Heimat der Akademie
Blogs
Checkliste zur Einhaltung von ISO 27001 und zur Zertifizierung
Teil der ISO 27001-Sammlung
Teil der NIS2-Sammlung

Checkliste zur Einhaltung von ISO 27001 und zur Zertifizierung

ISO 27001-Sammlung
Checkliste zur Einhaltung von ISO 27001 und zur Zertifizierung
NIS2-Sammlung
Checkliste zur Einhaltung von ISO 27001 und zur Zertifizierung
Cyberday Blog
Checkliste zur Einhaltung von ISO 27001 und zur Zertifizierung

ISO 27001 ist die weltweit anerkannte Best Practice für das Management der Informationssicherheit und den Betrieb eines ISMS (Information Security Management System).

Es gibt viele verschiedene Möglichkeiten, von ISO 27001 zu profitieren. Einige Organisationen haben ein klares Ziel für die Zertifizierung, die den stärksten Nachweis für die Einhaltung der Vorschriften liefert. Andere Organisationen suchen zunächst nur nach einem Maßstab, der ihnen hilft, die Informationssicherheit gemäß den besten Praktiken zu verbessern.

Diese Checkliste richtet sich an Organisationen, die eine Zertifizierung anstreben, aber hier finden Sie eine Zusammenfassung der verschiedenen gängigen Ansätze zur ISO 27001:

  • Nutzen Sie ISO 27001 als Maßstab für Verbesserungen: Suchen Sie sich gute Praktiken heraus, die Sie in Ihre eigenen Sicherheitsmaßnahmen einbauen können, und finden Sie gute Anleitungen, um sich Schritt für Schritt zu verbessern.
  • Ermitteln Sie Ihr ISO 27001-Konformitätsniveau: Vergleichen Sie Ihre aktuellen Maßnahmen mit denen der ISO 27001, um herauszufinden, inwieweit Sie die Best Practices der Norm erfüllen, damit Sie sich Ziele für die Zukunft setzen können.
  • Erfüllen Sie die ISO 27001-Norm: Setzen Sie sich als internes Ziel, die gesamte Norm einzuhalten, damit Sie bereit sind, über Ihre ISO 27001-Konformität zu berichten, z. B. gegenüber Kunden oder Behörden.
  • Lassen Sie sich nach ISO 27001 zertifizieren: Wenn Sie den bestmöglichen Nachweis für Ihre laufende Einhaltung der Vorschriften erbringen und sicherstellen wollen, dass Sie Ihr ISMS kontinuierlich verbessern, lassen Sie sich vollständig zertifizieren, gehen Sie eine Partnerschaft mit einem akkreditierten Prüfer ein und unterziehen Sie sich einem Zertifizierungsaudit.
In diesem Artikel werden wir uns hauptsächlich auf die Zertifizierung konzentrieren und Ihnen die notwendigen Schritte auf dem Weg dorthin beschreiben.

Wie erreicht man die ISO 27001-Zertifizierung?

Der Kern der ISO 27001-Norm besteht aus 22 Anforderungen an das Sicherheitsmanagement und 93 Kontrollen der Informationssicherheit. Ihr Ziel ist es, nachzuweisen, wie Sie die Anforderungen erfüllen und die entsprechenden Kontrollen implementiert haben.

Aber auf dem Weg zu diesem Ziel gibt es viele verschiedene Arten von Schritten des Informationssicherheitsmanagements. Einige davon erfordern unterschiedliche Arten von Fachwissen und Beteiligung. In diesem Artikel erläutern wir die wichtigsten Schritte beim Aufbau eines zertifizierungsfähigen, ISO 27001-konformen ISMS.

In diesem Artikel werden die folgenden Schritte der ISO 27001-Zertifizierung vorgestellt:

  1. Verstehen Sie die Grundlagen von ISO 27001
  2. Definieren des ISMS-Anwendungsbereichs
  3. Wählen Sie Ihre ISMS-Aufbau-Methode
  4. Einrichtung eines ISMS-Teams und Zuweisung von Rollen
  5. Bewerten Sie den Reifegrad Ihrer anfänglichen Informationssicherheit
  6. Erstellen und Zuordnen Ihres Anlageninventars
  7. Personalrichtlinien erstellen
  8. Beginn der Arbeiten zum Risikomanagement der Informationssicherheit
  9. Arbeit an der Anwendbarkeitserklärung (SoA, ISO 27001-Konformitätsbericht) zur Vorbereitung auf die Zertifizierung
  10. Erstellung und Überprüfung der erforderlichen Dokumente/Richtlinien/Berichte
  11. Durchführung regelmäßiger Managementbewertungen
  12. Durchführung eines internen Audits nach ISO 27001
  13. ein externes Audit des ISMS durchlaufen, um die ISO 27001-Zertifizierung zu erhalten
  14. Plan für die Durchführung des ISMS und anstehende interne und Überwachungsaudits

