierungsaudit Abweichungen aus früheren Audits und OFIs (Official Factories) untersucht. Dabei werden die Gesamteffektivität Ihres ISMS (Informationssicherheitsmanagementsystems), der Geltungsbereich Ihrer Zertifizierung und deren Angemessenheit (auch nach drei Jahren) überprüft.

Sprinto-Flares
ISO 27001 nach der Zertifizierung mit weniger operativem Aufwand aufrechterhalten

Die Prüfung umfasst unter anderem auch eine Überprüfung der Richtlinien, Verfahren und Kontrollen sowie deren operative Wirksamkeit, Korrektur- und Vorbeugemaßnahmen, die Auswertung interner Audits und Managementbewertungen.

Welche Dokumente sind für die ISO 27001-Zertifizierung zwingend erforderlich?

Für die ISO 27001-Zertifizierung müssen Organisationen eine Reihe von Pflichtdokumente um die Einhaltung der Anforderungen der Norm an ein Informationssicherheits-Managementsystem (ISMS) nachzuweisen. Dazu gehören: 

  1. Umfang des ISMS: Definiert die Grenzen und den Anwendungsbereich des Informationssicherheitsmanagementsystems innerhalb der Organisation.
  2. Informationssicherheitspolitik und -ziele: Beschreibt das Engagement der Organisation für Informationssicherheit und konkrete, messbare Sicherheitsziele.
  3. Methodik der Risikobewertung und RisikobehandlungBeschreibt den Prozess zur Identifizierung, Analyse und Bewältigung von Informationssicherheitsrisiken.
  4. Erklärung zur Anwendbarkeit (SoA): Enthält eine Liste aller in Anhang A aufgeführten Kontrollen, wobei angegeben wird, welche anwendbar sind und wie sie umgesetzt oder begründet werden.
  5. Risikobehandlungsplan: Beschreibt detailliert die Maßnahmen zur Minderung der identifizierten Risiken, einschließlich Zeitplänen und Verantwortlichkeiten.
  6. RisikobewertungsberichtFasst die Ergebnisse des Risikobewertungsprozesses zusammen, einschließlich der identifizierten Risiken und ihrer Bewertung.
  7. Definition von Sicherheitsrollen und -verantwortlichkeiten: Legt die Rollen und Pflichten der für Informationssicherheitsaufgaben verantwortlichen Personen fest.
  8. Inventar der Vermögenswerte: Listet alle Informationsbestände auf, einschließlich ihrer Eigentümer und Klassifizierung.
  9. Zulässige Nutzung von Vermögenswerten: Definiert Regeln für die angemessene Verwendung von Organisationsvermögen, um die Sicherheit zu gewährleisten.
  10. Zugriffskontrollrichtlinie: Legt Regeln für die Gewährung, Verwaltung und den Entzug des Zugangs zu Informationen und Systemen fest.
  11. Betriebsabläufe für das IT-Management: Dokumentiert Prozesse für den sicheren Betrieb und die Wartung von IT-Systemen.
  12. Prinzipien der sicheren Systementwicklung: Enthält Richtlinien für die Konzeption und Entwicklung von Systemen unter Berücksichtigung der Sicherheit.
  13. Verfahren zum Umgang mit ZwischenfällenBeschreibt den Prozess zur Identifizierung, Reaktion auf und Wiederherstellung nach Sicherheitsvorfällen.
  14. Verfahren zur Geschäftskontinuität: Detaillierte Pläne zur Aufrechterhaltung kritischer Betriebsabläufe während und nach Störungen.
  15. Gesetzliche, behördliche und vertragliche Anforderungen: Identifiziert rechtliche, regulatorische und vertragliche Verpflichtungen im Zusammenhang mit der Informationssicherheit.
  16. Nachweise über Ausbildung, Fähigkeiten, Erfahrung und Qualifikationen: Dokumente belegen die Kompetenz des Personals in Informationssicherheitsfunktionen.
  17. Überwachungs- und Messergebnisse: Erfasst Daten aus der Bewertung der Leistungsfähigkeit und Effektivität des ISMS.
  18. Internes Auditprogramm: Beschreibt den Zeitplan und die Methodik für die Durchführung interner ISMS-Audits.
  19. Ergebnisse interner Audits: Dokumentiert die Ergebnisse und Empfehlungen interner Audits des ISMS.
  20. Ergebnisse der Managementprüfung: Dokumentiert die Ergebnisse der regelmäßigen Überprüfung der Leistungsfähigkeit und Effektivität des ISMS durch das Management.
  21. Ergebnisse der Korrekturmaßnahmen: Dokumentiert die Maßnahmen, die ergriffen wurden, um Abweichungen zu beheben und das ISMS zu verbessern.
  22. Protokolle von Benutzeraktivitäten, Ausnahmen und SicherheitsereignissenFührt Aufzeichnungen über Systemaktivitäten, Anomalien und Sicherheitsvorfälle zur Überwachung und Analyse.

