Selbst auf die ISO 27001 Zertifizierung vorbereiten

Wir begleiten Sie bei der Vorbereitung auf die ISO-27001 Zertifizierung.

Keine graue Theorie sondern ganz konkret, praxisbezogen und projektbegleitend.

Vorlagen für alle Dokumente

26 Dokumente und Vorlagen in offenen MS Office-Formaten

Sie starten mit einem vollständigen Dokumentensatz für eine echte Beispielfirma - die "StadtSolutions GmbH",
ein mittelständischer IT- und Software Dienstleister für kommunale Unternehmen.
Die Vorlagen enthalten alle Dokumente, die Sie für eine Zertifizierung nach ISO 27001 benötigen.

Alle Dokumente liegen in deutscher und englischer Sprache vor.

01: ISMS Vorgabedokumente

Ein Managementsystem unterscheidet Vorgabe- und Nachweisdokumente – die Vorgabedokumente finden Sie in diesem Ordner.

Dokument

Beschreibung

Risikomanagement.docx

Der Risikomanagement-Prozess, mit dessen Hilfe Sie Informationssicherheitsrisiken finden, analysieren, bewerten und abstellen.

Kompetenzaufbau.docx

Informationssicherheit lebt von der Kompetenz von Mitarbeitern und Mitarbeiterinnen. Dieser Prozess beschreibt, wie Sie diese Kompetenz planvoll aufbauen.

Management-Review.docx

Die Geschäftsführung schaut sich regelmäßig alle Themen rund um die Informationssicherheit genau an. Damit dabei nichts vergessen wird, beschreiben wir hier, wie das genau geschieht.

Annex A Richtlinie.docx

Der Annex A bildet das operative Rückgrat der ISO 27001. Diese Richtlinie regelt, was eine Organisation tun muss, um ihn einzuhalten.

Dokumentenlenkung.docx

Ein ISMS lebt davon, dass Sie in Ihrer Organisation Vereinbarungen treffen, die verbindlich regeln, wie Sie miteinander sicher arbeiten möchten. Wie Sie diese dann sinnvoll dokumentieren, wird hier beschrieben.

Informationsicherheitsleitlinie.docx

Die Informationssicherheitsleitlinie bildet das zentrale Dokument – sozusagen das Grundgesetz – Ihres ISMS.

Internes Audit.docx

Die ISO 27001 verlangt, dass Sie sich selbst regelmäßig kritisch über die Schulter schauen bzgl. Ihrer Informationssicherheit. Hier beschrieben wir, wie das geht.

Kerngeschäftsprozess Software RAC entwickeln.docx

In der ISO 27001 geht es darum, dass Sie Ihre Kerngeschäftsprozesse sichern. Das geht natürlich nur, wenn diese beschrieben sind. Exemplarisch finden Sie hier einen der beiden Kerngeschäftsprozesse der StadtSolutions – unserer Beispielfirma.

Kerngeschäftsprozess Software RAC hosten und betreiben.docx

Als Anschauungsmaterial ein weiterer Kerngeschäftsprozess der Firma StadtSolutions – damit es Ihnen leicht fällt, Ihre eigenen Prozesse abzuleiten.

Vorfallmanagement.docx

Unverhofft kommt oft: Hier ist beschrieben, wie man auf auftretende Informationssicherheitsereignisse und -vorfälle geplant reagieren kann.

02: ISMS Nachweisdokumente

In diesem Ordner finden Sie exemplarisch einige Nachweisdokumente, die entstehen, wenn Sie Prozesse des vorliegenden ISMS ausführen.

Dokument

Beschreibung

Nachweis zu Annex A Richtlinie Hosting und Betrieb.docx

Hier ist beschrieben, wie die Firma StadtSolutions nachweist, dass sie die Annex A-Richtlinie (s.o.) auch erfüllt.