1. Verstehen der Grundlagen von ISO 27001

Bevor Sie mit den eigentlichen Umsetzungsschritten für den Aufbau Ihres ISMS beginnen und auf dem Weg zur Konformität und Zertifizierungsreife voranschreiten, sollten Sie ausreichend über den Zweck der ISO 27001-Norm und ihre wichtigsten Inhalte informiert sein.

Es ist nicht nötig, sich mit den Details dieses Teils zu befassen. Es gibt viele Themen der Informationssicherheit, die von der ISO 27001-Norm abgedeckt werden, aber im Grunde sind die Struktur und die Arten der Inhalte sehr einfach.

Die ISO 27001-Norm umfasst:

  • 22 Anforderungen an das Informationssicherheitsmanagement: Sie gewährleisten, dass Sie Ihr Informationssicherheitsprogramm klar definieren und ordnungsgemäß verwalten.
    • Die Anforderungen umfassen Themen wie das Engagement der obersten Führungsebene, das Risikomanagement im Bereich der Informationssicherheit, die Zuweisung von Ressourcen für die Sicherheitsarbeit, die Überwachung Ihrer Sicherheitsleistung und die kontinuierliche Verbesserung.
  • 93 Kontrollen der Informationssicherheit: Sie stellen sicher, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Daten gewährleistet ist.
    • Die Kontrollen umfassen Themen wie Kontinuitätsplanung, Lieferantensicherheit, Zugangskontrolle, Änderungsmanagement, Sensibilisierung des Personals, sicheres On- und Offboarding, Verschlüsselung, Netzwerksicherheit, Endgerätesicherheit, Backups, Gebäudesicherheit und so weiter.
    • In der ISO-Norm 27001 werden die Kontrollen heute in getrennte Kategorien für organisatorische, personelle, physische und technologische Kontrollen eingeteilt.

Das Verständnis der Norm wird Ihnen z. B. dabei helfen, Ziele für den Fortschritt zu setzen und festzulegen, wer an den nächsten Schritten beteiligt werden muss.

Sie können mehr über die Norm erfahren, indem Sie z. B. unseren ausführlichen Blogbeitrag Was ist ISO 27001 lesen oder an unseren wöchentlichen ISO 27001-Webinaren teilnehmen.

2. Definition des ISMS-Anwendungsbereichs

Die Festlegung des Geltungsbereichs des Informationssicherheitsmanagementsystems ist ein wichtiger Schritt bei der Umsetzung von ISO 27001. Er bestimmt, welche Teile Ihrer Aktivitäten (z. B. Vermögenswerte, Prozesse, Abteilungen, Standorte oder Technologien) durch das ISMS abgedeckt werden sollen.

Zu den üblichen Ansätzen für die Definition des ISMS-Umfangs gehören:

  • 🌍 Organisationsweiter Ansatz: Hier deckt das ISMS alle Standorte, Anlagen, Mitarbeiter und Prozesse ab. Am besten geeignet für Unternehmen, die keine zusätzliche Komplexität aufbauen und eine vollständige Einhaltung der Vorschriften in allen Geschäftsbereichen erreichen wollen.
  • 🏢 Abteilungsspezifischer Ansatz: Das ISMS konzentriert sich auf bestimmte Teams (z. B. IT, Finanzen, F&E).
  • ☁️ System- oder dienstespezifischer Ansatz: Das ISMS umfasst definierte spezifische IT-Systeme oder Anwendungen (z. B. Cloud-Plattformen, Rechenzentren).

Wenn es in Ihrem Betrieb möglich ist, wird die Einhaltung der Vorschriften durch einen organisationsweiten Ansatz erreicht, der auch viel einfacher gegenüber Ihren Interessengruppen (z. B. Kunden und Partnern) zu vermitteln ist. Intelligente ISMS-Tools helfen Ihnen auf jeden Fall dabei, die Umsetzung nach Abteilungen oder Diensten auszurichten.

Wenn Sie einen organisationsweiten Ansatz wählen, können Sie die Einhaltung der Vorschriften gegenüber Ihren Interessengruppen leichter vermitteln.

