Obwohl ISO 27001 auf der Implementierung von Informationssicherheitskontrollen basiert, ist keine von ihnen für die Einhaltung allgemein obligatorisch.
Dies liegt daran, dass der Standard erkennt, dass jede Organisation ihre eigenen Anforderungen bei der Entwicklung eines ISMS hat und dass nicht alle Steuerelemente dies tun angemessen.
Stattdessen müssen Organisationen Aktivitäten ausführen, die ihre Entscheidungen darüber informieren, welche Kontrollen implementiert werden sollen. In diesem Blog erklären wir, was diese Prozesse beinhalten und wie Sie sie abschließen können.
Obligatorische Zertifizierungsanforderungen
Die beiden wichtigsten Aktivitäten bei der Implementierung von ISO 27001 sind:
- Umfang Ihres ISMS (Abschnitt 4.3), in dem Sie definieren, welche Informationen geschützt werden müssen; und
- Durchführen einer Risikobewertung und Definieren einer Risikobehandlungsmethode (Abschnitt 6.12), in der Sie die Bedrohungen für Ihre Informationen identifizieren.
Organisationen müssen diese ebenfalls ausfüllen die folgenden obligatorischen Klauseln:
- Richtlinien und Ziele zur Informationssicherheit (Klauseln 5.2 und 6.2)
- Verfahren zur Behandlung von Informationsrisiken (Klausel 6.1.3)
- Risikobehandlungsplan (Abschnitte 6.1.3 e und 6.2)
- Risikobewertungsbericht (Abschnitt 8.2)
- Aufzeichnungen über Ausbildung, Fähigkeiten, Erfahrungen und Qualifikationen (Abschnitt 7.2)
- Überwachungs- und Messergebnisse (Abschnitt 9.1)
- Internes Auditprogramm (Abschnitt 9.2)
- Ergebnisse der internen Audits (Abschnitt 9.2)
- Ergebnisse des Management Review (Abschnitt 9.3)
- Ergebnisse von Korrekturmaßnahmen (Abschnitt 10.1)
Und die Kontrollen in Anhang A?
Anhang A beschreibt die Kontrollen die mit verschiedenen Risiken verbunden sind. Abhängig von den von Ihrer Organisation ausgewählten Steuerelementen müssen Sie außerdem Folgendes dokumentieren:
Die Erklärung zur Anwendbarkeit
Wir können hier nicht auf die Vor- und Nachteile all dieser Prozesse eingehen ( Weitere Informationen finden Sie auf unserer Website. Es lohnt sich jedoch, die SoA (Statement of Applicability) hervorzuheben, eine wesentliche Dokumentation im Rahmen des Prozesses zur Behandlung von Informationsrisiken.
In der SoA wird beschrieben, welcher Anhang A. Steuerelemente, die Sie ausgewählt oder weggelassen haben, und erklärt, warum Sie diese Auswahl getroffen haben. Es sollte auch zusätzliche Informationen zu jedem Steuerelement und einen Link zu relevanter Dokumentation zu seiner Implementierung enthalten.
Den Dokumentationsprozess angehen
Wenn Sie mit Ihrem Compliance-Projekt beginnen, werden Sie feststellen, dass die Dokumentation Der Prozess ist viel zeitaufwändiger als die Implementierung der Anforderungen selbst.
Jede Klausel enthält ihre eigenen Dokumentationsanforderungen, sodass IT-Manager und Implementierer mit Hunderten von Dokumenten umgehen müssen. Jede Richtlinie und jedes Verfahren muss erforscht, entwickelt, genehmigt und implementiert werden. Dies kann Monate dauern.
Vereinfachung des Dokumentationsprozesses
Organisationen können den Konformitätsprozess mit unserer ISO 27001 ISMS-Dokumentation vereinfachen Toolkit.
Mit diesem Satz anpassbarer Vorlagen, die von ISO 27001-Experten entwickelt wurden, können Sie die Dokumentationsanforderungen des Standards mit möglichst geringem Aufwand erfüllen.
Sie können die Dokumentation direkt in Ihre einbetten Wenn Sie sich nicht sicher sind, was mit dem Dokumentationsprozess nach ISO 27001 zu tun hat, können Sie sich auf kompetente Hilfe verlassen.
Erfahren Sie mehr über das ISO 27001 ISMS Documentation Toolkit > >
Eine Version dieses Blogs wurde ursprünglich am 24. März 2016 veröffentlicht.
Empfohlene Lektüre:
- Wie viele Steuerungen enthält die Norm ISO 27001?