Tipps zur Implementierung der ISO 27001-Checkliste

Die ISO 27001-Checkliste ist von entscheidender Bedeutung, da sie Informationssicherheitsteams auf nützliche Daten hinweist, die ihnen Schritt für Schritt zeigen, was sie tun müssen, um sich auf die Einhaltung der Vorschriften vorzubereiten. 

Eine ISO 27001-Checkliste beschleunigt den Zertifizierungsprozess und stellt sicher, dass den Teams im Rahmen der Konformitätsprüfung nichts entgeht.

Hier einige Tipps, bevor Sie Ihre ISO 27001-Checkliste erstellen:

1. Erweitern Sie Ihr Wissen über das Framework:

Es liegt auf der Hand, dass ein klares Verständnis der ISO 27001 Ihnen dabei hilft, Ihre Checkliste wesentlich genauer zu erstellen.

2. Den Umfang genau festlegen:

Es ist unerlässlich, den Umfang der Implementierung zu verstehen. Sie sollten wissen, welche Prozesse, Ressourcen und sonstigen Aufgaben im Projekt enthalten sein sollen.

3. Sammeln Sie Erkenntnisse über Ihre Organisation:

Versuchen Sie, die Besonderheiten Ihrer Organisation zu verstehen, wie z. B. ihre Geschäftsziele, Teamgrößen und deren Komplexität usw. Dies wird Ihnen helfen, eine umfassende Checkliste zu erstellen. 

4. Prüfen Sie die Checkliste und überprüfen Sie die Verfahren und Richtlinien:

Sie sollten die ISO-27001-Checkliste prüfen und feststellen, ob es Lücken in den Richtlinien und Verfahren gibt. Falls Sie welche finden, versuchen Sie, diese zu beheben. 

Dies sind einige der Voraussetzungen, die Sie vor dem Erstellen Ihrer ISO 27001-Checkliste beachten sollten. Was aber, wenn Sie sich um keine dieser Voraussetzungen kümmern müssen? Genau hier kommt Sprinto ins Spiel. 

Sprinto ist ein Compliance-Automatisierung Sprinto ist eine Lösung, die Ihren ISO 27001-Konformitätsprozess von Anfang bis Ende bis zum Audit automatisiert. Darüber hinaus berücksichtigt Sprinto die Bedürfnisse Ihres Unternehmens und bietet Ihnen ein optimales, personalisiertes Erlebnis.

Wie man mit Sprinto die ISO 27001-Zertifizierung erhält

ISO-with-sprinto

Das ist eine lange Checkliste, das verstehen wir. Und ja, es gibt noch einiges zu erledigen, bevor man für ein Audit bereit ist.

Sprinto-Flares
Das Chaos der ISO 27001-Verordnung in einen klareren Umsetzungsweg verwandeln

Sprint Wir bieten eine technologiegestützte Lösung, die Ihnen Zeit und Aufwand erspart und die Arbeit ohne menschliches Eingreifen 10-mal schneller erledigt. In nur 3 einfachen Schritten und mithilfe automatisierter Arbeitsabläufe unterstützen wir Sie bei der Zertifizierung.

