Wir unterstützen Sie mit unserer Kompetenz in allen Fragen
zur Einführung eines ISMS gemäß ISO/IEC 27001 bis hin zur Zertifzierung.

Allgemeine Beratung

zur ISO/IEC 27001

Sie haben sich für die Implementierung eines ISMS nach ISO/IEC 27001 entschieden, bzw. richten Ihr Augenmerk auf diese Norm?

Zu diesem Themengebiet bieten wir Ihnen die Gelegenheit, schon frühzeitig richtungsweisende Fragen zu stellen, deren Antworten sich maßgeblich auf den Erfolg Ihres Vorhabens auswirken werden.

Unsere Berater kennen als praxiserfahrene Senior-Consultants oder Auditoren in zahlreichen Projekten und externen Audits die Stolpersteine bei der Einführung eines ISMS nach ISO/IEC 27001.

Gehen Sie vorbereitet in Ihr Projekt und stellen Sie uns Ihre Fragen, die Ihnen derzeit noch Kopfzerbrechen bereiten.

ISMS-Beratung zur ISO/IEC 27001 zu speziellen Normenabschnitten oder Controls

Für dieses Themengebiet haben wir einen eigenen Bereich geschaffen.

​Für Unternehmen, die sich bereits in einem Projekt zur Einführung eines ISMS gemäß ISO/IEC 27001 befinden, können hier ganz gezielt Fragen zu einzelnen Normenkapiteln oder Controls des Anhang A zur Norm gestellt werden.

Fragen zu den Anforderungen der Norm entstehen insbesondere oft dann, wenn das ISMS zur Zertifizierung gebracht werden soll. Für die fachliche Beratung zur ISO/IEC 27001 können Sie Ihre Fragen zu diesem Thema in diesem Themenbereich stellen. Für konkrete Fragen zur Zertifizierung nach ISO/IEC 27001 empfehlen wir jedoch eine Beratung durch einen zugelassenen Auditor, den Sie im Themengebiet “Informationssicherheit > ISO/IEC 27001 – Auditcheck” finden.

Auszug und Übersicht von häufig gestellten Fragen:

Der "Alle-Toggles-geschlossen-Toggle"

Damit alle Toggles geschlossen sind, muss dieser Toggle am Anfang stehen!

Allgemeine Fragen zur ISO/IEC 27001
  • Welche Vorbereitungen müssen für das Projekt getroffen werden?
  • Welche Anforderungen werden an das Unternehmen gestellt?
  • Welche organisatorischen Voraussetzungen müssen im Unternehmen geschaffen werden?
  • Welche Aufgaben und Aktivitäten kann ich / muss ich selbst machen?
  • Gibt es auch eine Vorstufe zur ISO/IEC 27001?
  • Worin liegen die größten Herausforderungen bzw. wo warten erfahrungsgemäß die Stolpersteine?
  • Welche Anforderungen bestehen hinsichtlich der Dokumentation des ISMS?
  • Was sind die Pflichtdokumente und wie umfangreich sind diese zu gestalten?
  • Wie viele Personentage werden für die Einführung eines ISMS nach ISO 27001 benötigt?
  • Kann unser Unternehmen auch in einzelnen Teilschritten vorgehen, anstatt die Einführung des ISMS komplett zu vollziehen?
  • Wie ermittel ich den Reifegrad meiner Informationssicherheit in Bezug auf die ISO 27001?
  • Muss ich mein ISMS zertifizieren lassen?

 

Fragen zum Normenkapitel 4
Zum Abschnitt 4.1 – Verstehen der Organisation und Ihres Kontextes
  • Wie bestimme ich den Kontext meines Unternehmens?
  • Was ist der Zweck, die Aufgabe bzw. die Tätigkeit des Unternehmens und welche Auswirkungen haben diese Themen auf die Sicherheit im Unternehmen?
  • Was sind die internen und externen Einflussfaktoren und die Themen zur Informationssicherheit?
Zum Abschnitt 4.2 – Verstehen der Erfordernisse und Erwartungen von interessierten Parteien
  • Wer sind die interessierten Parteien, die Einfluss auf mein ISMS haben oder von ihm beeinflusst werden?
  • Wie stelle ich diese Angaben am besten dar und welche Informationen benötige ich dazu?
  • Wie dokumentiere ich die interessierten Parteien und welchen Nutzen bringt mir die Auflistung für mein ISMS?

 Zum Abschnitt 4.3 – Festlegen des Anwendungsbereichs

  • Wie definiere ich die Grenzen meines ISMS am sinnvollsten?
  • Welche Bereiche gehören unbedingt dazu?
  • Welche Unternehmensbereiche kann ich auslassen?
  • Kann ich zunächst mit einem kleinen Scope beginnen und es später erweitern?
  • Macht es in meinem Fall Sinn, das ganze Unternehmen in den Anwendungsbereich aufzunehmen?

