Diese Checkliste wird von IT-Managern verwendet, um die Bereitschaft einer Organisation zur ISO 27001 Zertifizierung zu beurteilen. Sie hilft Prozesslücken zu entdecken und das aktuelle ISMS-Tool zu überprüfen. Außerdem dient sie als Leitfaden für das Überprüfen der folgenden Kategorien, die auf Grundlage der Norm ISO 27001:2013 verwendet werden:
Die Organisation muss externe und interne Fragen bestimmen, die für ihren Zweck relevant sind und die ihre Fähigkeit beeinflussen, das/die beabsichtigte(n) Ergebnis(se) ihres IT-Sicherheitsmanagementsystem (ISMS) zu erreichen.
1.2 Verstehen der Bedürfnisse und Erwartungen der interessierten Parteien
Das Unternehmen bestimmt:
a) interessierte Parteien, die für das IT-Sicherheitsmanagementsystem relevant sind;
b) die für die Informationssicherheit relevanten Anforderungen dieser interessierten Parteien
1.3 Bestimmen des Umfangs des IT-Sicherheitsmanagementsystem (ISMS)
Das Unternehmen muss die Grenzen und die Anwendbarkeit des ISMS bestimmen, um dessen Anwendungsbereich festzulegen.
1.4 Verwaltungssystem für Informationssicherheit
Das Unternehmen soll in Übereinstimmung mit den Anforderungen dieser Internationalen Norm ein ISMS einführen, implementieren, aufrechterhalten und kontinuierlich verbessern.
2. Die Führung
2.1 Führung und Engagement
Die Leitung muss ihr Engagement für die Einrichtung, Umsetzung, den Betrieb, die Überwachung, die Überprüfung, die Instandhaltung und die Verbesserung des ISMS nachweisen, indem sie
2.1 (a) ...sicherstellt, dass die Informationssicherheitspolitik und die Informationssicherheitsziele festgelegt werden und mit der strategischen Ausrichtung der Organisation vereinbar sind.
2.1 (b) ...sicherstellt, dass der Anforderungen an das ISMS in die Prozesse des Unternehmens integriert werden.
2.1 (c) ...sicherstellt, dass die für das ISMS erforderlichen Ressourcen verfügbar sind.
2.1 (d) ... die Bedeutung eines effektiven Informationssicherheitsmanagements vermittelt und die Anforderungen an das ISMS einhält.
2.1 (e) ...sicherstellt, dass das ISMS die beabsichtigten Ergebnisse erreicht.
2.1 (f) ... Personen anweist und unterstützt, die zur Wirksamkeit des ISMS beitragen.
2.1 (h)... andere relevante Managementfunktionen unterstützt, um ihre Führungsqualitäten in ihrem Verantwortungsbereich unter Beweis zu stellen.
2.2 Politik
Die oberste Leitung muss eine Informationssicherheitspolitik festlegen, die:
a) dem Zweck der Organisation angemessen ist;
b) Ziele der Informationssicherheit (siehe 6.2) enthält oder den Rahmen für die Festlegung von Zielen der Informationssicherheit bietet;
c) eine Verpflichtung zur Erfüllung der geltenden Anforderungen in Bezug auf die Informationssicherheit enthält;
d) eine Verpflichtung zur kontinuierlichen Verbesserung des Informationssicherheits-Managementsystems beinhaltet.
Die Politik der Informationssicherheit soll:
e) als dokumentierte Information verfügbar sein;
f) innerhalb der Organisation kommuniziert werden;
g) gegebenenfalls für interessierte Parteien verfügbar sein
2.3 Organisatorische Rollen, Verantwortlichkeiten und Befugnisse
Die oberste Leitung stellt sicher, dass die Verantwortlichkeiten und Befugnisse für die für die Informationssicherheit relevanten Rollen zugewiesen und kommuniziert werden.
3. Die Planung
3.1 Maßnahmen zur Bewältigung von Risiken und Chancen
3.1.1 Allgemeines
Bei der Planung des Informationssicherheits-Managementsystems muss die Organisation die in 1.1 genannten Fragen und die in1.2 genannten Anforderungen berücksichtigen und die Risiken und Chancen bestimmen, denen begegnet werden muss:
a) sicherstellen, dass das ISMS die beabsichtigten Ergebnisse erzielen kann;
b) unerwünschte Auswirkungen zu verhindern oder zu verringern und
c) eine kontinuierliche Verbesserung zu erreichen.
