Die international anerkannte Norm ISO 27001 zum Informationssicherheits-Management beschreibt eine Fülle von Maßnahmen, Prozessen und Strukturen zum Aufbau, Betrieb und zur Verbesserung eines Informationssicherheits-Managementsystems (ISMS).
Aufgrund der Internationalität der Norm nach IEC-Standard und der wachsenden Anforderungen gerade hinsichtlich Sicherheit in der Informationstechnologie kann eine Analyse zur Standortbestimmung durchgeführt werden. Die Gap Analyse ist der erste Schritt auf dem Weg zur erfolgreichen Zertifizierung einer Organisation nach ISO 27001.
Im Rahmen eines Workshops mit Interview-Charakter werden die Anforderungen der Norm ISO 20017 besprochen und eine Einschätzung zum Reifegrad abgegeben. Werden Lücken (Gaps) ermittelt, so wird gegebenenfalls der notwendige Aufwand (in Personentagen) abgeschätzt und dokumentiert. Der Aufwand wird dabei unterschieden zwischen Projektaufwand (einmalig) und wiederkehrendem Aufwand (bspw. jährlich). Die identifizierten Aufwände zur Herstellung der Normkonformität werden zudem priorisiert. Neben der Ermittlung eines geeigneten Scopes (Geltungsbereich) werden die Anforderungen der Norm besprochen. Das Ergebnis der Gap Analyse ist ein Maßnahmenplan inklusive Priorisierung und Aufwandsabschätzung.
Die Fragen der Interviews beziehen sich auf den Hauptteil der Norm (Kapitel 4-10) und somit die Kerninhalte:
Des Weiteren wird der Umsetzungsgrad der Anforderungen des Maßnahmenkatalogs der Norm (Anhang A) in den Interviews ermittelt. Er umfasst u. a. die folgenden Themengebiete:
Sie streben eine ISO 27001 Zertifizierung an und sind an einer Gap Analyse interessiert? Rufen Sie uns an. Wir beraten Sie gerne persönlich zum Ablauf und Nutzen einer Gap Analyse.