
Für alle, die eine Implementierung selbst in die Hand nehmen …
-
Step-by-Step-Umsetzungsleitfaden & ISO 27001-Cockpit
-
Vollständige Projekt- und Umsetzungsdokumentations-Vorlagen
-
Anleitung und Vorlagen einer ISO 27001 Risikoanalyse
-
Kennzahlen-Pool für das ISMS und alle Controlls in Anhang A
-
Übersicht aller „notwendigen Dokumente“ & Musterdokument-Vorlage
-
Zwei komplette Präsentationen für Trainings- und Awareness-Schulungen
Bewährte Vorlagen & Anleitungen zur Einführung der ISO 27001 in der Version 2022
Wenn Sie vor der Aufgabe stehen, die ISO Norm 27001 zur Informationssicherheit in Ihrem Unternehmen einzuführen, sind Sie wahrscheinlich erst einmal von der Komplexität und Aufgabenvielfalt überrascht. Sie werden daher wahrscheinlich nach einer Art allumfassenden „Umsetzungs-Leitfaden“ suchen, der Ihnen bei dieser Aufgabe hilft. Es gibt aber nicht nur die eine „Umsetzung“ als übergreifende Aufgabe, sondern auch das Verstehen der Inhalte, die Erstellung einer Dokumentation, bestehend aus Leit- und Richtlinien. Daneben wird von der Norm auch die Entwicklung wichtiger Prozesse und Verfahrensanweisungen für die IT gefordert. Für alle Anforderungen stellt vialevo geeignete Muster-Lösungen zur Verfügung.
In dem hier dargestellten Tool geht es um die übergreifende Implementierung der ISO 27001 (dunkelblau hervorgehobene Teile). Für einen Informations-Sicherheitsbeauftragten wird in der Regel vorausgesetzt, dass er oder sie die Planung, Steuerung, den Aufbau eines IS-Team etc. schon irgendwie regelt.
Diese Situation ist mir nur zu gut bekannt, denn aus vielen Implementierungs-Projekten weiß ich inzwischen, wie schwer es für die Verantwortlichen ist, zwischen „notwendigen“ und „nice-to-have„-Aspekten der ISO–Norm zu unterscheiden. Als zertifizierter externer Lead-Auditor für den TÜV-Rheinland kenne ich zudem die genauen Anforderungen an Prozesse, Dokumente, Analysen und Formalien auch aus der Sicht eines Auditors.
Daher habe ich ein Paket entwickelt, dass alle notwendigen Implementierungs-Tools enthält, so dass Sie sich auf die übergreifende Umsetzung konzentrieren können. In der folgenden Übersicht werden die einzelnen Tools näher vorgestellt.
Wenn Sie die weiteren Tools kennenlernen möchten, dann schauen Sie sich gerne auch unsere Richtlinien-Musterlösungen für die ISO 27001-Implementierung an – sowie ausgearbeitete Vorlagen für IS-Prozesse und IT-Verfahrensanweisungen.
Wenn Sie weitere Fragen haben, kontaktieren Sie mich gerne über den Link https://www.vialevo.de/auf-einen-kaffee/ .
Hinweis für Berater: Das vorliegende Angebot richtet sich ausschließlich an Unternehmen, die die ISO 27001 in eigener Regie einführen möchten. Die Tools sind mithin Unternehmenslizenzen.
Im folgenden eine Übersicht, was das Implementierungs-Paket im Einzelnen enthält.
Implementierungs-Leitfaden "Step-by-Step" ISMS (Kapitel 4 - 10)
Lassen Sie sich Schritt für Schritt durch die Einführung eines ISMS nach ISO 27001 leiten.
Wir stellen auf 39 Folien alles Wissenswerte zu den hier aufgefühten Themen vor – keine langen Texte, keine überflüssigen Hinweise zulasten der Übersichtlichkeit.
