Gap Analyse ISO 27001
Als ISO-zertifizierter Betrieb unterstützen wir Sie auf dem Weg zur erfolgreichen Zertifizierung.
Die international anerkannte Norm ISO 27001 zum Informationssicherheits-Management beschreibt eine Fülle von Maßnahmen, Prozessen und Strukturen zum Aufbau, Betrieb und zur Verbesserung eines Informationssicherheits-Managementsystems (ISMS).
Aufgrund der Internationalität der Norm nach IEC-Standard und der wachsenden Anforderungen gerade hinsichtlich Sicherheit in der Informationstechnologie kann eine Gap Analyse zur Standortbestimmung durchgeführt werden. Die Gap Analyse ist der erste Schritt auf dem Weg zur erfolgreichen Zertifizierung einer Organisation nach ISO 27001.
Alle Vorteile auf einen Blick
- Erhebung des Status-Quo Ihrer IT-Sicherheit
- Einschätzung des notwendigen Aufwands
- Priorisierung der Maßnahmen
Workshops zur Ermittlung des Status-Quo
Im Rahmen eines Workshops mit Interview-Charakter werden die Anforderungen der Norm ISO 20017 besprochen und eine Einschätzung zum Reifegrad abgegeben. Werden Lücken (Gaps) ermittelt, so wird gegebenenfalls der notwendige Aufwand (in Personentagen) abgeschätzt und dokumentiert.
Der Aufwand wird dabei unterschieden zwischen Projektaufwand (einmalig) und wiederkehrendem Aufwand (bspw. jährlich). Die identifizierten Aufwände zur Herstellung der Normkonformität werden zudem priorisiert.
Neben der Ermittlung eines geeigneten Scopes (Geltungsbereich) werden die Anforderungen der Norm besprochen. Das Ergebnis der Gap Analyse ist ein Maßnahmenplan inklusive Priorisierung und Aufwandsabschätzung.
Inhalte der Norm
Die Fragen der Interviews beziehen sich auf den Hauptteil der Norm (Kapitel 4-10) und somit die Kerninhalte:
- Kontext der Organisation (z. B. Ermittlung interessierter Parteien)
- Führung (z. B. Sicherheitspolitik)
- Planung (z. B. Risikomanagement)
- Unterstützung (z. B. Kommunikation)
- Betrieb (z. B. Dokumentation von Änderungen des ISMS)
- Leistungsauswertung (z. B. Erhebung und Dokumentation von Kennzahlen)
- Verbesserung (z. B. Dokumentation von Korrekturmaßnahmen)
Des Weiteren wird der Umsetzungsgrad der Anforderungen des Maßnahmenkatalogs der Norm (Anhang A) in den Interviews ermittelt. Er umfasst u. a. die folgenden Themengebiete:
- Security Policy (z. B. Sichtung bestehender Richtlinien)
- Organization of Information Security (z. B. interne und externe Aspekte, wie Zuweisung der Verantwortlichkeit etc.)
- Asset Management (z. B. Klassifizierung von Informationen)
- Human Resources Security (z. B. Weiterbildung, Awareness-Maßnahmen)
- Physical and Environmental Security (z. B. Zutrittskontrolle)
- Communications and Operations Management (z. B. Backup, Netzwerksicherheit)
- Access Control (z. B. Benutzer und Rollenkonzepte)
- Information Systems Acquisition, Development and Maintenance (z. B. Sichtung von Dienstleisterverträgen, sofern relevant)
- Information Security Incident Management (z. B. Berichtswesen, PDCA-Zyklen)
- Business Continuity Management (z. B. sicherheitsrelevante Aspekte bei Recovery Szenarien)
- Compliance (z. B. Einhaltung rechtlicher Vorgaben, Trennung von konfliktären Rollen)
Referenzen zum Thema
MBtech Group GmbH & Co. KGaA
Von der Gap-Analyse bis zur ISO 27001 Zertifizierungsreife
Verwandte Themen
Im Fokus
NIS-2 kommt: Jetzt aktiv werden!
Die Uhr tickt und viele Unternehmen sind betroffen. Bis Oktober 2024 muss die neue EU-Richtlinie zur Erhöhung der Cybersicherheit umgesetzt werden. Das gibt es zu tun.
Managed SOC Service
Cybergefahren 24/7 frühzeitig erkennen und verhindern: Unser SOC verbindet technische Sensorik mit erfahrenen Security-Experten. Jetzt zum Webinar anmelden.
Deine Karriere, Deine Zukunft
Bereit, die Cyber-Welt zu retten? Ob Ausbildung, Berufseinstieg oder mit Berufserfahrung. Sei Teil unseres Teams und finde bei uns endlich den Job, der zu Dir passt!