ISO 27001 implementieren

 

Die wichtigsten Tools zur praktischen Umsetzung

———-

Geprüfte Dokumente für das Zertifizierungs-Audit

Für alle, die eine Implementierung selbst in die Hand nehmen …

 

  • Step-by-Step-isms-Umsetzungsleitfaden

  • Vollständige Projekt- und Umsetzungsdokumentations-Vorlage

  • Anleitung und Vorlage einer isms-Risikoanalyse

  • Kennzahlen-Pool für das isms und alle Controlls in Anhang A

  • Übersicht der “notwendigen Dokumente” & Musterdokument-Vorlage

  • Zwei komplette Präsentationen für Trainings- und Awareness-Schulungen

Bewährte Vorlagen & Anleitungen zur Einführung einer ISO 27001

Wenn Sie vor der Aufgabe stehen, die ISO Norm 27001 zur Informationssicherheit in Ihrem Unternehmen einzuführen, sind Sie wahrscheinlich erst einmal von der Komplexität und Aufgabenvielfalt überrascht. Sie werden daher wahrscheinlich nach einer Art “Umsetzungs-Leitfaden”  suchen, der Ihnen bei dieser Aufgabe hilft.

Dr. Michael MonkaDiese Situation ist mir nur zu gut bekannt, denn aus vielen Implementierungs-Projekten weiß ich inzwischen, wie schwer es für die Verantwortlichen ist, zwischen “notwendigen” und “nice-to-have“-Aspekten der ISO–Norm zu unterscheiden. Als zertifizierter externer Lead-Auditor für den TÜV-Rheinland kenne ich die genauen Anforderungen an Prozesse, Dokumente, Analysen und Formalien.

Daher habe ich ein Paket entwickelt, dass alle notwendigen Dinge enthält, so dass Sie sich auf das Wesentliche konzentrieren können.

Im folgenden eine Übersicht, was das Implementierungs-Paket im Einzelnen enthält.

Implementierungs-Leitfaden "Step-by-Step"

 

Lassen Sie sich Schritt für Schritt durch die Einführung eines ISMS nach ISO 27001 leiten.

Wir stellen auf 40 Folien alles Wissenswerte zu den hier aufgefühten Themen vor – keine langen Texte, keine überflüssigen Hinweise zulasten der Übersichtlichkeit.

Immer wenn Sie das “Tool”-Symbol auf einer Folie sehen, dann gibt es neben den Informationen hier auch ein mitgeliefertes Unterstützungswerkzeug.

Mit diesem Leitfachen bekommen Sie einen Blick für das Wesentliche.

ISO 27001 Projekt- und Umsetzungsdokumentation

 

Dieses Excel-Sheet können Sie gleichzeitig als Projekt– und als Umsetzungsdokumentation einsetzen (zum Vergrößern anklicken).

Es gibt zwei Register. Das hier sichtbare Register beschreibt alle notwendigen Voraussetzungen für das ISMS (insgesamt 94 Punkte), wie Sie in der Legende gut erkennen können. Unter “Status” können Sie den aktuellen Umetzungsstand eintragen – und auch hier dokumentiert die Legende den gegenwärtigen Stand mit.

Wie für ein Umsetzungs-Tool üblich, können Sie hier zudem Fertigstellungszeiträume und Verantwortlichkeiten eintragen. Wir haben an dieser Stelle auch die notwendigen Dokumente aufgeführt – denn nur so sehen Sie auf einem Blick, welche Dinge noch offen sind.

Im zweiten Register sind alle Controlls des Anhangs A in derselben Systematik aufgebaut (insgesamt 121)

Anleitung zum Risikomanagement

 

Die Vorgehensweise beim Risikomanagement ist angelehnt an die ISO 27005. In dieser Anleitung wird beschrieben, welche Schritte wichtig und notwendig sind.

Auf knapp 20 Folien erfahren Sie zu jedem Aspekt das Wesentliche.

Abgerundet wird die Anleitung mit einer Beschreibung des Einsatzes der mitgelieferten Excel-Analyse-Datei (siehe nächster Abschnitt).

Mit dieser Anleitung und dem Excel-Analyse-Tool sind Sie schnell in der Lage, eine umfassende und realitätsnahe Risikoanalyse durchzuführen.