Immer wenn Sie das „Tool“-Symbol auf einer Folie sehen, dann gibt es neben den Informationen hier auch ein mitgeliefertes Unterstützungswerkzeug.
Mit diesem Leitfachen bekommen Sie einen Blick für das Wesentliche.
Implementierungs-Leitfaden "Step-by-Step" Controls
Auch für alle Controls aus dem Anhang A der ISO 27001 werden Sie Schritt für Schritt durch die Anforderungen geführt.
Wir stellen auf 98 Folien alles Wissenswerte zu den vier Hauptkapitel vor.
Auch hier gilt: Immer wenn Sie das „Tool“-Symbol auf einer Folie sehen, dann gibt es neben den Informationen ein mitgeliefertes Unterstützungswerkzeug. Zu jedem Controll sehen Sie zudem, welche möglichen Fragen im Audit gestellt werden können.
ISO 27001 Projekt- und Umsetzungsdokumentation
Dieses Excel-Sheet können Sie gleichzeitig als Projekt– und als Umsetzungsdokumentation einsetzen (zum Vergrößern anklicken).
Es gibt zwei Register. Das hier sichtbare Register beschreibt alle notwendigen Voraussetzungen für das ISMS (insgesamt 94 Punkte), wie Sie in der Legende gut erkennen können. Unter „Status“ können Sie den aktuellen Umetzungsstand eintragen – und auch hier dokumentiert die Legende den gegenwärtigen Stand mit.
Wie für ein Umsetzungs-Tool üblich, können Sie hier zudem Fertigstellungszeiträume und Verantwortlichkeiten eintragen. Wir haben an dieser Stelle auch die notwendigen Dokumente aufgeführt – denn nur so sehen Sie auf einem Blick, welche Dinge noch offen sind.
Im zweiten Register sind alle Controlls des Anhangs A in derselben Systematik aufgebaut (insgesamt 121)
Anleitung zum Risikomanagement
Die Vorgehensweise beim Risikomanagement ist angelehnt an die ISO 27005. In dieser Anleitung wird beschrieben, welche Schritte wichtig und notwendig sind.
Auf knapp 20 Folien erfahren Sie zu jedem Aspekt das Wesentliche.
Abgerundet wird die Anleitung mit einer Beschreibung des Einsatzes der mitgelieferten Excel-Analyse-Datei (siehe nächster Abschnitt).
Mit dieser Anleitung und dem Excel-Analyse-Tool sind Sie schnell in der Lage, eine umfassende und realitätsnahe Risikoanalyse durchzuführen.
Durchführung eines Risikomanagement mittels Excel-Analyse
Die Analyse beinhaltet drei wichtige Aspkte, die eine Risikoanalyse ausmachen:
- Kategorien für die „Eintrittswahrscheinlichkeit“ eines Ereignisses
- Einen Vorschlag differenzierte „Schadensklassen„
- Eine Analyse des Risiko-Levels für 70 voreingestellte Gefährdungskategorien
Die Datei ist so aufgebaut, dass Sie die voreingestellten Eintrittswahrscheinlichkeiten, Schadensklassen und Gefährdungskategorien einfach übernehmen können – aber natürlich auch Ihre eigenen Aspekte einsetzen können. Im Ergebnis erhalten Sie eine Liste priorisierter Risiken, die Sie als Maßnahmen zur Risikobehandlung definieren und deren Umsetzung hier dokumentieren können.
Rollen bei der ISO 27001
Wenn Sie noch kein Beschreibung der ausführenden Rollen für die ISO 27001 erstellt haben, kann Ihnen diese Vorlage gute Dienste leisten. Folgende Rollen werden ausführlich mit ihren Anforderungen beschrieben:
- Geschäftsführung (GF)
- Chief Information Officer Security (CISO)
- Informationssicherheitsbeauftragter (ISB)
- ISMS-Support-Team
- (Risiko-)Analyst
- Sicherheitsarchitekt (TSB)
- Compliance Officer
- Awareness und Schulungsbeauftragter
- Incident- Manager
SOA (Statement of Applicability) Musterdokument
Die SOA (Statement of Applicability) ist das zentrale Dokument einer ISO 27001 Zertifizierung.
