Kontakt
Demo vereinbaren

Lektion 2

15 min

Aufbau und Anforderungen

Du erfährst wie die ISO 27001 Norm aufgebaut ist und hast die Möglichkeit, den Reifegrad deiner Organisation in einer Selbsteinschätzung zu bestimmen.

Kapitel 4 – 10

Anhand der weiter unten gelisteten Fragen kannst du zu einer ersten ISO 27001 Selbsteinschätzung des ISMS Reifegrads in deiner Organisation gelangen.

Was ist mit Kapitel 1-3?

Die Kapitel 1–3 der Norm befassen sich mit grundlegenden Dingen, zu denen keine Notwendigkeit einer Umsetzung besteht. Die Abschnitte 4–10 beschreiben die Kernprozesse in einem ISMS und müssen obligatorisch umgesetzt werden. In der Norm heißt es dazu: „Wenn eine Organisation Konformität mit dieser Internationalen Norm für sich beansprucht, darf sie keine der Anforderungen in den Abschnitten 4 bis 10 ausschließen.“

ISO 27001 Selbsteinschätzung (Kapitel 4 - 10)

Kapitel
Fragen
4 Kontext der Organisation
  1. Wurden interessierte Parteien festgelegt und deren (potenzielle) Auswirkung auf das ISMS dokumentiert?
  2. Wurde der Geltungsbereich des ISMS definiert und enthält die Schnittstellen und Grenzen sowie eventuellen Ausschlüsse?
  3. Wurden die gesetzlichen Anforderungen im Kontext des ISMS identifiziert?
5 Führung
  1. Wird die Geschäftsführung ihrer Verpflichtung gerecht, u. a. durch:
    • die Festlegung einer Strategie zur Informationssicherheit,
    • die Integration des ISMS in Geschäftsprozesse,
    • die Zurverfügungstellung der erforderlichen Ressourcen,
    • die Messung der Wirksamkeit und kontinuierlichen Verbesserung des ISMS und
    • die Sensibilisierung der Mitarbeiter auf allen Ebenen?
  2. Hat die Geschäftsführung eine Leitlinie zur Informationssicherheit verabschiedet und bekannt gemacht?
  3. Hat die Geschäftsführung Rollen, Verantwortlichkeiten und Befugnisse im Rahmen des ISMS benannt und erhält Berichte von diesen?
6 Planung
  1. Wurden Maßnahmen im Umgang mit den identifizierten Risiken und Chancen festgelegt?
  2. Wurde ein Prozess zur Identifikation, Bewertung und zur Behandlung von Informationssicherheitsrisiken festgelegt?
  3. Ist eine Anwendbarkeitserklärung zum Anhang A dokumentiert?
  4. Wurden Ziele des ISMS bestimmt und ein Plan zu deren Erreichung festgelegt?
7 Unterstützung
  1. Wurden die notwendigen Ressourcen für das ISMS bereitgestellt?
  2. Haben die relevanten Personen die erforderlichen Kompetenzen, um ihren Rollen im Rahmen des ISMS gerecht zu werden?
  3. Sind alle Mitarbeiter sensibilisiert in Bezug auf
    • die Leitlinie zur Informationssicherheit und die relevanten Richtlinien,
    • ihre Mitwirkungspflicht im Rahmen des ISMS und
    • die Konsequenzen der Nichterfüllung von ISMS-Vorgaben?
  4. Wurde im Rahmen des ISMS die interne und externe Kommunikation bestimmt?
  5. Werden die von der Norm geforderten Informationen und Nachweise zur Messung der Wirksamkeit des ISMS dokumentiert und gelenkt?
8 Betrieb
  1. Die Organisation muss zur Planung und Steuerung eine Reihe von Prozessen festlegen und diese dokumentieren. Dazu zählt jeweils ein Prozess
    • zur Erfüllung der Anforderungen der Informationssicherheit,
    • zur Steuerung von Maßnahmen,
    • zur Steuerung von Aufgaben, die an Dienstleister ausgelagert wurden und
    • zur Berücksichtigung der Informationssicherheit innerhalb geplanter Änderungen.
  2. Wird in regelmäßigen Abständen und bei signifikanten Anpassungen eine Risikobeurteilung durchgeführt?
  3. Wird eine Risikobehandlung durchgeführt?
9 Bewertung der Leistung
  1. Gibt es einen Prozess zur Überwachung der Wirksamkeit des ISMS?
  2. Ist ein Auditprogramm aufgestellt?
  3. Werden regelmäßig interne Audits durchgeführt?
  4. Existieren definierte Kennzahlen (Key Performance Indicators) sowie Soll-Ziele und Messergebnisse?
  5. Wird regelmäßig eine Managementbewertung durchgeführt, die mindestens die in Kapitel 9.3 der Norm enthaltenen Punkte berücksichtigt?
10 Verbesserung
  1. Wird adäquat mit Maßnahmen auf die Nicht-Erfüllung und -Einhaltung von eigenen und normativen Anforderungen (Nichtkonformität) reagiert?
  2. Werden die festgestellten Maßnahmen im Hinblick auf deren Notwendigkeit bewertet, ggf. eingeleitet und entsprechend ihrer Wirksamkeit überprüft?
  3. Wird im Rahmen des ISMS eine kontinuierliche Verbesserung sichergestellt?

Solltest du bei einigen Fragen aus der ISO 27001 Selbsteinschätzung noch Schwierigkeiten mit der Beantwortung haben, können die nächsten Kapitel sicherlich weiter Licht ins Dunkel bringen. Bleib dran! 

Das ISMS SmartKit bringt die Antworten auf alle oben gestellte Fragen bereits mit. Du sparst Aufwand und Nerven. Worauf wartest du noch?

Zum ISMS SmartKit