08 – ISMS Self-Assessment

Wie gelange ich zu einer aussagefähigen Reifegradeinschätzung meines ISMS und warum ist das wichtig?
Startseite » ISO 27001 Wissen » 08 – ISMS Self-Assessment
TL;DR

ISMS Self-Assessment

Insgesamt 114 Maßnahmen umfasst der Anhang A der ISO 27001. Diese sind grundsätzlich alle zu erfüllen, es sei denn du kannst im Rahmen der Anwendbarkeitserklärung argumentieren, warum einzelne Anforderungen auf das Unternehmen nicht zutreffen.

Damit du sicher sein kannst, dass alle relevanten Anforderungen der Norm auch sicher erfüllt werden, empfiehlt sich ein sogenanntes Self-Assessment. Dieses hat sich längst als Best Practice etabliert, auch wenn es nicht unmittelbar von der Norm vorgeschrieben ist.

Im Rahmen eines Self-Assessments bewertest du den aktuellen Stand bezüglich der einzelnen Maßnahmen. Ermittle dazu einen Reifegrad, z. B. auf einer Skala von 0 bis 5, in Prozent oder nach einem etablierten Reifegradmodell wie etwa SPICE oder COBIT. Dokumentiere am besten zeitgleich Nachweise, die die Erfüllung einer Maßnahme dokumentiert und halte notwendige To-dos fest. Die Nachweise können im späteren Zertifizierungsaudit als Gedankenstütze sehr hilfreich sein, damit du dem Auditor die entsprechende Dokumentation vorweisen kannst.

Planung des Self-Assessments

Integriere das Self-Assessment als „internes Audit” in das Auditprogramm. Auch wenn es sich methodisch vom klassischen Audit unterscheidet, werden zur Durchführung interne Ressourcen benötigt, welche geplant werden sollten. Weitere Informationen zum Thema „Internes Audit“ erhälst du in Lektion 10.

Die Anwendbarkeitserklärung kann aus einem strukturierten Self-Assessment leicht abgeleitet werden. Ein weiterer Vorteil des Self-Assessments ist, dass damit auf einfachem Wege eine leicht messbare und wirksame Kennzahl etabliert werden kann. So kann z. B. je nach Kapitel des Anhangs A ein Reifegrad oder Umsetzungsgrad anhand des Self-Assements berechnet und entsprechend der folgenden Grafik dargestellt werden. Reporte diese Kennzahl auch an die Geschäftsführung und steuere mit ihrer Hilfe das ISO-27001-Implementierungsprojekt sowie die weiteren Verbesserungen über die kommenden Zertifizierungszyklen.

Grafische Auswertung eines ISMS Self-Assessment

Grafische Auswertung des ISMS Selfassessment

TL;DR

  1. Auch wenn ein ISMS Self-Assessment nicht unmittelbar durch die ISO 27001 Norm vorgeschrieben ist, hat es sich längst als Best Practice etabliert.
  2. Zur Bewertung der 93 Controls aus dem Anhang A kann z.B. das SPICE Reifegradmodell mit den Stufen von 0 – 5 herangezogen werden.
  3. Eine grafische Auswertung des Self-Assessments macht sich sowohl im Zertifizierungsaudit als auch bei der Geschäftsführung gut.
  4. Aus einem strukturierten durchgeführtem Self-Assessment können leicht sinnvolle KPI sowie die Anwendbarkeitserklärung abgeleitet werden.