In diesem Dokument ist festgelegt, welche Maßnahmen im Anwendungsbereich (Scope) sind – und welche mit welcher Begründung ausgeschlossen werden.
Dieses Musterdokument ist Audit-kompatibel. Tragen Sie hier ein, welche Maßnahmen-Ziele sie definiert haben, mit welcher Methodik sie diese erreichen wollen – sowie den Umsetzungsstatus.
Kennzahlen - Messplanung & Nachweis
„Kennzahlen sind ein Indikator für die Güte des gesamten Sicherheitsprozesses oder einzelner Teilprozesse und -aspekte. Sie sind ein wichtiges Instrument in der Kommunikation mit der Unternehmensleitung einer Institution über Erfolge, aber auch Probleme der Informationssicherheit.“ So beschreibt das BSI Kennzahlen im PDCA-Verfahren.
Um ein ISO 27001-Zertifikat zu erlangen, sind Kennzahlen ein unabdingbares Muss! Wir stellen Ihnen hier umfangreiches Tool zur Verfügung, das 5 Basis-Kennzahlen hinsichtlich der Ziele, der Messung, der Schwellwerte sowie der Schnittstellen umfassend beschreibt.
ISO 27001 Audit-Checkliste / Fragenkatalog
Sechs von 140 Fragen, mit denen Sie checken können, ob Sie die Anforderungen der Norm erfüllen.
Diese oder ähnliche Fragen werden auch die Auditoren an Sie richten. Daher sind diese Fragen auch ein guter Check für ein vorbereitendes „internes Audit„.
Natürlich werden nicht alle Fragen gestellt – noch kann man alle Maßnahmen direkt erfüllen. Die Norm ermöglicht daher einen Entwicklungs-Prozess, und daher sollte man sich in jedem Jahr weitere Fragen vornehmen. Hierüber können Sie dies gut planen.
PDCA - Nachweis
Im Audit werden Sie nachweisen müssen, wie Sie die Plan-Do-Check-Act-Methode berücksichtigt haben. Hierbei unterstützt Sie das folgende Tool:
Dieses „Cockpit“ zeigt, wer welche Aufgaben wann verfolgt. In der letzten Spalte wird zur entsprechendnen Seite verlinkt, auf der die Ergebnisse dargestellt sind. So können Sie beispielsweise für das Kapitel 6 ISMS nachweisen, Wie die Schritte Plan-Do-Check-Act durchgeführt wurden.
Zwei Präsentationen zur Einführung einer ISO 27001 & zur Vorbereitung auf ein Audit
Die Informationssicherheit lässt sich nur dann erfolgreich und effizient verwirklichen, wenn die Mitarbeiter für den sicheren Umgang mit den Unternehmenswerten, Daten, Informationen und Technologien im Arbeitsalltag sensibilisiert werden. Zu diesem Zweck haben wir zwei Präsentationen mit insgesamt 40 Folien erstellt, die Sie 1:1 übernehmen können. Wechseln Sie einfach das Logo aus und fügen Sie unternehmensinterne Sachverhalte ein.
In der zweiten Präsentation geht es im speziellen um die Vorbereitung der Mitarbeiter auf das Zertifizierungs-Audit.
Hier haben wir 20 Fragen (von „einfach“ bis „fordernd“ zusammengestellt, die der Zertifizierungs-Auditor stellen könnte. Das Ganze ist interaktiv aufgebaut. Die Fragen und antworten können einzeln eingebelndet werden.
Diese Schulung kann auch als Awareness-Schulung eingesetzt werden. Beide Präsentationen können zudem als Nachweis im ISO-Verfahren herangezogen werden.