Risikotabelle.xslx

Risikomanagement muss anschaulich sein: hier sehen Sie, wie die Firma StadtSolutions ganz konkret den Risikomanagement-Prozess ausgeführt hat.

Statement of Applicability.docx

Das Statement of Applicability (SoA) dokumentiert, welche Teile des Annex A der ISO 27001 Sie implementiert haben – und welche nicht. Es ist zwingend in einem Audit vorzulegen. Hier erfahren Sie, wie es aussieht.

03: Vorlagen

Ein ISMS lebt davon, dass Sie nicht alle Dokumente jedes Mal „aufs Neue“ erzeugen müssen. Hier bieten wir Ihnen für alle notwendigen Dokumentenarten Vorlagen.

Dokument

Beschreibung

Vorlage Auditplan und -bericht.docx

Dies ist eine ISO 19011-konforme Vorlage für einen Auditplan und den entsprechenden Auditbericht. Natürlich mit praktischem Beispielinhalt.

Vorlage Auditprogramm.docx

Hier eine ISO 19011-konforme Vorlage für ein Auditprogramm, mit dem Sie entweder das eigene Unternehmen oder aber Lieferanten bzgl. der Informationssicherheit auditieren können. Natürlich mit praktischem Beispielinhalt.

Vorlage Ereignis und Vorfall.docx

Informationssicherheitsereignisse und -vorfälle müssen dokumentiert werden. Dabei sind einige Informationen sehr wichtig. Welche, ist in dieser Vorlage hinterlegt.

Vorlage Leistungsmessungsprotokoll.docx

Die ISO 27001 fordert Sie dazu auf, die Leistung ihrer Informationssicherheit zu messen. In dieser Vorlage können Sie strukturiert Messergebnisse ablegen. Wir haben da natürlich schon ein wenig vorbereitet für Sie.

Vorlage Prozessbeschreibung.docx

Prozesse regeln eindeutig Verantwortlichkeiten und das Ineinandergreifen von Tätigkeiten. Das sollte immer auf dieselbe Art und Weise geschehen. Hier eine Vorlage dazu.

Vorlage Risikotabelle.xlsx

Diese Vorlage ist die Basis eines Risikomanagements in Ihrem ISMS. Verständlich aufbereitet und einfach zu benutzen.

Vorlage Schulungsnachweis.docx

Ein geregelter Kompetenzaufbau muss nachvollziehbar sein. Über unsere Schulungsnachweis-Vorlage.

Vorlage Schulungsplanung.docx

Mit Hilfe dieser Vorlage können Sie im Kompetenzaufbau-Prozess planen, welche Mitarbeiter und Mitarbeiterinnen in welchen Themen Kompetenz aufbauen.

Vorlage unversioniertes Dokument.docx

Es gibt immer mal wichtige Dinge „außer der Reihe“ in Ihrem ISMS zu dokumentieren. Entweder unversioniert (wie hier)…

Vorlage versioniertes Dokument.docx

…oder versioniert (wie hier).

Online Video-Seminar

10
Teile

69 Module

>15h
Videos

Sie erhalten Zugang zu unserem ausgiebigen Online-Video Seminar mit über 15 Stunden Videomaterial.

Es führt Sie Schritt-für-Schritt durch alle notwendigen Vorbereitungen für Ihre ISO 27001 - Zertifizierung. 

Online-Seminar Inhalt

Teil 1: Einführung und Grundlagen der Informationssicherheit

Sie lernen, wie die ISO 27001 aufgebaut ist, und wie Sie ein erfolgreiches Zertifizierungsprojekt aufsetzen.

  • Wie arbeiten Sie am effektivsten mit diesem Videokurs?
  • Welche Ressourcen benötigen Sie und wie gehen Sie ein Projekt zur Zertifizierungsreife an?
  • Was sollten Sie grundlegend über die ISO 27001 wissen, bevor Sie das Projekt starten?