3.1.1 (d) Die Organisation soll Maßnahmen zur Bewältigung dieser Risiken und Chancen planen;
3.1.1 (e) Die Organisation soll planen, wie sie
1) diese Maßnahmen in ihr Informationssicherheits-Managementsystem zu integrieren und umzusetzen
Prozesse;
2) die Wirksamkeit dieser Maßnahmen zu bewerten.
3.1.2 Risikobewertung der Informationssicherheit
3.1.2 (a) erstellt und pflegt Kriterien für das Risiko der Informationssicherheit, die Folgendes umfassen
1) die Risikoakzeptanzkriterien; und
2) Kriterien für die Durchführung von Risikobewertungen der Informationssicherheit;
Die Organisation soll einen Prozess zur Bewertung des Informationssicherheitsrisikos definieren und anwenden, der
3.1.2 (b) stellt sicher, dass wiederholte Risikobewertungen der Informationssicherheit zu konsistenten, gültigen und vergleichbaren Ergebnissen führen;
3.1.2 (c) identifiziert die Informationssicherheitsrisiken:
1) den Prozess der Informationssicherheitsrisikobewertung anwenden, um Risiken zu identifizieren, die mit dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen im Rahmen des Informationssicherheitsmanagementsystems verbunden sind; und
2) die Risikoeigner zu identifizieren;
3.1.2 (d) analysiert die Informationssicherheitsrisiken:
1) die möglichen Folgen abzuschätzen, die sich ergeben würden, wenn die in 3.1.2 c) 1) identifizierten Risiken eintreten würden;
2) die realistische Wahrscheinlichkeit des Eintretens der in 3.1.2 c) 1) identifizierten Risiken abschätzen;
3) das Risikoniveau zu bestimmen;
3.1.2 (e) evaluiert die Informationssicherheitsrisiken:
1) die Ergebnisse der Risikoanalyse mit den in 3.1.2 a) festgelegten Risikokriterien zu vergleichen;
2) die analysierten Risiken für die Risikobehandlung zu priorisieren.
3.1.3 Behandlung von Informationssicherheitsrisiken
Das Unternehmen soll einen Prozess zur Behandlung von Informationssicherheitsrisiken definieren und anwenden:
3.1.3 (a) geeignete Optionen zur Behandlung von Informationssicherheitsrisiken unter Berücksichtigung der Ergebnisse der Risikobewertung auswählen;
3.1.3 (b) alle Kontrollen bestimmen, die zur Umsetzung der gewählten Option(en) zur Behandlung von Informationssicherheitsrisiken erforderlich sind;
3.1.3 (c) die in 3.1.3 (b) oben festgelegten Kontrollen mit denen in Anhang A vergleichen und überprüfen, dass keine notwendigen Kontrollen ausgelassen wurden;
3.1.3 (d) eine Erklärung zur Anwendbarkeit erstellen, die die notwendigen Kontrollen (siehe 3.1.3.b und c) und die Begründung für die Einschlüsse, ob sie umgesetzt werden oder nicht, sowie die Begründung für die Ausschlüsse von Kontrollen aus Anhang A enthält;
3.1.3 (e) einen Plan zur Behandlung von Informationssicherheitsrisiken formulieren;
3.1.3 (f) die Zustimmung der Risikoeigentümer zum Behandlungsplan für Informationssicherheitsrisiken und die Akzeptanz der verbleibenden Informationssicherheitsrisiken einholen.
3.2 Ziele der Informationssicherheit und Pläne zu ihrer Erreichung
Das Unternehmen muss Ziele der Informationssicherheit auf den relevanten Funktionen und Ebenen festlegen.
Die Zielsetzungen der Informationssicherheit müssen:
a) mit der Informationssicherheitspolitik übereinstimmen;
b) messbar sein (falls durchführbar);
c) die geltenden Anforderungen an die Informationssicherheit sowie die Ergebnisse der Risikobewertung und -behandlung berücksichtigen;
d) mitgeteilt werden; und
e) gegebenenfalls aktualisiert werden.
