Kostenloses ebook: NIS2 bereit mit ISO 27001 Best Practices
ebook herunterladen
Heimat der Akademie
Hilft
Erforderliche Schritte für die Vorbereitung auf das ISO 27001-Zertifizierungsaudit

Dies ist eine Empfehlung für die Arbeitsprioritäten in Cyberday, wenn das Ziel darin besteht, für das ISO 27001-Zertifizierungsaudit bereit zu sein.

Alle Schritte sind notwendig, daher sollten Sie sich mit der vollständigen Liste vertraut machen. Sie können jedoch die Reihenfolge einiger Schritte an Ihre Präferenzen anpassen (z. B. je nach Ihrem anfänglichen Compliance-Niveau).

1. Aktivierung des ISO 27001-Rahmens (Version 2022 oder 2013)

Wo Sie diese Ansicht finden: Dashboard -> Dropdown-Menü Organisationsname -> Frameworks -> Frameworks bearbeiten

Wenn Sie mit einer neuen ISO 27001-Implementierung beginnen, sollten Sie die Normversion 2022 verwenden.

Wenn Ihr Ziel darin besteht, prüfungsreif zu werden, sollten Sie sofort mit dem vollständigen (Stufe 3) Rahmenwerk beginnen. Einige Benutzer möchten mit den Stufen 1 oder 2 beginnen, um zunächst eine begrenzte Anzahl von Aufgaben zu sehen. Auch das ist völlig in Ordnung, solange Sie daran denken, zum richtigen Zeitpunkt auf den Rahmen der Stufe 3 zu wechseln.

2. Abbildung des Startstatus von Aufgaben mit kritischer, hoher und normaler Priorität

Um eine Vorstellung davon zu bekommen, inwieweit Sie die Vorschriften derzeit einhalten, sollten Sie die folgenden Punkte beachten: 

  • Benutzer einladen, die Sie als Themenbesitzer zuweisen möchten
  • Eigentümer des Themas festlegen
  • Jeder Themenverantwortliche geht die ausstehenden Aufgaben durch, aktiviert die Aufgaben, die Sie (zumindest teilweise) umgesetzt haben, und setzt sie auf den richtigen Status

Tipp: Auf diese Weise können Sie auch den anfänglichen Konformitätsstatus aus dem ISO 27001-Konformitätsbericht (Erklärung zur Anwendbarkeit) sehen.

3. Erstellen und Zuordnen Ihres Anlageninventars

Die wichtigsten Datenbestände auf Cyberday sind die folgenden:

  • Datensysteme - die für die Verarbeitung und Speicherung von Daten verwendeten Software-Assets
  • Datenspeicher - verschiedene große logische Datenspeicher (z. B. Kundendaten vs. Personaldaten), in denen Daten in verschiedenen Formaten und an verschiedenen Orten gespeichert werden können
  • Datensätze - die Daten entweder in Datensystemen oder in anderen elektronischen/physischen Formaten, die für die Durchführung bestimmter Aufgaben (z. B. Rechnungsstellung, Authentifizierung) benötigt werden
  • Andere Vermögenswerte - z. B. andere kritische Geräte, wenn Sie welche haben
  • Büroräume - Ihre physischen Räumlichkeiten

An dieser Stelle sollten Sie die Benutzer als "Mitwirkende" einladen, denen Sie verschiedene Assets zuweisen möchten. Sie müssen noch nicht unbedingt Einladungen verschicken - die Nutzer können auch stillschweigend hinzugefügt werden.

4. Personalrichtlinien erstellen

Die Sensibilisierung und Anleitung des Personals ist ein wichtiger Bestandteil Ihrer Informationssicherheit.

An dieser Stelle sollten Sie Ihre bestehenden Materialien oder die Beispiele von Cyberday verwenden, um Mitarbeiterrichtlinien für verschiedene Themen zu erstellen (z. B. Nutzung von Mobilgeräten, Remote-Arbeit, Verwendung von Passwörtern, Phishing-Prävention). Nachdem Sie einige Richtlinien aktiviert haben, sehen Sie auf der Registerkarte "Leitfaden", wie Ihre aktuellen Richtlinien aussehen.

Sie sollten auch entscheiden, ob Sie die Schulungserweiterungen in Cyberday aktivieren möchten. Sie finden diese unter Organisations-Dashboard -> Einstellungen -> Leitfaden-Einstellungen.

Leitfaden wird später in einem separaten Schritt für das gesamte Personal bereitgestellt. Zu diesem Zeitpunkt können Sie den Leitfaden-Prozess (z. B. Benachrichtigungen) mit Ihren Hauptnutzern testen, um zu sehen, wie Ihre Mitarbeiter mit Cyberday umgehen würden.

5. Erstellung und Überprüfung der erforderlichen Dokumente/Richtlinien/Berichte

Sie können alle benötigten Dokumente z.B. für das ISO 27001-Audit der Phase 1 in Cyberday im Bereich der Bereichterstattung erstellen.

Die wichtigsten Dokumente, die für das ISO 27001-Audit der Phase 1 benötigt werden, sind die folgenden:

  • ISMS-Beschreibung und -Anwendungsbereich
  • Informationssicherheitsregeln und Ziele
  • Verfahren und Ergebnisse des Risikomanagements
  • Erklärung zur Anwendbarkeit (SoA)
  • Sensibilisierung und Anleitung des Personals
  • Internes Auditverfahren und Ergebnisse
  • Verfahren und Ergebnisse der Managementbewertung

An diesem Punkt ist es wichtig, diese Berichte zu erstellen, sie zu überprüfen und die Teile auszufüllen, die mit dem Warnhinweis "Ihre Eingabe ist erforderlich" versehen sind. Auch sonst ist es wichtig, sich mit dem Inhalt vertraut zu machen, auch wenn die App bei der Arbeit mit Cyberday die Arbeit meist so anleitet, dass sie mit dem übereinstimmt, was in den Dokumenten steht.