Vorteile der Implementierung von Sprinto

Kontakt Kontaktieren Sie uns und erfahren Sie, wie Sprinto Sie bei einem unkomplizierten und ressourcenschonenden ISO 27001-Audit und der anschließenden Zertifizierung unterstützen kann (siehe auch die detaillierten Informationen). Sprinto-Testbericht (um mehr zu erfahren).

Häufig gestellte Fragen

  • ISO-Überwachungsaudits werden in den ersten beiden aufeinanderfolgenden Jahren nach der Erstzertifizierung durchgeführt.
  • Anschließend wird es in den ersten beiden Jahren nach dem Rezertifizierungsaudit durchgeführt.

Die fünf Schritte zur Durchführung interner Audits nach ISO 27001 sind:

  1. Ein internes Team einrichten
  2. Stellen Sie sicher, dass der Geltungsbereich und der Plan des ISMS übereinstimmen.
  3. Überprüfen Sie die Dokumentation
  4. Sammeln Sie Beweise
  5. Ergebnisse der internen Revision einarbeiten

ISO-Zertifizierungen sind gültig für 3 Jahre ab Ausstellungsdatum. Danach müssen Sie sich Überwachungsprüfungen unterziehen.

Ja. Sie müssen ISO 27001 in der gesamten Organisation implementieren, in der Informationssysteme eingesetzt werden.

  • Eine Checklistenvorlage für ISO 27001 sollte Folgendes beinhalten: Geltungsbereich des ISMS, Anlageninventar, Risikobewertung, Anwendbarkeitserklärung, Sicherheitskontrollen, Richtlinien, Punkte für interne Audits und Punkte für Managementbewertungen.
  • Außerdem sollten Nachweise, verantwortliche Eigentümer, Fristen und der Status der Einhaltung jeder Anforderung erfasst werden.

  • Der Prozess zur Aktualisierung der Kontrolllisten gemäß ISO 27001 umfasst die Überprüfung der Kontrollen in Anhang A, deren Zuordnung zu den aktuellen Risiken, die Aktualisierung der Anwendbarkeitserklärung und die Benennung von Verantwortlichen für alle neuen oder geänderten Kontrollen.
  • Dazu gehört auch das Sammeln von Beweismitteln, das Testen von Kontrollen, das Beheben von Lücken und das Aufrechterhalten des ISMS durch regelmäßige Audits und Managementbewertungen.

  • Checklisten für die ISO 27001-Zertifizierung finden Sie bei Zertifizierungsstellen, Compliance-Plattformen und Sicherheitsanbietern wie NQA, ISMS.online, Vanta, Sprinto und UpGuard.
  • Wählen Sie eine Checkliste, die den Geltungsbereich des ISMS, die Risikobewertung, die Anwendbarkeitserklärung, die Kontrollen gemäß Anhang A, interne Audits, die Nachverfolgung von Nachweisen und Managementbewertungen abdeckt.
Anwita
Autorin

Anwita

Anwita ist Cybersicherheits-Enthusiastin und erfahrene Bloggerin in einer Person. Ihre Leidenschaft für Cybersicherheit führte sie in die Welt der Compliance. Mit zahlreichen Cybersicherheitszertifizierungen im Gepäck hat sie es sich zum Ziel gesetzt, komplexe Sicherheitsthemen für alle Zielgruppen verständlich zu machen. Sie liest gern Sachbücher, hört Progressive Rock und sieht sich am Wochenende Sitcoms an.
Haben Sie genug von inhaltsleeren GRC- und Cybersicherheitsthemen? Abonnieren Sie unseren Newsletter und erhalten Sie detaillierte Informationen.
Recherchen und Erkenntnisse, die Ihnen helfen sollen, sich einen Platz am Tisch zu sichern.
Einzel-Blog-Fußzeilenbild