Bei der Planung, wie die Ziele der Informationssicherheit erreicht werden sollen, muss das Unternehmen bestimmen, wie sie diese erreichen will:
f) was getan wird;
g) welche Ressourcen benötigt werden;
h) wer verantwortlich sein wird;
i) wann sie abgeschlossen sein wird; und
j) wie die Ergebnisse ausgewertet werden.
4. Die Unterstützung
4.1 Ressourcen
Das Unternehmen bestimmt und stellt die Ressourcen bereit, die für die Einrichtung, Implementierung, Wartung und kontinuierliche Verbesserung des ISMS erforderlich sind.
4.2 Kompetenz
Das Unternehmen soll:
4.2 (a) die notwendige Kompetenz der Person(en) bestimmen, die unter ihrer Kontrolle Arbeiten ausführen, die ihre Informationssicherheitsleistung beeinflussen;
4.2 (b) sicherstellen, dass diese Personen auf der Grundlage einer angemessenen Ausbildung, Schulung oder Erfahrung kompetent sind;
4.2 (c) falls zutreffend, Maßnahmen zum Erwerb der erforderlichen Kompetenz ergreifen und die Wirksamkeit der ergriffenen Maßnahmen bewerten; und
4.2 (d) geeignete dokumentierte Informationen als Kompetenznachweis aufbewahren.
4.3 Bewusstsein
Personen, die unter der Kontrolle der Organisation arbeiten, müssen sich über folgendes im Klaren sein:
4.3 (a) die Informationssicherheitspolitik;
4.3 (b) ihren Beitrag zur Wirksamkeit des ISMS, einschließlich der Vorteile einer verbesserten Leistung der Informationssicherheit; und
4.3 (c) die Auswirkungen der Nichtübereinstimmung mit den Anforderungen an das Informationssicherheits-Managementsystem.
4.4 Kommunikation
Die Organisation muss den Bedarf an interner und externer Kommunikation bestimmen, die für das Informationssicherheits-Managementsystem relevant ist, einschließlich
4.4 (a) über das, was zu kommunizieren ist;
4.4 (b) wann kommuniziert werden soll;
4.4 (c) mit wem Sie kommunizieren sollen;
4.4 (d) wer kommunizieren soll; und
4.4 (e) die Prozesse, durch die die Kommunikation erfolgen soll.
4.5 Dokumentierte Informationen
4.5.1 Allgemeines
Das ISMS des Unternehmens muss Folgendes umfassen:
4.5.1 (a) dokumentierte Informationen, die von dieser Internationalen Norm gefordert werden; und
4.5.1 (b) dokumentierte Informationen, die von der Organisation als notwendig für die Wirksamkeit des Informationssicherheits-Managementsystems bestimmt wurden.
Bei der Erstellung und Aktualisierung dokumentierter Informationen muss die Organisation sicherstellen, dass diese angemessen sind:
4.5.2 Erstellen und Aktualisieren
4.5.2 (a) Identifizierung und Beschreibung (z.B. Titel, Datum, Autor oder Referenznummer);
4.5.2 b) Format (z. B. Sprache, Softwareversion, Grafik) und Medien (z. B. Papier, elektronisch) und
4.5.2 (c) Überprüfung und Genehmigung der Eignung und Angemessenheit.
4.5.3 Kontrolle der dokumentierten Informationen
Dokumentierte Informationen, die vom Informationssicherheits-Managementsystem und von dieser internationalen Norm verlangt werden, sind zu kontrollieren, um sicherzustellen, dass sie eingehalten werden:
4.5.3 (a) es verfügbar und geeignet ist, wo und wann es benötigt wird; und
4.5.3 (b) sie angemessen geschützt ist (z.B. vor Verlust der Vertraulichkeit, unsachgemäßer Verwendung oder Verlust der Integrität).