 Zum Abschnitt 4.4 – Informationssicherheits-Managementsystem

  • Wie überführe ich die Informationen aus den Kapiteln 4.1 – 4.3 in die Praxis?
  • Wir organisiere ich die Aufgaben und wo sollten die Prioritäten liegen?
  • Was heißt PDCA und wie setze ich das in meinem ISMS um?
  • Was heißt in diesem Zusammenhang „kontinuierliche Verbesserung“?
Fragen zum Normenkapitel 5

Zum Abschnitt 5.1 – Führung und Verpflichtung

  • Welche Aufgaben gehören klar zur Managementebene und können nicht delegiert werden?
  • Welche Aufgaben könnte oder sollte ich delegieren?
  • Welchen Aufgaben führen einer direkte Verpflichtung für das Management?
  • Wie kann die Umsetzung vom Normenabschnitt 5.1 nachgewiesen werden?
  • Kann eine E-Mail, mit der ich eine Aufgabe verteilt habe, auch als Nachweis geführt werden?

Zum Abschnitt 5.2 – Politik

  • Was genau wird in diesem Abschnitt geregelt?
  • Was sind die Mindestanforderungen an eine Leitlinie zur Informationssicherheit?
  • Müssen die Inhalte der Leitlinie auf die gesamte Organisation ausgerichtet sein?
  • Muss die Leitlinie allen bekannt gemacht werden?
  • Wie vertraulich ist die Leitlinie zu behandeln und wie sollte sie veröffentlicht werden?
  • Macht es Sinn, eine Sensibilisierung hinsichtlich der Inhalte der Leitlinie durchzuführen?

Zum Abschnitt 5.3 – Rollen, Verantwortlichkeiten und Befugnisse der Organisation

  • Betrifft das nur die Rollen, die direkt mit dem Thema IT- und Informationssicherheit zu tun haben?
  • Haben Prozessverantwortliche und andere Beauftragte auch eine Verantwortung und müssen diese dargestellt werden?
  • Müssen alle sicherheitsrelevanten Aktivitäten oder Aufgaben einer Person oder Rolle zugewiesen werden?
  • Wie und in welcher Form dokumentiere ich die Rollen und Verantwortlichkeiten am besten?
Fragen zum Normenkapitel 6

Zum Abschnitt 6.1.1 – Maßnahmen zum Umgang mit Risiken und Chancen

  • Was genau ist das Ergebnis aus den Aktivitäten dieses Normenabschnitts?
  • Wie ist die genaue Definition von Risiken und wie komme ich zu einem Ergebnis?
  • Was ist mit Chancen gemeint und wie kann ich diese darstellen?
  • Wie bringe ich am besten die Risiken und Chancen miteinander in Verbindung?
  • Gibt es Standards und Vorgehensweisen, die zur Beurteilung von Risiken und Chancen genutzt werden können?
  • Wie stehen Werte und Assets in Zusammenhang mit dem Risikomanagement?
  • Wie kann ich die ganzen Informationen am besten darstellen, so dass ich auch damit arbeiten kann?
  • Ist es für die Risikobeurteilung sinnvoll, zunächst eine Darstellung der Prozesslandschaft Sinn?
  • Kann ich alle Informationen in ein Dokument zusammenfassen oder gibt eine ander Form der Dastellung?

Zum Abschnitt 6.1.2 – Maßnahmen zum Umgang mit Risiken und Chancen – Beurteilung

  • Macht es Sinn, dass ich die Risiken gruppiere und wenn ja, in welcher Form?
  • Nach welchen Kriterien kann ich meine Risiken am besten sortieren bzw. darstellen?
  • Nach welchen Kriterien können Auswirkungen durch Risiken bewertet werden?
  • Was sind gängige Bewertungsstufen und nach welchem Typ können diese dargestellt werden?
  • Welche Regeln zum Umgang mit Risiken gibt es, bzw. nach welchen Vorgaben kann ich diese erstellen?
  • Wie dokumentiere ich alle Informationen und in welcher Form der Darstellung macht das Sinn?
  • Wie schaffe ich es, dass meine Informationen nachhaltig und vergleichbar revisioniert werden können?

Zum Abschnitt 6.1.3 – Maßnahmen zum Umgang mit Risiken und Chancen – Behandlung

  • Welche Optionen habe ich, mit den identifizierten Risiken umzugehen?
  • Wo ist der Unterschied zwischen Risikovermeidung und Risikoreduzierung?
  • Kann ich Risiken in jedem Fall verlagern oder welche sind weiter zu behandeln?
  • Wo ist der Unterschied zwischen Verlagerung und Absicherung des Risikos?
  • Wenn ich Risiken verlagere bzw. absichere, wer trägt dann die Verantwortung?
  • Wie werden Maßnahmen zur Risikominimierung erarbeitet?

