ISO 27001 Gap Analyse

Auf dem Weg zur erfolgreichen Zertifizierung

Die international anerkannte Norm ISO 27001 zum Informationssicherheits-Management beschreibt eine Fülle von Maßnahmen, Prozessen und Strukturen zum Aufbau, Betrieb und zur Verbesserung eines Informationssicherheits-Managementsystems (ISMS).

Aufgrund der Internationalität der Norm nach IEC-Standard und der wachsenden Anforderungen gerade hinsichtlich Sicherheit in der Informationstechnologie kann eine Analyse zur Standortbestimmung durchgeführt werden. Die Gap Analyse ist der erste Schritt auf dem Weg zur erfolgreichen Zertifizierung einer Organisation nach ISO 27001.

Workshops zur Ermittlung des Status-Quo

Im Rahmen eines Workshops mit Interview-Charakter werden die Anforderungen der Norm ISO 20017 besprochen und eine Einschätzung zum Reifegrad abgegeben. Werden Lücken (Gaps) ermittelt, so wird gegebenenfalls der notwendige Aufwand (in Personentagen) abgeschätzt und dokumentiert. Der Aufwand wird dabei unterschieden zwischen Projektaufwand (einmalig) und wiederkehrendem Aufwand (bspw. jährlich). Die identifizierten Aufwände zur Herstellung der Normkonformität werden zudem priorisiert. Neben der Ermittlung eines geeigneten Scopes (Geltungsbereich) werden die Anforderungen der Norm besprochen. Das Ergebnis der Gap Analyse ist ein Maßnahmenplan inklusive Priorisierung und Aufwandsabschätzung.

Inhalte der Norm

Die Fragen der Interviews beziehen sich auf den Hauptteil der Norm (Kapitel 4-10) und somit die Kerninhalte:

• Kontext der Organisation (z. B. Ermittlung interessierter Parteien)
• Führung (z. B. Sicherheitspolitik)
• Planung (z. B. Risikomanagement)
• Unterstützung (z. B. Kommunikation)
• Betrieb (z. B. Dokumentation von Änderungen des ISMS)
• Leistungsauswertung (z. B. Erhebung und Dokumentation von Kennzahlen)
• Verbesserung (z. B. Dokumentation von Korrekturmaßnahmen)

Des Weiteren wird der Umsetzungsgrad der Anforderungen des Maßnahmenkatalogs der Norm (Anhang A) in den Interviews ermittelt. Er umfasst u. a. die folgenden Themengebiete:

• Security Policy (z. B. Sichtung bestehender Richtlinien)
• Organization of Information Security (z. B. interne und externe Aspekte, wie Zuweisung der Verantwortlichkeit etc.)
• Asset Management (z. B. Klassifizierung von Informationen)
• Human Resources Security (z. B. Weiterbildung, Awareness-Maßnahmen)
• Physical and Environmental Security (z. B. Zutrittskontrolle)
• Communications and Operations Management (z. B. Backup, Netzwerksicherheit)
• Access Control (z. B. Benutzer und Rollenkonzepte)
• Information Systems Acquisition, Development and Maintenance (z. B. Sichtung von Dienstleisterverträgen, sofern relevant)
• Information Security Incident Management (z. B. Berichtswesen, PDCA-Zyklen)
• Business Continuity Management (z. B. sicherheitsrelevante Aspekte bei Recovery Szenarien)
• Compliance (z. B. Einhaltung rechtlicher Vorgaben, Trennung von konfliktären Rollen)

Sie streben eine ISO 27001 Zertifizierung an und sind an einer Gap Analyse interessiert? Rufen Sie uns an. Wir beraten Sie gerne persönlich zum Ablauf und Nutzen einer Gap Analyse.