Durchführung eines Risikomanagement mittels Excel-Analyse

 

Die Analyse beinhaltet drei wichtige Aspkte, die eine Risikoanalyse ausmachen:

  • Kategorien für die “Eintrittswahrscheinlichkeit” eines Ereignisses
  • Einen Vorschlag differenzierte “Schadensklassen
  • Eine Analyse des Risiko-Levels für 70 voreingestellte Gefährdungskategorien

Die Datei ist so aufgebaut, dass Sie die voreingestellten Eintrittswahrscheinlichkeiten, Schadensklassen und Gefährdungskategorien einfach übernehmen können – aber natürlich auch Ihre eigenen Aspekte einsetzen können. Im Ergebnis erhalten Sie eine Liste priorisierter Risiken, die Sie als Maßnahmen zur Risikobehandlung definieren und deren Umsetzung hier dokumentieren können.

 

Asset Liste & Musterdokument für das Audit

 

Wenn Sie noch kein Asset-Register erstellt haben, ist es sinnvoll es zu Beginn des Risikobewertungsprozesses vorzunehmen. Es ist der geeignete Zeitpunkt, da Sie hier auch die Eigentümern identifiziert und festlegen können.

Mit unseren beiden Asset-Tools können Sie diesen Vorgang deutlich beschleunigen. Im hier dargestellten ersten Tool erstellen Sie eine Liste aller Asset – inklusive der notwendigen Beschreibungen. Wir haben wiederum Vorgaben beigefügt, die Sie nutzen oder beliebig erweitern können.

Das zweite Tool, das wir dem Paket beigefügt haben, ist ein Musterdokument für das Audit.

 

 

SOA (Statement of Applicability) Musterdokument

Die SOA (Statement of Applicability) ist das zentrale Dokument einer ISO 27001 Zertifizierung.

In diesem Dokument ist festgelegt, welche Maßnahmen im Scope sind – und welche mit welcher Begründung ausgeschlossen werden.

Dieses Musterdokument ist Audit-kompatibel. Tragen Sie hier Ihre Angaben ein, welche Maßnahmen-Ziele sie definiert haben, mit welcher Methodik sie diese erreichen wollen – und wie der Umsetzungsstatus ist.

 

PDCA - Kennzahlen - Messplanung & Nachweis

 

“Kennzahlen sind ein Indikator für die Güte des gesamten Sicherheitsprozesses oder einzelner Teilprozesse und -aspekte. Sie sind ein wichtiges Instrument in der Kommunikation mit der Unternehmensleitung einer Institution über Erfolge, aber auch Probleme der Informationssicherheit.” So beschreibt das BSI Kennzahlen im PDCA-Verfahren.

Um ein ISO 27001-Zertifikat zu erlangen, sind Kennzahlen ein unabdingbares Muss! Wir stellen Ihnen hier umfangreiches Tool zur Verfügung, das zwei Aufgaben vereint:

Zum einen eine Planungsübersicht, wann welche Aspekte aus den einzelnen Kapiteln und Controlls überprüft werden (siehe Grafik). Zum Anderen stellen wir Ihnen zahlreiche Kennzahlen für alle wesentlichen Sicherheitsaspekte zur Verfügung. Praktisch haben wir dies so geregelt: Sobald Sie in der Spalte “Protokoll” auf das entsprechende Kapitel klicken, werden Sie zu den Kennzahlen weiteregeleitet. Hier können Sie den Nachweis führen, dass die Kennzahlen erhoben und ausgewertet wurden.

 

Audit-Checkliste

Fünf aus 140 Fragen, mit denen Sie checken können, ob Sie die Anforderungen der Norm erfüllen.

Diese oder ähnliche Fragen werden auch die Auditoren an Sie richten. Daher sind diese Fragen auch ein guter Check für ein vorbereitendes “internes Audit“.

Natürlich werden nicht alle Fragen gestellt – noch kann man alle Maßnahmen direkt erfüllen. Die Norm ermöglicht daher einen Entwicklungs-Prozess, und daher sollte man sich in jedem Jahr weitere Fragen vornehmen. Hierüber können Sie dies gut planen.

 

Liste der notwendigen Dokumente & Vorschlag für Dokumenten-Namen & Aufbau Musterdokument

 

Eine kleine, aber wichtige Datei, die alle Dokumente aufführt, die zur Zertifizierung notwendig sind.