Zur Kontrolle der dokumentierten Informationen muss die Organisation, soweit zutreffend, die folgenden Aktivitäten durchführen:
4.5.3 (c) Verteilung, Zugriff, Abruf und Nutzung;
4.5.3 (d) Lagerung und Konservierung, einschließlich der Erhaltung der Lesbarkeit;
4.5.3 (e) Kontrolle von Änderungen (z.B. Versionskontrolle); und
4.5.3 (f) Beibehaltung und Disposition.
Dokumentierte Informationen externen Ursprungs, die von der Organisation als notwendig für die Planung und den Betrieb des Informationssicherheits-Managementsystems bestimmt wurden, sind als angemessen zu identifizieren und zu kontrollieren.
5. Die Bedienung
5.1 Operative Planung und Kontrolle
Die Organisation muss die Prozesse planen, implementieren und kontrollieren, die zur Erfüllung der Anforderungen an die Informationssicherheit und zur Umsetzung der in 3.1 festgelegten Maßnahmen erforderlich sind. Die Organisation soll auch Pläne zur Erreichung der in 3.2 festgelegten Ziele der Informationssicherheit umsetzen.
Die Organisation muss dokumentierte Informationen in dem Maße aufbewahren, wie es notwendig ist, um darauf vertrauen zu können, dass die Prozesse wie geplant durchgeführt wurden.
Die Organisation kontrolliert geplante Änderungen und überprüft die Folgen unbeabsichtigter Änderungen und ergreift gegebenenfalls Maßnahmen zur Milderung nachteiliger Auswirkungen.
Die Organisation muss sicherstellen, dass ausgelagerte Prozesse festgelegt und kontrolliert werden.
5.2 Risikobewertung der Informationssicherheit
Das Unternehme soll Risikobewertungen zur Informationssicherheit in geplanten Zeitabständen oder wenn wesentliche Änderungen vorgeschlagen werden oder auftreten, unter Berücksichtigung der in 3.1.2.a festgelegten Kriterien durchführen.
Das Unternehme muss dokumentierte Informationen über die Ergebnisse der Risikobewertungen zur Informationssicherheit aufbewahren.
5.3 Behandlung von Informationssicherheitsrisiken
Das Unternehmen soll den Plan zur Behandlung von Informationssicherheitsrisiken umsetzen.
Das Unternehme muss dokumentierte Informationen über die Ergebnisse der Behandlung des Informationssicherheitsrisikos aufbewahren.
6. Die Leistungsbewertung
6.1 Überwachung, Messung, Analyse und Auswertung
Das Unternehmen muss die Informationssicherheitsleistung und die Wirksamkeit des ISMS bewerten.
Das Unternehmen bestimmt:
6.1 (a) was überwacht und gemessen werden muss, einschließlich der Prozesse und Kontrollen der Informationssicherheit;
6.1 (b) die Methoden zur Überwachung, Messung, Analyse und Auswertung, soweit anwendbar, um gültige Ergebnisse zu gewährleisten;
6.1 (c) wann die Überwachung und Messung durchgeführt werden soll;
6.1 (d) wer überwachen und messen soll;
6.1 (e) wann die Ergebnisse der Überwachung und Messung analysiert und ausgewertet werden sollen; und
6.1 (f) die diese Ergebnisse analysieren und auswerten sollen.
6.2 Interne Revision
Die Organisation muss in geplanten Abständen interne Audits durchführen, um Informationen darüber zu erhalten, ob das Informationssicherheits-Managementsystem funktioniert:
6.2 (a) entspricht
1) die eigenen Anforderungen der Organisation an ihr ISMS; und
2) die Anforderungen dieser Internationalen Norm;
6.2 (b) wirksam umgesetzt und aufrechterhalten wird.
Das Unternehmen soll:
6.2 (c) ein oder mehrere Auditprogramme zu planen, zu erstellen, umzusetzen und zu pflegen, einschließlich der Häufigkeit, Methoden, Verantwortlichkeiten, Planungsanforderungen und Berichterstattung. Das/die Auditprogramm(e) berücksichtigt/berücksichtigen die Bedeutung der betreffenden Prozesse und die Ergebnisse früherer Audits;
6.2 (d) die Prüfungskriterien und den Umfang für jede Prüfung definieren;
6.2 (e) Auditoren auswählen und Audits durchführen, die die Objektivität und Unparteilichkeit des Auditprozesses gewährleisten;
6.2 (f) sicherstellen, dass die Ergebnisse der Audits an das zuständige Management berichtet werden; und
6.2 (g) dokumentierte Informationen als Beweis für das/die Auditprogramm(e) und die Auditergebnisse aufbewahren.