3. Wählen Sie Ihre ISMS-Aufbau-Methode

Bei der Implementierung eines ISMS können Unternehmen viele verschiedene Tools oder andere technische Methoden verwenden, um die Informationen zu verwalten, die mit der Implementierung der erforderlichen Kontrollen, Personalrichtlinien, Risikobewertungen, anderen Dokumentationen, der Überwachung der Einhaltung der Vorschriften und der Berichterstattung zusammenhängen. Die Wahl der Tools hängt von Faktoren wie Unternehmensgröße, Budget und Compliance-Anforderungen ab.

Zu den üblichen ISMS-Aufbaukonzepten gehören:

  • 📄 Verwendung von Word, Excel und PDFs (manuelles, dokumentenbasiertes ISMS)
    • Hier erstellen Sie die erforderlichen Sicherheitsrichtlinien, Bestandslisten und Risikoregister in Basisdokumenten und verfolgen den Fortschritt der Einhaltung manuell.
    • ✔️ Vorteile: Kostengünstig, einfach zu starten.
    • Nachteile: Zeitaufwändig und schwierig zu verwalten (z. B. Versionskontrolle). Unterstützt nicht die Teamarbeit. Erfordert manuelle Überwachung.
  • 📚 Wissensdatenbank oder wikibasiertes ISMS
    • Hier speichern Sie ISMS-Dokumentation, Richtlinien und Verfahren in einem wiki-ähnlichen Tool.
    • ✔️ Vorteile: Zentralisiert und leicht zu ändern. Einige Unterstützung für die Zusammenarbeit, aber keine Delegation und Überwachung.
    • Nachteile: Keine strukturierte Verfolgung der Einhaltung der Vorschriften. Nicht für die ISMS-Wartung konzipiert, daher viel manuelle Erstellungsarbeit erforderlich, manuelle Kontrollzuordnung erforderlich und keine speziellen ISMS-Tools.
  • 🛠 Dedizierte ISMS-Tools (empfohlen)
    • Hier arbeiten Sie auf die von Ihnen gewählten Rahmenwerke (ISO 27001, NIS2, GDPR usw.) hin, und zwar mit Hilfe von Tools für die Kontrollimplementierung, Beispielinhalten und -vorlagen, Tools für die Risikobewertung sowie automatischer Überwachung der Einhaltung und Berichterstattung.
    • ✔️ Vorteile: Automatisiert die Verfolgung der Einhaltung von Vorschriften und Risiken, ordnet Ihre Maßnahmen den Anforderungen in verschiedenen Rahmenwerken zu, spart Ihnen Zeit und verringert den Aufwand für Audits und Zertifizierungen.
    • Nachteile: Lernkurve am Anfang und zusätzliche Kosten
Die Lernkurve für ISMS-Apps kann mit Tools, die sich gut in Ihre aktuellen Kollaborationsumgebungen integrieren lassen (z. B. M365, Slack), erheblich reduziert werden.
  • 🔍 Verwendung von GRC-Tools (Governance, Risiko und Compliance)
    • Hier geht es darum, das Risikomanagement des Unternehmens in einem einzigen System zu zentralisieren und dort auch Aspekte der Informationssicherheit zu behandeln.
    • ✔️ Vorteile: Gut, wenn ein größeres Unternehmen bereits über ein solides Risiko- und Compliance-Programm verfügt.
    • ❌ Nachteile: Für viele ein Overkill, da kostspielig und oft mit hohem Einrichtungsaufwand verbunden. Der Schwerpunkt liegt auf dem Risikoansatz, mit begrenzter Unterstützung für die Umsetzung von Sicherheitsmaßnahmen.

Sie sollten den technischen Ansatz vor allem in Abhängigkeit von der Größe Ihres Unternehmens, dem aktuellen Bedarf, dem Budget und dem technischen Reifegrad wählen.

4. Einrichten eines ISMS-Teams und Zuweisung von Rollen

Der Aufbau eines wirksamen ISMS erfordert ein klar zugewiesenes Team mit Rollen und Verantwortlichkeiten. In der Regel finden Sie in Ihren bestehenden Teams Mitarbeiter, die diese Rollen ganz natürlich ausfüllen, aber die Festlegung klarer Entscheidungen wird Ihren Fortschritt fördern. Das ISMS-Team sorgt für Fortschritte bei der Einhaltung der ISO 27001-Norm, während es gleichzeitig die Risiken verwaltet und die Sicherheitsmaßnahmen verbessert.

