Kontakt
Anmeldungen
Alle Termine

mITSM ISO/IEC 27001 Auditierung und GAP-Analyse

- Prüfen Sie die Konformität Ihres Sicherheitsmanagements mit ISO/IEC 27001 -

 

ISO/IEC 27000 ist ein international anerkannter Standard zum Thema Informationssicherheitsmanagement (information security management). Organisationen aller Branchen können ihr Informationssicherheits-Managementsystem (ISMS), also ihre Prozesse und Maßnahmen zur Gewährleistung der Informationssicherheit, nach ISO/IEC 27001 zertifizieren lassen. Es handelt sich um einen Standard, der von der ISO (Internationale Organisation für Standardisierung) und dem IEC (Internationales elektrotechnisches Komitee) entwickelt, herausgegeben und gepflegt wird. Wichtige Zielsetzungen von ISO/IEC 27000 sind die Festlegung einer einheitlichen Terminologie und die Definition einheitlicher (standardisierter) Kriterien, nach denen Organisationen hinsichtlich einer umfassenden und effektiven Verwaltung und Steuerung ihrer Aktivitäten zur Gewährleistung der Informationssicherheit bewertet (auditiert) werden können.

mitsm_iso20k_iso27k_bewertungsskala

Ein ISO/IEC 27000 Zertifikat bescheinigt einer Organisation nicht ein jederzeit maximales Maß an Informationssicherheit, sondern weist nach, dass sie über ein umfassendes und effektives Informations-Sicherheits-Management-System (ISMS) verfügt und in der Lage ist, mit Sicherheitsrisiken umzugehen. Gemäß ISO/IEC 27000 sind die drei wichtigsten Teilaspekte der Informationssicherheit die Informationsverfügbarkeit, Vertraulichkeit und Integrität.

ISO/IEC 27000 besteht nicht aus einem einzigen, sondern aus einer Reihe von Dokumenten. Das zentrale Dokument ist die Norm ISO/IEC 27001. Sie wird auch „Specification“ genannt und definiert auditierbare Mindestanforderungen und Controls.

Da die Norm für verschiedene Bereiche anwendbar ist, gilt es zu klären, welche Mindestanforderungen und Controls aus ISO/IEC 27001 für Sie relevant sind. Diese werden später durch einen externen Auditor z.B. TÜV Süd überprüft. mITSM unterstützt Sie bei Ihrem Zertifizierungsvorhaben, indem betrachtet wird, inwiefern die geforderten Anforderungen bereits erfüllt sind und ob eine Zertifizierung möglich ist.

Das mITSM ISO/IEC 27001 Audit  und GAP-Analyse prüft Ihre derzeitigen Sicherheitsmaßnahmen und stellt diese den Mindestanforderungen des Standards gegenüber. Die dadurch identifizierten Lücken (GAPs) stellen eine Grundlage dafür dar, welche Maßnahmen noch ergriffen werden müssen, um eine erfolgreiche ISMS-Zertifizierung nach ISO/IEC 27001 zu erreichen.

Beratung_ISO27001_GAP_Analyse_Manahmenziele

Beratung_ISO27001_Audit_und_GAP_Analyse_Beispiel

Folgende Ziele werden mit einem mITSM ISO/IEC 27001 Audit und GAP-Analyse erreicht:

  • Schnelle und kostengünstige Identifikation des Erfüllungsgrads (Konformität) Ihres Information Security Management Systems (ISMS) im Vergleich mit ISO/IEC 27001
  • Ableitung von Schwachstellen im Bereich Informationssicherheit innerhalb Ihrer Organisation
  • Transparente Darstellung der Feststellungen und Schlussfolgerungen
  • Aufstellen eines konkreten und pragmatischen Maßnahmenkatalogs hinsichtlich der notwendigen Verbesserungen
  • Priorisierung der Maßnahmen in kurz-, mittel-, und langfristige Verbesserungen
  • Unterstützung des kontinuierlichen Verbesserungsprozesses

Beratung_ISO27001_Audit_und_GAP_Analyse

 

 

 

 

 

 

 

 

 

 

 

 

Vorgehen bei einem mITSM ISO/IEC 27001 Audit und GAP-Analyse:

1. Phase: Planung des Audits

Im ersten Schritt werden im Gespräch mit Ihnen die zu auditierenden Bereiche und Prozesse festgelegt. Dies erfolgt unter Berücksichtigung des Umfangs bzw. Anwendungsbereichs (scope) und der Ziele des Audits. Gegenstand der Vorbesprechung ist zudem eine Abstimmung über die Auditkriterien. Der Auditumfang beschreibt Ausmaß und Grenzen des Audits, wie etwa physische Standorte und Organisationseinheiten, auditierte Tätigkeiten und Prozesse im Rahmen des Informationssicherheitsmanagement und den vom Audit abgedeckten Zeitraum. Die Auditkriterien bilden die Referenz, gegen die die Konformität festgestellt werden soll. Die Vorbesprechung erfolgt bei Ihnen vor Ort und nimmt etwa einen halben Tag in Anspruch. Im Anschluss daran wird eine Liste der für die Dokumentenprüfung erforderlichen Dokumente und Aufzeichnungen erstellt.

