ISO 27001-Checkliste: ein schrittweiser Leitfaden

Die Informationssicherheit ist heutzutage ein immer wichtigeres Thema. Als Organisation wollen Sie diese richtig einrichten und auch nachweisen können, dass Sie sie einhalten. Dies geschieht durch die Zertifizierung nach ISO 27001, einer weltweit anerkannten Norm. Aber welche Schritte müssen Sie durchlaufen, um die Zertifizierung zu erhalten? In diesem Artikel erklären wir Ihnen anhand der ISO 27001-Checkliste, was Sie genau erwartet. Und wir gehen darauf ein, welche Maßnahmen Sie ergreifen müssen.  

ISO 27001-Checkliste

Um eine ISO 27001-Zertifizierung zu erhalten, müssen Sie immer eine Reihe von Standardschritten durchlaufen. Im Folgenden führen wir sie alle auf: 

• Erwerb der ISO 27001-Norm, zum Beispiel über die NEN. 
• Beauftragen Sie bei Bedarf ein Beratungsunternehmen, das Sie bei der Umsetzung begleitet. 
• Informieren Sie sich über die Norm und verschaffen Sie sich das richtige Wissen über ISO 27001. 
• Führen Sie das Managementsystem in Ihrer Organisation so ein oder optimieren Sie es so, dass es der Norm entspricht.  
• Prüfen Sie intern, ob das Managementsystem ordnungsgemäß funktioniert und ob es den ISO 27001 Standardanforderungen.  
• Analyse der Ergebnisse des internen Audits und Aufzeichnung potenzieller Verbesserungsbereiche in der Managementbewertung.  
• Setzen Sie die Maßnahmen aus dem internen Audit um und verbessern Sie Ihr Managementsystem. 
• Sobald Sie festgestellt haben, dass Ihre Organisation die ISO 27001-Norm erfüllt, beauftragen Sie DigiTrust mit einer unabhängigen Überprüfung.  
• Wenn der Prüfer nach der Begutachtung entscheidet, dass Ihre Organisation die Anforderungen der Norm erfüllt, erhalten Sie das ISO 27001-Zertifikat.  

Was ist ein Audit im Rahmen des ISO-Zertifizierungsprozesses?

Bei einem Audit bewertet eine unabhängige Zertifizierungsstelle (wie DigiTrust), ob Ihre Organisation die festgelegten Normenanforderungen erfüllt. Eine Zertifizierungsstelle ist eine Organisation, die befugt ist, andere Organisationen anhand bestimmter Normen oder Standards zu prüfen. Dies geschieht im Rahmen eines Audits, bei dem systematisch untersucht wird, ob alle Prozesse und das Managementsystem einer Organisation zuverlässig und integer sind. Erfüllt es alle Anforderungen? Oder gibt es Unzulänglichkeiten oder Risiken, die erst behoben werden müssen?  

1. Im Voraus vereinbaren wir mit Ihnen, zu welchen Terminen das erste (erste) Audit stattfindet. Dieses besteht aus einer Phase 1 und einer Phase 2. Beim ersten Termin, dem Phase-1-Audit, stellt sich unser Auditor vor und erklärt den gesamten Ablauf. Wir prüfen, ob die Organisation und das ISMS tatsächlich für das Audit der Phase 2 bereit sind. Haben Sie nichts Wesentliches vergessen oder gibt es Dinge, die wir für die zweite Phase noch wissen müssen? Anschließend erstellt der Auditor den Auditplan für Phase 2 und bespricht ihn mit Ihnen. Welche Themen werden wir wann abdecken und wen brauchen wir dafür. 
2. Während des Audits der Phase 2 nehmen wir die Funktionsweise Ihres ISMS (Information Security Management System) genau unter die Lupe. Dies geschieht durch Beobachtungen, Befragungen und Prüfungen von Dokumenten und Aufzeichnungen. Der Prüfer beurteilt, ob Ihre Organisation die Norm erfüllt. Und wie Sie diese Anforderungen in Ihre eigenen Anforderungen umgesetzt haben und ob Sie dann auch in Übereinstimmung mit diesen festgelegten Anforderungen arbeiten.  
3. Alle Ergebnisse werden in einem Bericht festgehalten, und die Schlussfolgerungen werden vorgestellt. Sollte es Unstimmigkeiten geben, werden diese im Abschlussgespräch mit Ihnen besprochen. Für die festgestellten Unstimmigkeiten sollte ein Korrekturmaßnahmenplan (CAP) ausgefüllt werden. Der Auditor bewertet die gesamte Akte und gibt eine positive oder negative Empfehlung für die Zertifizierung ab. Der Zertifizierungsmanager wird die Akte ebenfalls bewerten und die Entscheidung über die Zertifizierung treffen. 
4. Wenn die Entscheidung positiv ausfällt, erhalten Sie innerhalb weniger Tage das Zertifikat sowie die entsprechenden Gütesiegel-Logos, die Sie von nun an auf Ihrer Website und in E-Mails verwenden können.  

Beginnen Sie noch heute mit Ihrer ISO 27001-Zertifizierung

Wenn Sie planen, Ihre Organisation zu nutzen für ISO 27001 (NEN 7510 oder ISO 9001), können Sie noch heute mit der Vorbereitung beginnen. Lesen Sie hier mehr der Zertifizierungsprozess. Haben Sie Fragen zur ISO 27001-Checkliste oder möchten Sie diesen Prozess selbst durchlaufen? Wenn ja, wenden Sie sich bitte an das DigiTrust-Team.