Zu den Schlüsselrollen in einem ISMS-Team gehören häufig:

  1. ISMS-Eigentümer / Verantwortlicher für die Informationssicherheit / CISO: Überwacht die ISMS-Implementierung, bestätigt die Kontrollen und wichtigsten Verfahren, sorgt für die Einhaltung der Vorschriften und erstattet der Geschäftsleitung Bericht und stellt deren Engagement sicher.
  2. ISMS-Verwaltung: Verwaltet den täglichen Betrieb, die Dokumentation und die Audits. Spielt oft eine wichtige Rolle bei der Definition und Implementierung von Organisationskontrollen.
  3. Verantwortlich für die technische Sicherheit: Definiert und implementiert technische Kontrollen, überwacht Sicherheitsvorfälle und setzt Zugangskontrollen durch.
  4. Risikomanager: Ist die Hauptperson, die für die Initiierung von Risikobewertungen, die Bewertung verschiedener Bedrohungen und die Ausarbeitung möglicher Abhilfestrategien verantwortlich ist.
  5. Interner Prüfer: Überprüft die Wirksamkeit des ISMS, führt Audits durch und schlägt Verbesserungen vor.
  6. Koordinator für HR und Sicherheitsbewusstsein: Beaufsichtigt Schulungen zum Sicherheitsbewusstsein, die Erstellung von Sicherheitsrichtlinien und setzt die Einhaltung der Vorschriften durch die Mitarbeiter durch.

Die Größe des Teams hängt natürlich von Ihrer Organisation ab, und zu Beginn sind nicht alle Rollen zwingend erforderlich. Auch eine einzelne Person kann den Fortschritt einleiten, aber es ist gut zu verstehen, dass in der Regel unterschiedliche Fachkenntnisse in verschiedenen Bereichen der Informationssicherheit benötigt werden.

5. Bewertung des Reifegrads Ihrer anfänglichen Informationssicherheit

Alle Organisationen haben bereits einige grundlegende Maßnahmen zur Informationssicherheit eingeführt. Wenn Sie mit der Umsetzung von ISO 27001 beginnen, kann Ihre Organisation einen motivierenden Start hinlegen, indem sie das mit den derzeitigen Sicherheitsmaßnahmen erreichte Konformitätsniveau bewertet .

Dies kann z. B. in einem ISMS-Tool implementiert werden, das Ihnen hilft, aktuelle Maßnahmen mit Vorschlägen zu finden (wenn Sie z. B. einen Malware-Schutz installiert haben, machen Sie bereits Fortschritte bei der Umsetzung einiger damit verbundener Kontrollen).

Diese erste Analyse hilft bei der

  • Verknüpfung der aktuellen Informationssicherheitsarbeit mit den Anforderungen und Kontrollen des ISO 27001-Rahmens
  • Ermittlung der Bereiche, die derzeit am schlechtesten behandelt werden (große Lücken)
  • realistische Ziele für den Fortschritt setzen
  • Prioritäten zu setzen, um ein funktionierendes ISMS effizient aufzubauen
Ihr Compliance-Bericht in Cyberday könnte nach der ersten Auswertung etwa so aussehen

6. Erstellen und Zuordnen Ihres Anlageninventars

Ein Bestandsverzeichnis ist für die Einhaltung von ISO 27001 von entscheidender Bedeutung, da es einen Einblick in die gesamte Datenverarbeitungsumgebung des Unternehmens ermöglicht.

Vermögenswerte können z. B. in folgende Kategorien eingeteilt werden:

  • Informationswerte: Datenbanken, Kundendaten, geistiges Eigentum, Dokumente
  • Software-Assets: Anwendungen, Cloud-Dienste, Betriebssysteme
  • Hardware-Assets: Laptops, Server, Netzwerkgeräte, IoT-Geräte
  • Physische Vermögenswerte: Rechenzentren, Büroräume, Aktenschränke
  • Menschliche Werte: Mitarbeiter, Teams, Auftragnehmer, Drittanbieter

Ein aktuelles Anlageninventar ist eine zentrale Anforderung der ISO 27001, aber hier sind Beispiele für weitere wichtige Vorteile, die es für die Sicherheitsarbeit bietet:

  • 🔹 Verschafft der Organisation einen Überblick und ein Verständnis für die wichtigen Informationsbestände, die für die Durchführung ihrer Tätigkeiten benötigt werden
  • 🔹 Unterstützt die Implementierung vieler Informationssicherheitskontrollen (z. B. Zugriffskontrolle, Datenklassifizierung, Lieferantensicherheit) durch die Definition von Asset-Eigentum, Verantwortlichkeiten des Eigentümers und Prioritätsstufen für verschiedene Assets.
  • 🔹 Hilft bei Risikobewertungen durch die Identifizierung kritischer Vermögenswerte, die besonders gut geschützt werden müssen (und z. B. spezifische Risikobewertungen erfordern).

