08 – ISMS Self-Assessment

Insgesamt 114 Maßnahmen umfasst der Anhang A der ISO 27001. Diese sind grundsätzlich alle zu erfüllen, es sei denn du kannst im Rahmen der Anwendbarkeitserklärung argumentieren, warum einzelne Anforderungen auf das Unternehmen nicht zutreffen.

Damit du sicher sein kannst, dass alle relevanten Anforderungen der Norm auch sicher erfüllt werden, empfiehlt sich ein sogenanntes Self-Assessment. Dieses hat sich längst als Best Practice etabliert, auch wenn es nicht unmittelbar von der Norm vorgeschrieben ist.

Im Rahmen eines Self-Assessments bewertest du den aktuellen Stand bezüglich der einzelnen Maßnahmen. Ermittle dazu einen Reifegrad, z. B. auf einer Skala von 0 bis 5, in Prozent oder nach einem etablierten Reifegradmodell wie etwa SPICE oder COBIT. Dokumentiere am besten zeitgleich Nachweise, die die Erfüllung einer Maßnahme dokumentiert und halte notwendige To-dos fest. Die Nachweise können im späteren Zertifizierungsaudit als Gedankenstütze sehr hilfreich sein, damit du dem Auditor die entsprechende Dokumentation vorweisen kannst.

Planung des Self-Assessments

Integriere das Self-Assessment als „internes Audit” in das Auditprogramm. Auch wenn es sich methodisch vom klassischen Audit unterscheidet, werden zur Durchführung interne Ressourcen benötigt, welche geplant werden sollten. Weitere Informationen zum Thema „Internes Audit“ erhälst du in Lektion 10.

Die Anwendbarkeitserklärung kann aus einem strukturierten Self-Assessment leicht abgeleitet werden. Ein weiterer Vorteil des Self-Assessments ist, dass damit auf einfachem Wege eine leicht messbare und wirksame Kennzahl etabliert werden kann. So kann z. B. je nach Kapitel des Anhangs A ein Reifegrad oder Umsetzungsgrad anhand des Self-Assements berechnet und entsprechend der folgenden Grafik dargestellt werden. Reporte diese Kennzahl auch an die Geschäftsführung und steuere mit ihrer Hilfe das ISO-27001-Implementierungsprojekt sowie die weiteren Verbesserungen über die kommenden Zertifizierungszyklen.