Der Auszug in der Grafik zeigt die notwendigen Dokumente für ein ISMS. Alle weiteren Dokument zu den Controlls sind ebenfalls in der Datei enthalten.

 

 

 

 

 

 

Wir haben uns in diesem Paket entschieden, auch einen Vorschlag für die Dateinamen-Konvention hinzuzufügen. So können Sie schnell jedes Dokument der ISO 27001 zuordnen.

Die Konvention zu den Dokumentennamen ist die Basis für alle weiteren Tools.

 

 

 

 

 

 

 

 

Abgerundet werden die Dokumenten-Tools durch ein Musterdokument.

In diesem werden alle notwendigen Bestandteile ausführlich beschrieben, die ein ISO 27001 – Dokument enthalten sollte. Das Musterdokument liegt im Word-Format bei und kann sofort eingesetzt werden.

Zwei Präsentationen zur Einführung einer ISO 27001 & zur Vorbereitung auf ein Audit

 

Die Informationssicherheit lässt sich nur dann erfolgreich und effizient verwirklichen, wenn die Mitarbeiter für den sicheren Umgang mit den Unternehmenswerten, Daten, Informationen und Technologien im Arbeitsalltag sensibilisiert werden.

Zu diesem Zweck haben wir zwei Präsentationen mit insgesamt 40 Folien erstellt, die Sie 1:1 übernehmen können.

Wechseln Sie einfach das Logo aus und fügen Sie unternehmensinterne Sachverhalte ein.

 

 

 

 

 

 

In der zweiten Präsentation geht es im speziellen  um die Vorbereitung der Mitarbeiter auf das Zertifizierungs-Audit.

Hier haben wir 20 Fragen zusammengestellt, die der Zertifizierungs-Auditor stellen kann. Das Ganze ist interaktiv aufgebaut. Die Fragen und antworten können einzeln eingebelndet werden.

Diese Schulung kann auch als Awareness-Schulung eingesetzt werden. Beide Präsentationen können zudem als Nachweis im ISO-Verfahren herangezogen werden.

Mind-Map über alle ISO 27001 Elemente in zwei Ebenen

ISO 27001_mind-map

 

Sie möchten alle Kapitel, Controlls, Ziele und Massnahmen auf einen Blick sehen? Dann hilft dieses Mind-Map Ihnen weiter. Es ist mit dem bekannten Programm Mindjet-MindManager erstellt. Sie können einzelne Zweige ein- und ausblenden, Teile in Präsentation einfügen oder auch die gesamte Übersicht auf DIN-A-3 oder gar DIN-A-2 ausdrucken.

Beschreibung der einzelnen Tools

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Zu guter Letzt enthält das Paket ein Dokument zur umfassende Beschreibung aller hier aufgeführten Tools.

 

vialevo – In diesen Punkten unterstützen wir Sie zusätzlich bei der Umsetzung

ISO 27001-Umsetzungsanleitung - 2-tägiger Workshop inkl. aller Implementierungs-Tools

Wenn Sie am Anfang der Implemtierung stehen, dann können Sie sich viel Zeit und Geld sparen. Ich erstelle mit Ihnen in einem zweitägigen Seminar eine komplette Planung der Umsetzung der ISO 27001. In diesem Seminar enthalten sind alle Implementierungs-Dokumente. Sie profitieren von den Erfahrungen eines Lead-Auditors für die ISO 27001 & KRITIS.

"Lösungs-Workshop" für punktuelle ISO 27001-Unterstützung

Manchmal hat man ein Problem, an dem man einfach nicht weiterkommt. Aber dennoch möchte man keine komplette Umsetzungsberatung hinzuziehen. vialevo hilft Ihnen dabei, diese punktuellen Probleme zu lösen. Wir bieten Ihnen einen Lösungs-Workshop an, an dem wir alle Ihre individuellen Fragen und Probleme besprechen und daraus einen Lösungsvorschlag erarbeiten. Sprechen sie uns an.

Komplette ISO 27001-Einführung

Wer kein eigenes Personal für eine ISO 27001-Einfürhung zur Verfügung stellen kann, dem bieten wir eine Komplett-Einführung “As-a-Service”. Legen Sie fest, in welchem zeitlichen Rahmen dies geschehen soll und sprechen Sie uns an, damit wir die Vorgehensweise und die Kosten mit Ihnen gemeinsam kalkulieren können.