7. Erstellung von Informationssicherheitsrichtlinien für Mitarbeiter

Die Festlegung klarer Sicherheitsrichtlinien für Ihre Mitarbeiter und die Gewährleistung eines angemessenen Bewusstseins für die Informationssicherheit sind wichtige Schritte zur Einhaltung der ISO 27001.

Ihre Sicherheitsrichtlinien sollten den Mitarbeitern kristallklar vor Augen führen, welche Sicherheitserwartungen an sie gestellt werden. Die Schlüsselrolle jedes Mitarbeiters in Ihrem Informationssicherheitsprogramm kann darin bestehen, seine Richtlinien zu kennen und sie bei seiner täglichen Arbeit zu befolgen.

Ihre Sicherheitsrichtlinien für Mitarbeiter sollten Themen wie diese abdecken:

  • Zulässige Nutzung von Informationsressourcen: Regeln z. B. für die Nutzung firmeneigener Geräte (Laptops, Telefone, USBs) und dienstlicher E-Mails. Beschränkungen für die persönliche Nutzung von IT-Ressourcen des Unternehmens.
  • Zugangskontrolle und Authentifizierung: Bewährte Praktiken der Passwortverwaltung (z. B. Komplexität, Rotation), Anforderungen an die Multifaktor-Authentifizierung (MFA), Regeln für die Gewährung von Zugang.
  • Datenschutz und Datenklassifizierung: Umgang mit vertraulichen und sensiblen Informationen, Datenklassifizierungsstufen (z. B. öffentlich, intern, vertraulich, eingeschränkt). Sichere Speicherung und Entsorgung von Daten.
  • Bewusstsein für Phishing und Social Engineering: Erkennen von Phishing-E-Mails, Telefonbetrug und Identitätsmissbrauchsversuchen, Meldung verdächtiger E-Mails oder Aktivitäten
  • Richtlinien für Fernarbeit: Sperren der Bildschirme bei Abwesenheit, Verschlüsselung sensibler Daten, Verwendung von VPN, Richtlinien für einen sauberen Schreibtisch.
  • Meldung von Vorfällen: Wie meldet man Sicherheitsvorfälle (z. B. verlorene Geräte, Datenschutzverletzungen), an wen wendet man sich im Falle von Sicherheitsbedenken?
  • Physische Sicherheit: Sicherung von Arbeitsplätzen, Zugangsausweisen und gedruckten Dokumenten. Eingeschränkter Zugang zu sensiblen Bereichen (Serverräume, Rechenzentren). Verfahren für Besucher.
  • Sonstige Software-Nutzung: Verbot von nicht genehmigten Software-Installationen, Nutzung von vom Unternehmen genehmigten Cloud-Diensten und -Speichern
  • Allgemeine Sicherheitsverantwortung: Rolle der Mitarbeiter bei der Aufrechterhaltung der Informationssicherheit, ausgenommen die Einhaltung der Unternehmensrichtlinien, Konsequenzen bei Sicherheitsverstößen

Durch Ihre Sicherheitsleitlinien und Sensibilisierungsprozesse stellen Sie sicher, dass auch die Aspekte der Informationssicherheit abgedeckt werden, die technologisch oder durch Maßnahmen des ISMS-Teams nicht zu bewältigen sind.

8. Beginn der Arbeiten zum Risikomanagement der Informationssicherheit

Ein Schlüsselprozess der ISO 27001 ist das Risikomanagement der Informationssicherheit. Das Risikomanagement sollte ein Schlüsselinstrument für die Bewertung der Umsetzung Ihrer Kontrollen und Richtlinien und deren kontinuierliche Verbesserung sein.

Vor Ihrer ersten ISO 27001-Zertifizierung müssen Sie nachweisen können, dass Sie über ein solides Verfahren für das Risikomanagement im Bereich der Informationssicherheit verfügen und es mit klaren Ergebnissen umsetzen.

Dies sind die wichtigsten Schritte in diesem Prozess:

  • Erstellen und dokumentieren Sie ein Risikomanagementverfahren, um sicherzustellen, dass die Arbeiten konsequent durchgeführt werden.
  • Identifizieren Sie relevante Bedrohungen, durch die Ihre Daten, Ihre Datensysteme oder andere Dienste gefährdet werden könnten.
  • Bewerten Sie diese Risiken, indem Sie ihre Wahrscheinlichkeit und ihre Auswirkungen definieren.
  • Führen Sie die höchsten Risiken (die über dem akzeptablen Risikoniveau liegen) einer Risikobehandlung zu - und legen Sie die Risikobehandlungspläne fest, um diese auf ein akzeptables Niveau zu bringen.

