Diese Website verwendet Cookies. Sehen Sie unsere Cookie-Richtlinie
Schließen

Umsetzung ISO 27001

 

Implementierung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 mit Unterstützung der Experten. Wir haben mehr als 400 Kunden bei der Zertifizierung nach ISO 27001 unterstützt, und unsere Umsetzungstools, Schulungen und Ressourcen können auch Ihnen helfen.

Die Einführung eines ISMS nach ISO 27001 bezieht Ihre gesamte Organisation mit ein. Ein ISMS ist spezifisch für die Organisation, die es umsetzt, so dass keine zwei ISO 27001-Projekte gleich sind. Das gesamte Projekt, vom Auswahlverfahren (Scoping) bis zur Zertifizierung, kann je nach Komplexität und Größe der Organisation drei Monate bis zu einem Jahr dauern.

 

Wir haben einige der häufigsten Elemente der Umsetzung eines ISMS-Projekts zusammengefasst:

Durchführung einer Gap-Analyse

Eine Gap-Analyse ermittelt die Lücke zwischen Ihren aktuellen Informationssicherheitsprozessen und den Anforderungen des Standards. Es identifiziert auch die Ressourcen und Fähigkeiten, die Sie benötigen, um die Lücke zu schließen.

Umfang des ISMS

Scoping erfordert eine Entscheidung darüber, welche Informationsbestände abgegrenzt und geschützt werden sollen. In größeren Organisationen kann dies ein schwieriger und komplizierter Prozess sein. Ein falscher Projektumfang kann Ihr Unternehmen anfällig für nicht berücksichtigte Risiken machen.

Die Bestimmung des Kontextes der Organisation erfordert eine Überprüfung von Aspekten wie Risikobereitschaft und -kultur Ihrer Organisation, um sicherzustellen, dass das ISMS auf Ihr Unternehmen zugeschnitten ist.

Entwickeln Sie Ihre Informationssicherheitsrichtlinie

Die Richtlinie sollte den Standpunkt der Organisation zur Informationssicherheit widerspiegeln und vom Vorstand genehmigt werden.

Durchführung einer Risikobeurteilung

Die Risikobewertung steht im Mittelpunkt eines jeden ISMS. Ein Risikobewerter identifiziert die Risiken, denen die Organisation ausgesetzt ist, und führt eine Risikoabschätzung und -bewertung durch. Dies geschieht häufig in Form einer vermögensbasierten Risikobewertung. Die Risikobewertung hilft zu erkennen, ob Kontrollen für die Organisation notwendig und kostengünstig sind.

Wählen Sie Ihre Kontrollen

Nach Abschluss der Risikobewertung sollten Kontrollen durchgeführt werden, um die tatsächlichen Risiken zu steuern oder zu reduzieren. Nach ISO 27001 müssen Sie alle Kontrollen mit der eigenen Liste der Best-Practice-Kontrollen in Anhang A vergleichen.

Erstellen einer Anwendbarkeitserklärung (Statement of Applicability = SoA)

Die SoA enthält eine Liste aller in Anhang A der ISO/IEC 27001:2013 aufgeführten Kontrollen, zusammen mit einer Erklärung, ob die Kontrolle angewandt wurde oder nicht, und eine Begründung für ihre Aufnahme oder ihren Ausschluss.

Erstellen eines Risikobehandlungsplans (RTP)

Das RTP beschreibt die Schritte, die zu unternehmen sind, um mit jedem in der Risikobewertung identifizierten Risiko umzugehen.

Erstellen Sie Ihre Dokumentation

Die Dokumentation muss entwickelt werden, um jede geplante Steuerung und jede Komponente des ISMS zu unterstützen. Damit soll ein Bezugspunkt für eine konsequente Anwendung und kontinuierliche Verbesserung geschaffen werden. Die Erstellung der Dokumentation ist der zeitaufwändigste Teil der Umsetzung eines ISMS.

Einführung eines Programms zur Sensibilisierung der Mitarbeiter

Alle Mitarbeiter sollten regelmäßig geschult werden, um ihr Bewusstsein für Fragen der Informationssicherheit und den Zweck des ISMS zu schärfen.

Regelmäßige Tests durchführen

ISO 27001 fordert interne Audits des ISMS in geplanten Intervallen, um festzustellen, ob die Kontrollen so funktionieren, wie sie sollen. Regelmäßige Tests sollten auch durchgeführt werden, um sicherzustellen, dass Ihre Pläne zum Thema Incident Response effektiv funktionieren.

Durchführung von Managementbewertungen

Das Top-Management sollte die Leistung des ISMS mindestens einmal jährlich überprüfen.

Wählen Sie Ihre Zertifizierungsstelle

Es ist wichtig sicherzustellen, dass die von Ihnen verwendete Zertifizierungsstelle von einer anerkannten nationalen Akkreditierungsstelle, die Mitglied der IAF ist, wie z.B. UKAS (United Kingdom Accreditation Service), ordnungsgemäß akkreditiert ist.

Erhalten Sie eine akkreditierte Zertifizierung

Die Zertifizierungsstelle überprüft die Dokumentation Ihres Managementsystems und überprüft, ob Sie die entsprechenden Kontrollen durchgeführt haben, gefolgt von einem Audit vor Ort, um die Verfahren in der Praxis zu testen.

Verwalten und überprüfen Sie Ihr ISMS

Die ISO 27001 spezifiziert die Anforderungen zur Aufrechterhaltung und kontinuierlichen Verbesserung des ISMS.

 

Laden Sie Ihren kostenlosen Leitfaden zur Einführung der ISO 27001 herunter
 

Beginnen Sie jetzt mit der Umsetzung der ISO 27001

Der bewährte Ansatz von IT Governance bei der Umsetzung eines ISO 27001-konformen ISMS hilft Ihnen, jedes ISO 27001-Projekt erfolgreich zu bewältigen.

 

Beginnen Sie jetzt mit diesen meistverkauften Ressourcen und Tools

ISO 27001 standard

Anleitung für die Umsetzung erforderlich

Umsetzung masterclass

Richtlinien und Verfahren Toolset

Bestseller

DIY-Pakete

 

 

Warum IT-Governance?

  • Unser Team leitete das weltweit erste ISO 27001-Zertifizierungsprojekt.
  • Wir haben ISO 27001-Umsetzungen seit der Einführung des Standards durchgeführt.
  • Wir bieten Ihnen alles aus einer Hand: Schulungen, Tools, Software, E-Learning, Sensibilisierung der Mitarbeiter und Beratung für die Zertifizierung.
  • Tausende von Unternehmen auf der ganzen Welt nutzen unsere Produkte und Dienstleistungen.
  • Wir haben mehr als 400 Unternehmen bei der Zertifizierung nach ISO 27001 unterstützt.

 

Lassen Sie uns zusammen arbeiten, um die Dinge in Bewegung zu bringen.

Unabhängig von der Art und Größe Ihres Problems sind wir für Sie da. Klicken Sie auf die Schaltfläche unten, um einen Rückruf zu veranlassen. Einer unserer Experten wird sich schnellstmöglich mit Ihnen in Verbindung setzen.
 

Sprechen Sie mit einem Experten

Bitte kontaktieren Sie uns für weitere Informationen oder um mit einem Experten zu sprechen.

Kontaktieren Sie uns