Hacked
Hacked

Gap Analyse ISO 27001

Als ISO-zertifizierter Betrieb unterstützen wir Sie auf dem Weg zur erfolgreichen Zertifizierung.

Parklücke aus Vogelperspektive

Die international anerkannte Norm ISO 27001 zum Informationssicherheits-Management beschreibt eine Fülle von Maßnahmen, Prozessen und Strukturen zum Aufbau, Betrieb und zur Verbesserung eines Informationssicherheits-Managementsystems (ISMS).

Aufgrund der Internationalität der Norm nach IEC-Standard und der wachsenden Anforderungen gerade hinsichtlich Sicherheit in der Informationstechnologie kann eine Gap Analyse zur Standortbestimmung durchgeführt werden. Die Gap Analyse ist der erste Schritt auf dem Weg zur erfolgreichen Zertifizierung einer Organisation nach ISO 27001.

Alle Vorteile auf einen Blick

  • Erhebung des Status-Quo Ihrer IT-Sicherheit
  • Einschätzung des notwendigen Aufwands
  • Priorisierung der Maßnahmen

Workshops zur Ermittlung des Status-Quo

Im Rahmen eines Workshops mit Interview-Charakter werden die Anforderungen der Norm ISO 20017 besprochen und eine Einschätzung zum Reifegrad abgegeben. Werden Lücken (Gaps) ermittelt, so wird gegebenenfalls der notwendige Aufwand (in Personentagen) abgeschätzt und dokumentiert.

Der Aufwand wird dabei unterschieden zwischen Projektaufwand (einmalig) und wiederkehrendem Aufwand (bspw. jährlich). Die identifizierten Aufwände zur Herstellung der Normkonformität werden zudem priorisiert.

Neben der Ermittlung eines geeigneten Scopes (Geltungsbereich) werden die Anforderungen der Norm besprochen. Das Ergebnis der Gap Analyse ist ein Maßnahmenplan inklusive Priorisierung und Aufwandsabschätzung.

Wir sind zertifiziert nach ISO 27001.

Inhalte der Norm

Die Fragen der Interviews beziehen sich auf den Hauptteil der Norm (Kapitel 4-10) und somit die Kerninhalte:

  • Kontext der Organisation (z. B. Ermittlung interessierter Parteien)
  • Führung (z. B. Sicherheitspolitik)
  • Planung (z. B. Risikomanagement)
  • Unterstützung (z. B. Kommunikation)
  • Betrieb (z. B. Dokumentation von Änderungen des ISMS)
  • Leistungsauswertung (z. B. Erhebung und Dokumentation von Kennzahlen)
  • Verbesserung (z. B. Dokumentation von Korrekturmaßnahmen)

Des Weiteren wird der Umsetzungsgrad der Anforderungen des Maßnahmenkatalogs der Norm (Anhang A) in den Interviews ermittelt. Er umfasst u. a. die folgenden Themengebiete:

  • Security Policy (z. B. Sichtung bestehender Richtlinien)
  • Organization of Information Security (z. B. interne und externe Aspekte, wie Zuweisung der Verantwortlichkeit etc.)
  • Asset Management (z. B. Klassifizierung von Informationen)
  • Human Resources Security (z. B. Weiterbildung, Awareness-Maßnahmen)
  • Physical and Environmental Security (z. B. Zutrittskontrolle)
  • Communications and Operations Management (z. B. Backup, Netzwerksicherheit)
  • Access Control (z. B. Benutzer und Rollenkonzepte)
  • Information Systems Acquisition, Development and Maintenance (z. B. Sichtung von Dienstleisterverträgen, sofern relevant)
  • Information Security Incident Management (z. B. Berichtswesen, PDCA-Zyklen)
  • Business Continuity Management (z. B. sicherheitsrelevante Aspekte bei Recovery Szenarien)
  • Compliance (z. B. Einhaltung rechtlicher Vorgaben, Trennung von konfliktären Rollen)

Referenzen zum Thema

MBtech Group GmbH & Co. KGaA

Von der Gap-Analyse bis zur ISO 27001 Zertifizierungsreife

Verwandte Themen

ISO 27001 Stempel

ISO 27001 Umsetzung

Um die Anforderungen der Norm ISO 27001 erfolgreich umzusetzen, unterstützen wir Sie dabei alle notwendigen Maßnahmen, Prozessen und Systeme einzuführen.

Weiterlesen

Penetrationstest

Erfolgreiche Angriffe auf Portale, Webshops und andere im Internet exponierte IT-Services beeinflussen die Reputation von Unternehmen und können wirtschaftlichen Schaden verursachen.

Weiterlesen

Im Fokus

NIS-2 kommt: Jetzt aktiv werden!

Die Uhr tickt und viele Unternehmen sind betroffen. In Kürze muss die neue EU-Richtlinie zur Erhöhung der Cybersicherheit umgesetzt werden. Das gibt es zu tun.

NIS-2 souverän umsetzen

Managed Detection and Response Service

24/7-Cyberabwehr durch Technik und Experten: Ein MDR-Service kombiniert modernste Erkennungstechnologie mit der Erfahrung eines Teams von Security-Spezialisten.

Mehr über den MDR-Service erfahren

Softwareentwicklern-Gruppe

Deine Karriere, Deine Zukunft

Bereit, die Cyber-Welt zu retten? Ob Ausbildung, Berufseinstieg oder mit Berufserfahrung. Sei Teil unseres Teams und finde bei uns endlich den Job, der zu Dir passt!

Zu unseren Stellenangeboten