Wir haben in einem separaten Blog-Beitrag ausführlich über unseren empfohlenen und integrierten Risikomanagementprozess in Cyberday geschrieben.

Risikoorientiertes Denken ist wichtig, um es während des anfänglichen ISO 27001-Prozesses zu erlernen, aber es wird wohl noch wichtiger, wenn Ihr ISMS ausgereifter ist - und Sie die Verbesserungen Ihrer Sicherheitslage nach Erreichen der anfänglichen Konformität feststellen.

9. Arbeit an der Anwendbarkeitserklärung (SoA, ISO 27001-Konformitätsbericht), um für die Zertifizierung gerüstet zu sein

Die Liste der Kontrollen (oder Anhang A oder ISO 27002-Dokument) ist ein Abschnitt der ISO 27001-Norm, in dem die Sicherheitskontrollen aufgelistet sind, die Sie implementieren sollten, um die Anforderungen zu erfüllen.

Mit stichhaltigen Begründungen können Sie beschließen, einige der Kontrollen als "nicht anwendbar" für Ihre Organisation einzustufen. Dies sollte jedoch nur nach einer sorgfältigen Risikoanalyse geschehen (siehe vorheriger Schritt). Und in Wirklichkeit sind viele der in ISO 27001 aufgeführten Kontrollen so grundlegend für die Informationssicherheit, dass sie in der Regel nicht weggelassen werden können.  

Ein wichtiger Teil Ihres Compliance-Prozesses ist das Ausfüllen eines Berichts, der so genannten Anwendbarkeitserklärung (oft als SoA bezeichnet), die eine Zusammenfassung enthält:

  • welche Kontrollen Sie implementiert haben
  • wie Sie diese Kontrollen durchgeführt haben
  • für die Kontrollen, die als nicht anwendbar angesehen werden, warum dies so ist

Mit Hilfe des SoA-Dokuments (oder z. B. des automatisierten ISO 27001-Konformitätsberichts in Cyberday) können Sie sich einen Überblick über Ihre Kontrollimplementierung verschaffen und kontinuierlich darauf hinarbeiten, dass alle Kontrollen durch Ihre Antworten abgedeckt sind.

Ein zertifizierungsfähiger Konformitätsbericht in Cyberday sollte in etwa wie folgt aussehen

10. Erstellung und Überprüfung der erforderlichen Dokumente/Richtlinien/Berichte

Im Bereich der Informationssicherheit ist die Dokumentation vor allem ein Mechanismus, der die Konsistenz, Nachvollziehbarkeit und Überprüfbarkeit Ihres ISMS gewährleistet . Die meisten Dokumente können in jedem beliebigen Format vorliegen, z. B. Beschreibungen der verschiedenen Aufgaben in Ihrem ISMS. Die ISO 27001-Norm legt jedoch einige Schlüsseldokumente fest, die gesammelt werden und z. B. für den Prüfer leicht zugänglich sein müssen.

Die wichtigsten Dokumente, die Sie dem Auditor zu Beginn des 27001-Zertifizierungsaudits vorlegen müssen, sind:

  • Erklärung zur Anwendbarkeit (SoA)
  • ISMS-Beschreibung und -Anwendungsbereich
  • Organisatorische Informationssicherheitspolitik
  • Verfahren für das Risikomanagement
  • Internes Auditverfahren + Ergebnisse früherer Audits
  • Verfahren zur Überprüfung durch das Management + Ergebnisse der vorherigen Überprüfung
  • Verfahren zur Sensibilisierung des Personals

Wir haben in einem separaten Blog-Beitrag ausführlich über die wichtigsten Dokumente bei einem ISO 27001-Zertifizierungsaudit geschrieben.

11. Durchführung einer ersten Managementbewertung

Regelmäßige Überprüfungen des Managements sind eine obligatorische Anforderung der ISO 27001, um sicherzustellen, dass das ISMS wirksam bleibt, mit den Unternehmenszielen übereinstimmt und kontinuierlich verbessert wird.

Bei diesen Überprüfungen, die in der Regel jährlich oder halbjährlich durchgeführt werden, bewertet die oberste Leitung die wichtigsten Aspekte des ISMS, wie z. B:

  • Sicherheitsrisiken und Zwischenfälle: Überprüfung der Ergebnisse des Risikomanagements und der Risikobehandlung, der gemeldeten Vorfälle und der daraus gezogenen Lehren.
  • Prüfungsergebnisse: Auswertung der Ergebnisse interner und externer Audits.
  • Wirksamkeit der Politik: Bewertung, ob die ISMS-Richtlinien und -Kontrollen die Ziele erreichen.
  • Feedback der Interessengruppen: Bereitstellung wichtiger Rückmeldungen zu hervorgehobenen Sicherheitsaspekten und möglichen Trends unter den Beteiligten (z. B. Kunden, Eigentümer, Partner).
  • ✅ Möglichkeiten zur Verbesserung: Ermittlung der wichtigsten Bereiche, in denen die Sicherheitsmaßnahmen verbessert werden sollten.

