Gap Analyse ISO 27001

Auf dem Weg zur erfolgreichen Zertifizierung

Parklücke aus Vogelperspektive

Die international anerkannte Norm ISO 27001 zum Informationssicherheits-Management beschreibt eine Fülle von Maßnahmen, Prozessen und Strukturen zum Aufbau, Betrieb und zur Verbesserung eines Informationssicherheits-Managementsystems (ISMS).

Aufgrund der Internationalität der Norm nach IEC-Standard und der wachsenden Anforderungen gerade hinsichtlich Sicherheit in der Informationstechnologie kann eine Gap Analyse zur Standortbestimmung durchgeführt werden. Die Gap Analyse ist der erste Schritt auf dem Weg zur erfolgreichen Zertifizierung einer Organisation nach ISO 27001.

Alle Vorteile auf einen Blick

  • Erhebung des Status-Quo Ihrer IT-Sicherheit
  • Einschätzung des notwendigen Aufwands
  • Priorisierung der Maßnahmen

Workshops zur Ermittlung des Status-Quo

Im Rahmen eines Workshops mit Interview-Charakter werden die Anforderungen der Norm ISO 20017 besprochen und eine Einschätzung zum Reifegrad abgegeben. Werden Lücken (Gaps) ermittelt, so wird gegebenenfalls der notwendige Aufwand (in Personentagen) abgeschätzt und dokumentiert. Der Aufwand wird dabei unterschieden zwischen Projektaufwand (einmalig) und wiederkehrendem Aufwand (bspw. jährlich). Die identifizierten Aufwände zur Herstellung der Normkonformität werden zudem priorisiert. Neben der Ermittlung eines geeigneten Scopes (Geltungsbereich) werden die Anforderungen der Norm besprochen. Das Ergebnis der Gap Analyse ist ein Maßnahmenplan inklusive Priorisierung und Aufwandsabschätzung.

Inhalte der Norm

Die Fragen der Interviews beziehen sich auf den Hauptteil der Norm (Kapitel 4-10) und somit die Kerninhalte:

  • Kontext der Organisation (z. B. Ermittlung interessierter Parteien)
  • Führung (z. B. Sicherheitspolitik)
  • Planung (z. B. Risikomanagement)
  • Unterstützung (z. B. Kommunikation)
  • Betrieb (z. B. Dokumentation von Änderungen des ISMS)
  • Leistungsauswertung (z. B. Erhebung und Dokumentation von Kennzahlen)
  • Verbesserung (z. B. Dokumentation von Korrekturmaßnahmen)

Des Weiteren wird der Umsetzungsgrad der Anforderungen des Maßnahmenkatalogs der Norm (Anhang A) in den Interviews ermittelt. Er umfasst u. a. die folgenden Themengebiete:

  • Security Policy (z. B. Sichtung bestehender Richtlinien)
  • Organization of Information Security (z. B. interne und externe Aspekte, wie Zuweisung der Verantwortlichkeit etc.)
  • Asset Management (z. B. Klassifizierung von Informationen)
  • Human Resources Security (z. B. Weiterbildung, Awareness-Maßnahmen)
  • Physical and Environmental Security (z. B. Zutrittskontrolle)
  • Communications and Operations Management (z. B. Backup, Netzwerksicherheit)
  • Access Control (z. B. Benutzer und Rollenkonzepte)
  • Information Systems Acquisition, Development and Maintenance (z. B. Sichtung von Dienstleisterverträgen, sofern relevant)
  • Information Security Incident Management (z. B. Berichtswesen, PDCA-Zyklen)
  • Business Continuity Management (z. B. sicherheitsrelevante Aspekte bei Recovery Szenarien)
  • Compliance (z. B. Einhaltung rechtlicher Vorgaben, Trennung von konfliktären Rollen)

Referenzen zum Thema

MBtech Group GmbH & Co. KGaA

Von der Gap-Analyse bis zur ISO 27001 Zertifizierungsreife

Bernd Maier
Sales & Account Manager

Sie streben eine ISO 27001 Zertifizierung an und sind an einer Gap Analyse interessiert? Rufen Sie uns an. Wir beraten Sie gerne persönlich zum Ablauf und Nutzen einer Gap Analyse.

Verwandte Themen

ISO 27001 Stempel

ISO 27001 Umsetzung

Um die Anforderungen der Norm ISO 27001 erfolgreich umzusetzen, unterstützen wir Sie dabei alle notwendigen Maßnahmen, Prozessen und Systeme einzuführen.

Weiterlesen

Pflanze wächst aus Beton

Penetrationstest

Erfolgreiche Angriffe auf Portale, Webshops und andere im Internet exponierte IT-Services beeinflussen die Reputation von Unternehmen und können wirtschaftlichen Schaden verursachen.

Weiterlesen

Im Fokus

Managed SOC Starter

Ihr Einstieg in die Security-Königsklasse. Mit dem Managed SOC Starter-Paket profitieren Sie von Sensorik & Security-Expertise. Optimaler Schutz zum erschwinglichen Preis. Ideal für KMU.

Mehr Informationen zu SOC Starter

5. TO Security Day: Jetzt Plätze sichern

Ein ganzer Tag vollgepackt mit IT-/Cyber-Security-Themen. Dank Kundenberichten aus erster Hand erhalten Teilnehmer wertvolles Wissen für die Praxis. Merken Sie sich diesen Termin gleich vor.

Zum Event

Ausbildung Fachinformatiker

Jetzt noch schnell zum Ausbildungsplatz

Für Kurzentschlossene und Wechselwillige: Bei uns kannst du noch bis Oktober in unser Ausbildungsprogramm einsteigen und voll durchstarten. Das perfekte Umfeld für deine Zukunft.

Über Ausbildung informieren