Im unten stehenden Screenshot sehen Sie ein Beispiel für die Anwendbarkeitserklärung (Statement of Applicability) und wie sie auf einem prüfungsbereiten Niveau aussehen könnte. Nochmals, dies kann je nach Organisation variieren, aber im Allgemeinen sollte die Karte grün ausgefüllt sein.

6. Informationen zur Aufgabensicherung auffüllen und Lücken schließen

An dieser Stelle empfehlen wir Folgendes: 

  • Sicherstellen, dass die Aufgaben Ihre Sicherheitsbereitschaft korrekt wiedergeben, d. h. Ausfüllen von Zuverlässigkeitsinformationen für Aufgaben
  • Umsetzung wichtiger Aufgaben, die noch nicht aktiviert sind

Der letztgenannte Teil wird einige Ressourcen und Zeit in Anspruch nehmen, so dass Sie dabei die Prioritäten der Aufgaben, mögliche Risiken und Ihre eigenen Fristen berücksichtigen sollten.

Zu diesem Zeitpunkt sollten Sie vielleicht auch weitere Mitwirkende zu Ihrem Konto einladen, die am meisten über die Umsetzung der einzelnen Aufgaben wissen.

7. Beginn der Arbeit am Risikomanagement

Wenn Sie die vorangegangenen Schritte umgesetzt haben, haben Sie sich eine hervorragende Grundlage für ein effizientes und erfolgreiches Risikomanagement geschaffen.

Jetzt wäre es an der Zeit, das Dashboard Organisation -> Risikomanagement und Führung -> Cybersicherheitsrisiken aufzurufen und dort mit der Arbeit zu beginnen.

Das sollten Sie auch:

  • Überprüfung der Risikoliste und ggf. Anpassung der Bewertungen
  • Hinzufügen benutzerdefinierter Aufgaben/Kontrollen, die einige Risiken kontrollieren, aber in Ihrem ISMS fehlen
  • Top-Risiken in der Warteschlange für die Behandlung

8. Stellen Sie sicher, dass Sie ISO 27001-Spezialitäten implementiert haben

Aufgaben, die mit den obligatorischen Anforderungen von ISO 27001 verbunden sind (anstelle von Kontrollen in ISO 27002), sind solche, die während des Zertifizierungsaudits zu größeren Nichtkonformitäten führen, wenn sie nicht ordnungsgemäß umgesetzt werden.

Beispiele für diese Art von Themen sind z. B. interne Audits und Managementbewertungen. Sie müssen mindestens eines von beiden durchgeführt und die Ergebnisse dokumentiert haben und außerdem über das Verfahrensdokument verfügen, in dem Ihre Vorgehensweise klar definiert ist.

Weitere Beispiele für häufige Nichtkonformitäten bei ISO 27001-Zertifizierungsaudits sind: 

  • Unzureichende Risikobehandlung - z. B. fehlende Verknüpfung zwischen Risikobewertung und Risikobehandlung (6.1)
  • Fehlende Auflistung der Anforderungen an die Informationssicherheit - Sie müssen z. B. Kundenanforderungen, andere nationale Rechtsvorschriften und andere Normen auflisten, die zusätzlich zu ISO 27001 befolgt werden (A.18.1.1)
  • Benutzerzugriffsrechte nicht überprüft (A.9.2.5)
  • Nicht ordnungsgemäß dokumentiertes Anlageninventar (A.8.1.1)

9. Bereitstellung von Cyberday für Ihr Personal

Um die Prozesse zur Sensibilisierung der Mitarbeiter in Gang zu setzen, müssen Sie die App Cyberday für alle Mitarbeiter bereitstellen.

Dies kann ganz einfach mit Hilfe unserer Teams- oder Slack-Integrationen geschehen.

Sobald Sie eine Richtlinie für die Einrichtung einer App erstellt haben, wird Ihre Mitarbeiterführung automatisch für alle Mitglieder Ihres Teams-Tenants ausgeführt.

10. Fertigstellung Ihrer ISO 27001-Auditvorbereitung

Um die Zusammenarbeit mit einem Prüfer zu beginnen, müssen Sie einige Schritte unternehmen, um Inhalte für ihn freizugeben.

Als Standardmethode empfehlen wir, den Auditor als externen Benutzer in Ihr ISMS einzuladen und seinen Zugang auf die Stufe "Mitwirkender" zu beschränken.

Auf diese Weise können Sie die benötigten Berichte für den Prüfer freigeben und ihn direkt auf die benötigten Inhalte verweisen. Sie können auch umfassendere Zugriffsrechte für den Prüfer verwenden (z. B. Kernteam), aber das ist in der Regel weder notwendig noch hilfreich, sondern einfach zu viele Informationen.

In diesem Hilfeartikel erfahren Sie, wie Sie Berichte direkt über Teams an Auditoren weitergeben können.

Sie können uns gerne um weitere Beratung bitten!

Dieser Artikel soll Ihnen einen Überblick über die wichtigsten Schritte auf dem Weg zu einer ISO 27001-Zertifizierung mit Cyberday geben.

Dies ist jedoch nur ein Überblick, der auf Ihre Wünsche abgestimmt werden kann. Unser Team ist gerne bereit, Sie weiter zu unterstützen. Buchen Sie ein 45-minütiges Gespräch mit uns, um mehr zu erfahren!

Inhalt

Artikel teilen