Zum Abschnitt 6.2 – Sicherheitsziele und Planung zur Erreichung

  • Wie gestalte ich einen Maßnahmenplan?
Fragen zum Normenkapitel 7

Zum Abschnitt 7.1 – Ressourcen

  • Wer muss die Ressourcen bereitstellen?
  • Welche Ressourcen benötigt ein funktionierendes ISMS mit Blick auf Personaleinsatz?
  • Zählen Ressourcen für die Umsetzung von Maßnahmen auch zu diesem Abschnitt der Norm?
  • Wo halte ich die Ressourcen fest, bzw. wie sollte diese dokumentiert werden?

Zum Abschnitt 7.2 – Kompetenz

  • Wen spricht die Norm in diesem Kapitel an?
  • Ist in diesem Abschnitt auch die Kompetenz der Administratoren gemeint
  • In welcher Form ist die Kompetenz nachzuweisen?
  • Wie kann ich überprüfen, ob die relevanten Personen über ausreichende Kompetenzen verfügen?
  • Ist mit Kompetenzbildung ausschließlich der Besuch von Weiterbildungsmaßnahmen gemeint?
  • Ist die Kompetenz einzelner Mitarbeiter zu dokumentieren und wenn ja in welchem Umfang?

Zum Abschnitt 7.3 – Bewusstsein

  • Welche Themen sollten unbedingt vermittelt werden?
  • Welche Dauer sollten Sensibilisierungsmaßnahmen haben bzw. über welchen Zeitraum sollten diese durchgeführt werden?
  • Sollten die Veranstaltungen durch einen internen Mitarbeiter durchgeführt werden oder doch eher durch einen externen Dozenten?
  • Kann ich Mitarbeiter und Führungskräfte in einer Schulung sensibilisieren oder trenne ich diese Zielgruppen besser auf?
  • Was ist besser, eine Pflichtveranstaltung oder doch eher eine Teilnahme auf freiwilliger Basis?
  • Muss ich die Teilnahme der einzelnen Mitarbeiter dokumentieren?

Zum Abschnitt 7.4 – Kommunikation

  • Was ist in dem Zusammenhang mit “Kommunikation” gemeint?
  • Welche Kommunikationsbeziehungen sind für ein ISMS wichtig?
  • Muss ich auch dokumentieren, welche Kommunikationsbeziehungen nicht gewünscht sind?
  • Ist es ratsam, Themen zur Kommunikation zu beschreiben, um Erlaubnisse und Verbote auszusprechen?
  • Sollte ich auch die Art und Weise der Kommunikation vorgeben?
  • Ist es wichtig ein umfangreiches Kommunikationskonzept zu erstellen und wenn ja, was sollte es enthalten?

Zum Abschnitt 7.5 – Dokumentation

  • Was ist eine dokumentierte Information?
  • In welcher Form darf / kann ich das ISMS dokumentieren?
  • Gibt es eine Übersicht von Pflichtdokumenten?
  • Gibt es MUSS- und KANN-Dokumente?
  • Was ist mit Aufzeichnungen gemeint?
  • Sind Gesprächsprotokolle auch wichtige Aufzeichnungen?
  • Wer erstellt die Dokumente?
  • Müssen die Dokumente regelmäßig geprüft werden?
  • Wer ist für die Dokumente verantwortlich?
  • Was ist mit Dokumentenlenkung gemeint?
Fragen zum Normenkapitel 8
Zum Abschnitt 8.1 – Betriebliche Planung und Steuerung
  • Welche Aspekte muss ich planen, damit ich die gestellten Anforderungen umsetzen kann?
  • Wie gestalte ich am besten die Pläne zur Umsetzung der Informationssicherheitsziele?
  • Wie kann ich die Planungsaspekte strukturieren bzw. wie stelle ich diese dar?
  • Was bedeutet in dem Zusammenhang die „dokumentierte Information“ aufzubewahren?
  • Wie nutze ich diese dokumentierte Information für mein ISMS?
  • Wie kann ich die Dokumentation so erstellen, dass ich sie auch als Werkzeug nutzen kann?
Zum Abschnitt 8.2 – Risikobeurteilung
  • In der Norm steht, „in geplanten Abständen“ Beurteilungen vorzunehmen. Was bedeutet das?
  • Was sind geeignete Intervalle für eine durchzuführende Beurteilung?
  • Wie dokumentiere ich die Ergebnisse der Risikobeurteilung am Besten?