6.3 Überprüfung der Geschäftsführung
Die oberste Leitung muss das Informationssicherheits-Managementsystem der Organisation in geplanten Intervallen überprüfen, um seine fortwährende Eignung, Angemessenheit und Wirksamkeit sicherzustellen.
Bei der Überprüfung durch die Geschäftsführung ist auch Folgendes zu berücksichtigen:
6.3 (a) den Status von Maßnahmen aus früheren Managementprüfungen;
6.3 (b) Änderungen in externen und internen Fragen, die für das ISMS relevant sind;
6.3 (c) Rückmeldungen über die Leistung der Informationssicherheit, einschließlich Trends in:
1) Nichtkonformitäten und Korrekturmaßnahmen;
2) Überwachungs- und Messergebnisse;
3) Prüfungsergebnisse; und
4) Erfüllung der Ziele der Informationssicherheit;
6.3 (d) Feedback von interessierten Parteien;
6.3 (e) Ergebnisse der Risikobewertung und Status des Risikobehandlungsplans; und
6.3 (f) Möglichkeiten für kontinuierliche Verbesserung.
Die Ergebnisse der Managementprüfung umfassen Entscheidungen in Bezug auf Möglichkeiten zur kontinuierlichen Verbesserung und den Bedarf an Änderungen des Informationssicherheits-Managementsystems. Die Organisation soll dokumentierte Informationen als Nachweis der Ergebnisse von Managementprüfungen aufbewahren.
7. Verbesserung
7.1 Nichtkonformität und Korrekturmaßnahmen
Wenn eine Nichtkonformität auftritt, soll die Organisation
7.1 (a) auf die Nichtkonformität reagieren, und zwar, soweit zutreffend:
1) Maßnahmen zur Kontrolle und Korrektur zu ergreifen; und
2) sich mit den Konsequenzen auseinanderzusetzen;
7.1 (b) die Notwendigkeit von Maßnahmen zur Beseitigung der Ursachen der Nichtkonformität bewerten, damit diese nicht wiederkehrt oder an anderer Stelle auftritt, indem
1) die Überprüfung der Nichtkonformität;
2) Bestimmung der Ursachen der Nichtkonformität; und
3) Feststellung, ob ähnliche Nichtkonformitäten existieren oder möglicherweise auftreten könnten;
7.1 (c) alle erforderlichen Maßnahmen durchführen;
7.1 (d) die Wirksamkeit der ergriffenen Korrekturmaßnahmen zu überprüfen; und
7.1 (e) Änderungen am ISMS vornehmen, falls erforderlich.
Die Korrekturmaßnahmen müssen den Auswirkungen der festgestellten Nichtkonformitäten angemessen sein.
Die Organisation soll dokumentierte Informationen als Beweis dafür aufbewahren:
7.1 (f) die Art der Nichtkonformitäten und alle nachfolgenden Maßnahmen und
7.1 (g) die Ergebnisse jeglicher Korrekturmaßnahmen.
7.2 Kontinuierliche Verbesserung
Die Organisation muss die Eignung, Angemessenheit und Wirksamkeit des Informationssicherheits-Managementsystems kontinuierlich verbessern.
Bitte beachten Sie, dass es sich bei dieser Checklistenvorlage um ein hypothetisches Beispiel handelt, das nur Standardinformationen enthält. Die Vorlage zielt nicht darauf ab, u. a. Arbeitsplatz-, Gesundheits- und Sicherheitsberatung, medizinische Beratung, Diagnose oder Behandlung oder andere geltende Gesetze zu ersetzen. Sie sollten sich professionell beraten lassen, um festzustellen, ob die Verwendung einer solchen Checkliste an Ihrem Arbeitsplatz oder in Ihrem Rechtsgebiet angemessen ist.