Mind-Map über alle ISO 27001 Elemente in zwei Ebenen
Sie möchten alle Kapitel, Controlls, Ziele und Massnahmen auf einen Blick sehen? Dann hilft dieses Mind-Map Ihnen weiter. Es gibt genau genommen zwei Mind-Maps: Eines für die Darstellung des ISMS (s.u.) und ein komplexeres für alle 96 Controls.
Die Mind-Maps sind mit dem bekannten Programm Mindjet-MindManager erstellt. Sie können einzelne Zweige ein- und ausblenden, Teile in Präsentation einfügen oder auch die gesamte Übersicht auf DIN-A-3 oder gar DIN-A-2 ausdrucken. Es gibt aber auch eine PowerPoint-Version
Weitere ISO 27001-Tools aus dem Paket
Matching-Tabelle ISO 27001:2013 zu ISO 27001:2022
Wenn sie die ISO 27001 bereits in der Version 2013 eingeführt haben, dann haben sie mit diesem Tool die Möglichkeit, die Verbindung zwischen den beiden Versionen vergleichbar zu machen. Und dies funktioniert in beide Richtungen: im Tool ist dargestellt, wie die Zuordnung der Version 2013 zu 2022 stattgefunden hat – und zusätzlich die umgekehrte Verknüpfung zwischen der Version 2022 zur Version 2013. Es ist gerade im Rahmen der Umstellung sehr wichtig, diejenigen Dokumente, Richtlinien und Prozesse zu identifizieren, die nun in der Version 2022 an einer anderen Stelle verortet werden.
Beschreibung Anwendungsbereich (Scope)
In der Vorlage zur Beschreibung des Anwendungsbereichs, auch Scope genannt, gibt es zwei Anmerkungen. Zum einen ist grundsätzlich beschrieben, welche Aspekte bei der Beschreibung des Anwendungsbereichs wichtig sind. Im zweiten Teil wurde eine konkrete Beschreibung eines fiktiven Unternehmens erstellt.
Diesen Text können Sie als Muster so übernehmen und die roten Passagen entsprechend individualisieren. Beachten sie, dass nicht alle hier aufgeführten Kapitel zwingend erwähnt werden müssen. Streichen Sie die Teile, bei denen es keine Entsprechung in Ihrem Unternehmen gibt.
Vorlage: Berufung / Stellenbeschreibung ISB
Dieses Tool unterstützt sie dabei, eine Berufung für den ISB schriftlich zu fixieren. Im Audit wird geprüft, ob der ISB vom Unternehmen auch offiziell beauftragt wurde. Hier reicht es nicht, wenn eine mündliche Beauftragung stattgefunden hat. Nutzen Sie die Vorlage, um schriftlich zu definieren, welche Verantwortlichkeiten und Aufgaben der ISB in ihrem Unter-nehmen wahrnimmt.
Musteraufbau einer Prozessbeschreibung
Diese beiden Tools dienen Ihnen als Vorlage für die Beschreibung eigener Prozesse.
Ebenso ist in den Tools eine Vorlage zur Erstellung von Richtlinien anch dem gleichen Prinzip enthalten.
Übersicht Info-Quellen „Spezielle Bedrohungen
Um aktuelle Informationen über Bedrohungen im Bereich der IT-Sicherheit zu finden, können Sie auf eine Vielzahl von Online-Ressourcen zugreifen. In diesem Tool werden Quellen vorgestellt, die laufend aktualisierte Informationen zu Sicherheitslücken, neuen Arten von Malware, Cyber-Angriffsmethoden und Empfehlungen zur Abwehr solcher Bedrohungen bieten. Die Quellen wurden in nationale sowie internationale Bedrohungs-Informationen unterschieden.