Gut durchgeführte Management-Reviews zeigen das Engagement der obersten Führungsebene für die Informationssicherheit und helfen dem ISMS-Team bei der Entscheidungsfindung für Sicherheitsinvestitionen und bei der Priorisierung von Verbesserungsideen.

Vor Ihrem ersten ISO 27001-Zertifizierungsaudit müssen Sie nachweisen können, dass Sie über ein Verfahren zur Durchführung von Managementprüfungen verfügen und die Ergebnisse von mindestens einer Managementprüfung vorlegen.

12. Durchführung eines internen Audits nach ISO 27001

Audits der Informationssicherheit sind systematische Bewertungen der Informationssicherheit einer Organisation.

Ein internes Audit nach ISO 27001 sollte insbesondere dazu dienen, die Einhaltung der Anforderungen der Norm nachzuweisen. Bei den Audits wird untersucht, ob die definierten Richtlinien und Kontrollen angemessen sind und ob die Organisation tatsächlich nach ihrem ISMS arbeitet.

Bei einem internen Audit nach ISO 27001 wird die Prüfung in der Regel von kompetenten Mitarbeitern Ihrer Wahl durchgeführt. Sie können diese Dienstleistungen auch bei externen Partnern einkaufen.

Um für die Zertifizierung bereit zu sein, müssen Sie folgende Voraussetzungen erfüllen:

  • ein klares Verfahrensdokument zur Verfügung haben, das Sie bei der Durchführung der Audits befolgen
  • die Ergebnisse von mindestens einem internen Audit zur Verfügung haben

Damit zeigen Sie, dass Sie in der Lage sind, Audits durchzuführen und sinnvolle Ergebnisse zu erzielen. Später werden Audits eine immer wichtigere Rolle spielen, wenn es darum geht, kontinuierliche Verbesserungen zu gewährleisten, Nichtkonformitäten zu beheben und den Reifegrad Ihrer Informationssicherheit zu erhöhen.

13. Durchführung eines externen Audits des ISMS zur Erlangung der Zertifizierung nach ISO 27001

Das externe Audit zur ISO 27001-Zertifizierung ist der Schritt, der bestätigt, dass Ihr ISMS mit ISO 27001 übereinstimmt. Dieses Audit wird von einer akkreditierten dritten Zertifizierungsstelle durchgeführt.

Der Prüfer wird weitere Einzelheiten von Ihnen erfragen, Beweise einsehen, Personalbefragungen durchführen und anderweitig beurteilen, ob die festgelegten Sicherheitsmaßnahmen angemessen sind und im täglichen Betrieb befolgt werden. Die externe Prüfung dauert zwischen einigen Tagen und einigen Wochen, was direkt von der Größe Ihrer Organisation abhängt.

Der Prüfer kann während des Audits Nichtkonformitäten feststellen, die sich immer auf einige Abschnitte der Norm beziehen, die nicht eingehalten werden. Sie beheben die Nichtkonformitäten mit Korrekturmaßnahmen, entweder sofort (größere Nichtkonformitäten) oder innerhalb eines bestimmten Zeitraums (kleinere Nichtkonformitäten).

Als Endergebnis eines erfolgreichen ISO 27001-Zertifizierungsaudits erhalten Sie dann ein Zertifikat.

Wir haben in einem separaten Artikel ausführlich über das Auditverfahren für die ISO 27001-Zertifizierung geschrieben.

14. Plan für die Durchführung des ISMS und anstehende interne und Überwachungsaudits

Das Erreichen der ISO 27001-Zertifizierung ist ein großer Schritt. Im Sinne Ihrer allgemeinen Informationssicherheit ist dies jedoch erst der Anfang. Sie müssen Ihr ISMS angemessen pflegen und kontinuierlich verbessern.