2. Phase: Prüfung der Dokumentation

Die zuvor festgelegten Dokumente wie zum Beispiel Sicherheitsleitlinien, Prozessbeschreibungen, Maßnahmenpläne oder Aufzeichnungen über Sicherheitsvorfälle werden ausgiebig gesichtet und analysiert. Bereits an dieser Stelle werden durch mITSM die späteren Interviewpartner identifiziert. Diese Leistung erfolgt "off-site" und nimmt je nach Umfang des Audits typischerweise einen halben bis einen Tag in Anspruch. Die Ergebnisse der Dokumentenprüfung fließen in die nächste Phase ein, da sich hieraus in der Regel Rückschlüsse über eine sinnvolle Schwerpunktsetzung bei den Vor-Ort-Aktivitäten ergeben.

3. Phase: Erstellung des Auditplans

Nach Abschluss der Dokumentenprüfung wird ein strukturierter Auditplan erstellt, der alle relevanten Rahmendaten zum Audit zusammenfasst und eine detaillierte Liste der Auditkriterien und den Zeitplan für die weiteren Schritte enthält. In gemeinsamer Abstimmung mit Ihnen werden die Interviewpartner für die Vor-Ort Auditaktivitäten bestimmt und der Zeitrahmen dafür festgelegt. Das Audit-Team des mITSM wird alle relevanten Arbeitsdokumente (wie Checklisten, Fragelisten) zusammenstellen. Die Erstellung des Auditplans und der Arbeitsdokumente nimmt etwa einen halben Tag in Anspruch und erfolgt "off-site", Absprachen können telefonisch oder per E-Mail erfolgen.

4. Phase: Vor-Ort-Aktivitäten

Die Vor-Ort-Aktivitäten werden von einem erfahrenen, entsprechend ausgebildeten und zertifizierten Lead Auditor koordiniert und durchgeführt. Wesentliches Ziel ist das Erfassen und Verifizieren von Informationen. Hierzu werden Interviews geführt, weitere Dokumente und Aufzeichnungen gesichtet und Beobachtungen getätigt. Dies alles erfolgt stichprobenartig mit dem Ziel, ein umfassendes und der Realität entsprechendes Bild der Situation zu zeichnen. Die Vor-Ort-Aktivitäten können einen oder mehere Tage - in Abhängigkeit vom Umfang des Audits - beanspruchen.

5. Phase: Auswertung der Ergebnisse und Berichterstellung

Nachdem alle ausgewählten Bestandteile des ISMS auditiert und die Gespräche mit den Interviewpartnern durchgeführt wurden, erfolgt die Auswertung der Ergebnisse, indem aus dem Auditfeststellungen Schlussfolgerungen gezogen werden.

6. Phase: Präsentation und Festlegung von Folgemaßnahmen (optional)

Auf Basis des erstellten und Ihnen übergebenen umfangreichen Berichtes werden die wichtigsten Informationen für die Präsentation bei Ihnen vor Ort zusammengefasst. Es werden der Erfüllungsgrad der überprüften Bereiche und Prozesse sowie die von mITSM vorgeschlagenen Verbesserungsmaßnahmen dargestellt und erläutert.

Preis mITSM ISO/IEC 27001 Audit und GAP-Analyse:

Beratung_ISO_27000_AUDIT_und_GAP-Analyse_Preise


Individuelle Pakete sind möglich.

Sprechen Sie uns an.
mITSM Munich Institute for IT Service Management GmbH
Kaiser-Ludwig-Platz5
80336 München
Diese E-Mail-Adresse ist gegen Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. :
Fon: +49 (89) 55 27 55 70
Fax: +49 (89) 55 27 55 71

Aktuelle Termine

ISO 27000 Secure IT Services
27.05.13 Termingarantie
ISO 27000 Governance, Risk and Compliance
03.06.13 Termingarantie
ITIL
Foundation
03.06.13 Termingarantie
COBIT 5 Foundation
06.06.13 auf Warteliste
ISO 20000
Prof. Management and Improvement of ITSM
10.06.13 Termingarantie

Icons_Kontakt

Noch Fragen? Rufen Sie uns an! +49 (89) 55 27 55 70

Icons_Anmeldung

 Wählen Sie im Anmeldeformular Ihre Schulungstermine

Icons_Termine

 Alle Termine auf einen Blick!