Zum Abschnitt 8.3 – Risikobehandlung

  • Kann ich die Ergebnisse der Risikobehandlung gemeinsam mit der Risikobeurteilung dokumentieren oder ist es besser getrennt voneinander darzustellen?
Fragen zum Normenkapitel 9

Zum Abschnitt 9.1 – Überwachung, Messung, Analyse und Bewertung

  • Was muss ich in Bezug auf das ISMS überwachen und entsprechend messen?
  • Gibt es eine Darstellung der Parameter, die ich zu messen habe?
  • Mit welchen Methoden kann ich diese Überwachung oder Messung durchführen?
  • Kann ich mit unterschiedlichen Methoden zur Messung arbeiten?
  • In welchen Abständen sollte ich die Überwachung durchführen?
  • Wie kann ich am besten die Verantwortlichkeiten für die Überwachung festlegen?
  • Wie kann ich die Ergebnisse geeignet dokumentieren und was muss ich beachten?
  • Gibt es Regeln, zu welchen Anlässen die Analyse der Daten durchgeführt werden sollte?
  • Was sind sinnvoll und geeignete Abstände zur Auswertung?
  • Was habe ich bei der Dokumentation der Ergebnisse zu beachten?

Zum Abschnitt 9.2 – Internes Audit

  • Welche besonderen Regelungen und Anforderungen muss ich bei internen Audits beachten?
  • Kann das interne Audit auch von einem Mitarbeiter der Organisation erfolgen?
  • Wie kann ich Unabhängigkeit bei der Durchführung von internen Audits gewährleisten?
  • Wie sind interne Audits zu dokumentieren und wer macht das?
  • Was ist ein Auditprogramm und wie erstelle ich das am sinnvollsten?

Zum Abschnitt 9.3 – Managementbewertung

  • Was sind die geforderten Inhalte einer solchen Managementbewertung?
  • Ich habe eine Sicherheitsanalyse durchführen lassen. Soll ich den Bericht der Managementbewertung hinzufügen?
  • Werden aus den Managementbewertungen auch Aufgaben generiert und wo dokumentiere ich diese?
  • Kann ich die gesamte Dokumentation stichpunktartig zusammenfassen?
  • Wie kann ich das Dokument darstellen, um auch mit Blick auf Verbesserungen damit arbeiten zu können?
Fragen zum Normenkapitel 10

Zum Abschnitt 10.1 – Nichtkonformität und Korrekturmaßnahmen

  • Wie gehe ich am besten vor, damit ich einerseits direkt reagiere und gleichzeitig alles Notwendige dokumentiere?
  • Wie kann ich geeignete Maßnahmen ermitteln?
  • Wie gehe ich mit Maßnahmen zur Beseitigung um? Kann ich diese entsprechend umsetzen oder habe ich dazu etwas zu beachten?
  • Wie bewerte ich die Wirksamkeit von Maßnahmen und gibt es Anhaltspunkte zur Wirtschaftlichkeitsmessung?
  • Was passiert, wenn mit den geplanten Maßnahmen Änderungen am gesamten ISMS einher gehen?
  • Was ist die beste Form der Dokumentation von Nichtkonformitäten?

Zum Abschnitt 10.2 – Fortlaufende Verbesserung

  • Wie erreiche ich es am besten, dass ich meine Informationssicherheit zielgerichtet steuern und verbessern kann?
  • Wann kann ich mein ISMS als wirksam bezeichnen?
  • Woher weiß ich, ob meine Maßnahmen und das ISMS angemessen gestaltet sind?
Fragen zum Anhang A der ISO 27001

Der Anhang A der ISO/IEC 27001 ist ein Dokument bzw. ein Katalog mit 14 Themen zur IT- und Informationssicherheit sowie mit 35 entsprechenden Maßnahmenzielen und 114 Controls.

Somit wird jedes der 14 Themen mit einzelnen Maßnahmenzielen beschrieben, die zu erreichen sind. Mit den 114 Controls werden diese Maßnahmenziele mit einer variierenden Anzahl beschrieben, so dass mit der Erfüllung der Controls die Ziele erreicht werden.

Vor dem Hintergrund, dass der Anhang A “normativ” ist, müssen alle Controls zumindest bearbeitet und hinsichtlich der Relevanz für die Organisation auch umgesetzt werden.
Im Umgang mit dem Anhang A der ISO 27001 entstehen naturgemäß eine Vielzahl von Fragen, die es zu beantworten gilt und viele Organisationen vor große Herausforderungen stellen.

Eine Auflistung der häufig gestellten Fragen würde an dieser Stelle den Rahmen sprengen.

Nutzens Sie somit dieses Themengebiet für alle Ihre Fragen, die bei der Einführung Ihres ISMS entstehen.

SSH-Network - Ein Ort, an dem Fachwissen, Innovation und Kollaboration aufeinandertreffen. Ein Ort, wo Ihre Ideen und Fragen, Anregungen nicht nur Gehör finden, sondern auch wachsen und gedeihen können. Mit dem SSH-Network entsteht ein Netzwerk, das nicht nur verbindet, sondern auch inspiriert.