Im Folgenden finden Sie einige wichtige Schritte, um sicherzustellen, dass Ihr ISMS konform ist und sich weiter verbessert:

  • Überwachen und aktualisieren Sie das ISMS regelmäßig: Sie sollten einen Rhythmus schaffen, um Ihr ISMS auf dem neuesten Stand zu halten. Ohne Wartung veraltet das ISMS durch technologische Aktualisierungen in Ihrer Umgebung, Änderungen bei der Umsetzung bestimmter Richtlinien oder durch andere Fehler und Änderungen. Dies kann z. B. durch monatliche ISMS-Teamsitzungen und automatische Erinnerungen erfolgen.
  • Priorisierung und Umsetzung von Sicherheitsverbesserungen: Ermutigen Sie Ihre Mitarbeiter zu Feedback über Sicherheitsverbesserungen. Halten Sie die Sicherheit mit den Geschäftszielen und neuen Bedrohungen in Einklang. Übernahme neuer bewährter Sicherheitspraktiken und Innovationen zur Stärkung der ISMS-Reife
  • Führen Sie kontinuierlich Risikomanagement durch.
  • Durchführung regelmäßiger interner Audits und Managementprüfungen: Behebung von Nichtkonformitäten usw.
  • Überwachung von Vorfällen und Behandlung der Vorfälle: Ergreifen von Abhilfemaßnahmen

Mit einer ISMS-App können Sie sicherstellen, dass Sie die ISO 27001-Norm stets einhalten. Diese Tools bieten eine fortlaufende Überwachung und benachrichtigen Sie, wenn Ihre Organisation gegen die Vorschriften verstößt.

Sehen Sie, wie Cyberday Ihre ISO 27001-Implementierung erleichtern kann, indem Sie eine kostenlose Testversion starten oder eine Demo anfordern.

Geschrieben von
Aleksi Pulkkanen
6.2.2025
@
apulkkanen
LinkedIn

Inhalt des Artikels

Andere Artikel zum gleichen Thema

Vollständige ISO 27001-Kollektion anzeigen
Vollständige NIS2-Sammlung anzeigen

Andere verwandte Blog-Artikel

Artikel teilen

Andere ähnliche Inhalte von Academy

Blogs

Die 10 häufigsten Nichtkonformitäten bei ISO 27001-Audits

Audits und Nichtkonformitäten treiben Organisationen zu kontinuierlichen Verbesserungen an. Vor Ihrer ersten ISO 27001-Zertifizierung ist es jedoch gut, einige der häufigsten Nichtkonformitäten zu kennen, damit Sie diese bei Ihrem Zertifizierungsaudit vermeiden können.
18.2.2025

Ich habe eine Anfrage für ein Interview zum ISO 27001-Audit erhalten - was sollte ich erwarten?

In diesem Blog werden wir über die Bedeutung der Teilnahme von Mitarbeitern am Audit-Interview-Prozess sprechen, warum Auditoren Einblicke von Mitarbeitern schätzen, und uns mit möglichen Fragen beschäftigen, die in einem ISO 27001-Interview gestellt werden.
13.2.2025

Checkliste zur Einhaltung von ISO 27001 und zur Zertifizierung

Möchten Sie sicherstellen, dass Sie die Anforderungen von ISO 27001 erfüllen? Diese Checkliste enthält klar geordnete Schlüsselschritte, die Ihre Organisation beim Aufbau eines ISMS und bei der Einhaltung der ISO 27001-Norm unterstützen.
6.2.2025

Beginnen Sie noch heute

Starten Sie kostenlos, in Ihrer gewohnten Teams-Umgebung.
Wenn Sie zunächst einige Fragen haben, vereinbaren Sie einen Termin mit uns.

Kostenlose 14-tägige Testversion starten
Buchen Sie ein Online-Meeting
So geht's!
ZusammenfassungSicherheitsaufgaben und GewährleistungDokumentation der ArbeitsabläufeRichtlinien für ArbeitnehmerBerichtsvorlagen
Anwendungsfälle
Nach RahmenAlle RahmenwerkeISO 27001NIS2-RichtlinieNIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Nach MethodeCyber-RisikomanagementBewusstsein der MitarbeiterCompliance-BerichterstattungKontrollmanagementVerwaltung vonAssets up: a
Dynamische RichtliniendokumenteVerwaltung der Privatsphäre
Ressourcen
AkademieWebinareBlogHilfe-ArtikelVideo-KurseInhalt der BibliothekWöchentliche NachrichtenübersichtenAbonnieren Sie die AkademieCyberday bewertenPartnerprogrammTeamNutzungsbedingungenDatenschutzbestimmungen
Kontakt
+358 10 231 6010
team@cyberday.ai
Die App funktioniert in:
In Finnland unter dem Namen Digiturvamalli bekannt
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finnland
Cyberday.ai - Verbessern und zertifizieren Sie Ihre Cybersicherheit