Vorlage IT-Sicherheitskriterien in Projekten
Die Integration von IT-Sicherheitskriterien in Projekte ist von zentraler Bedeutung, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sowie der beteiligten Systeme und Einrichtungen auch in diesen Bereichen (also außerhalb der Linien-Organisation) zu gewährleisten. Dies entspricht dem Control A-5.8 der ISO 27001, welches fordert, dass Informations-sicherheit in allen Projekten einer Organisation integriert wird.
Vorlage Rechtskataster
Das Rechtskataster, das im Kontext der ISO 27001:2022 unter Control A5.31 gefordert wird, ist ein entscheidendes Element für jedes Unternehmen, das ein Informationssicherheitsma-nagementsystem (ISMS) implementiert. Dieses Tool stellt daher die wichtigsten Basis-Gesetzte im Überblick dar. Im Register „Beispiele für relevante Gesetze“ sind dazu Verordnungen und Gesetze aufgeführt, die in die Betrachtung eines jeden Unternehmens einbezogen werden sollten.
Vorlage Gebäude- / Raumplan
Im Rahmen der ISO 27001, speziell im Control A7.1, wird die Erstellung eines Gebäude- und Raumplans zur Darstellung der Sicherheit gefordert. Dieser Plan ist ein entscheidendes In-strument für die Sicherheitsstrategie eines Unternehmens, da er eine klare und detaillierte Übersicht über die physische Anordnung der Sicherheitszonen und die damit verbundenen Sicherheitsmaßnahmen bietet. Diese Vorlage ermöglicht die einfache Erstellung solch eines Plans. Es bietet Definitionen und Icons, die direkt in die Grafik eingefügt werden können. Es wurden die Aspekte „Sicherheitszonen“, „Zufahrtskontrolle“, „Zutrittskontrolle“ und „Beobachtung & Sensorik“ aufgenommen.
Vorlage zur Darstellung von IT-Netzplänen
Um einen umfassenden und effektiven IT-Netzplan, zu erstellen, der den Anforderungen im Control A8.20 der ISO 27001 entspricht, sollten folgende Darstellungselemente enthalten sein. In der Vorlage werden diese Elemente zum besseren Verständnis erläutert:
• Netzwerktopologie
• Netzwerksegmente und -zonen
• Verbindungspunkte zu externen Netzen
• Sicherheitsvorkehrungen
• Kritische Assets
• Kabel- und Funkverbindungen
• Management- und Überwachungswerkzeuge
• Dokumentation der Netzwerkkonfiguration
vialevo – In diesen Punkten unterstützen wir Sie zusätzlich bei der Umsetzung
ISO 27001-Umsetzungsanleitung - 2-tägiger Workshop inkl. aller Implementierungs-Tools
Wenn Sie am Anfang der Implemtierung stehen, dann können Sie sich viel Zeit und Geld sparen. Ich erstelle mit Ihnen in einem zweitägigen Seminar eine komplette Planung der Umsetzung der ISO 27001. In diesem Seminar enthalten sind alle Implementierungs-Dokumente. Sie profitieren von den Erfahrungen eines Lead-Auditors für die ISO 27001 & KRITIS.
"Lösungs-Workshop" für punktuelle ISO 27001-Unterstützung
Manchmal hat man ein Problem, an dem man einfach nicht weiterkommt. Aber dennoch möchte man keine komplette Umsetzungsberatung hinzuziehen. vialevo hilft Ihnen dabei, diese punktuellen Probleme zu lösen. Wir bieten Ihnen einen Lösungs-Workshop an, an dem wir alle Ihre individuellen Fragen und Probleme besprechen und daraus einen Lösungsvorschlag erarbeiten. Sprechen sie uns an.
Komplette ISO 27001-Einführung
Wer kein eigenes Personal für eine ISO 27001-Einfürhung zur Verfügung stellen kann, dem bieten wir eine Komplett-Einführung "As-a-Service". Legen Sie fest, in welchem zeitlichen Rahmen dies geschehen soll und sprechen Sie uns an, damit wir die Vorgehensweise und die Kosten mit Ihnen gemeinsam kalkulieren können.