Teil 2: Kerngeschäftsprozesse und Assets

Sie lernen, wie Sie die Leitlinie - das "Grundgesetz" Ihrer Informationssicherheit - definieren:

  • In welchem Umfeld steht Ihre Organisation, was ist ihr wichtig, wie steht sie zu Informationssicherheit und was wirkt von außen auf sie ein?
  • Welche Kerngeschäftsprozesse gibt es in Ihrer Organisation?
  • Welche davon verlangen Informationssicherheit?
  • Welche sog. "Assets" sind notwendig, um die Kerngeschäftsprozesse anbieten zu können?

Teil 3: Risikomanagement

Sie lernen, wie Sie systematisch Risiken für geschützte Informationen identifizieren und sie dann in der von uns bereitgestellten Vorlage strukturiert erfassen und bewerten. 

  • Was kann schief gehen in den Kerngeschäftsprozessen?
  • Welche Informationen wären dadurch gefährdet?
  • Wie schlimm wäre das? Und wie wahrscheinlich ist es?

Teil 4: Annex A - Risikominderungsmaßnahmen

Sie lernen, welche Gegenmaßnahmen Sie ergreifen können, damit Ihre Kerngeschäftsprozesse funktionieren und Informationen so sicher sind, wie sie es sein sollten.

  • Welche Standard-Gegenmaßnahmen gibt es und wie lassen sie sich anwenden?
  • Wie bewertet man die Effektivität von Gegenmaßnahmen und ob sie ausreichend sind?

Teil 5: Dokumentation

Sie lernen, wie Sie Ihre Überlegungen sinnvoll dokumentieren. 

  • Wie stellen Sie sicher, dass Dokumente einfach auffindbar sind und klar ist, was die aktuelle und gültige Version von wichtigen Dokumenten ist?
  • Wie vermeiden Sie effektiv und ohne viel Aufwand "Lose-Blatt-Sammlungen", die kein Auditor gerne sieht?

Teil 6: Informationssicherheitsvorfälle

Sie lernen, wie Sie sich für den Fall der Fälle vorbereiten.

  • Was, wenn Informationen nicht verfügbar sind, obwohl sie es sein sollten?
  • Oder nicht richtig sind, obwohl das wichtig ist?
  • Oder öffentlich werden, obwohl sie geheim sein sollten?
  • Wer ist zuständig und was ist zu tun - und wie können Sie sicherstellen, dass das nicht noch einmal passiert?

Teil 7: Interne Audits

Sie lernen, wie Sie sog. "interne Audits" organisieren und dokumentieren. Denn das fordert die Norm von einem zertifizierten Betrieb.

  • Vertrauen ist gut, aber Kontrolle ist besser: Wie lässt sich herausfinden, ob alles so gelebt wird wie besprochen und vereinbart ist?
  • Wer ist zuständig für interne Audits, wie oft müssen sie durchgeführt werden und wie dokumentiert man sie?

Teil 8: Leistungsmessung

Sie lernen, wie Sie den Stand Ihrer Informationssicherheit einfach, kurz und knackig in wenigen KPIs (Key Performance Indicators, also zentralen Kennzahlen) darstellen können.

  • Was Sie nicht messen können, können Sie nicht managen - wie können Sie jederzeit ein knappes und präzises Lagebild für die Geschäftsführung zur Verfügung stellen? So wie die ISO 27001 es fordert?

Teil 9: Management Review

Sie lernen, wie sie schlank und mit wenig Aufwand die Forderung der ISO 27001 erfüllen können, die Geschäftsführung regelmäßig über den Stand aller Themen rund um die Informationssicherheit informiert zu halten.

  • Wer ist verantwortlich und welche Informationen müssen zur Verfügung gestellt werden?
  • Wie werden diese Informationen zusammengestellt und welche Entscheidungen werden von der Geschäftsführung auf ihrer Basis erwartet?

Teil 10: Kompetenz

Sie lernen, wie Sie herausfinden, welche Kompetenzen für die Informationssicherheit in den einzelnen Bereichen Ihrer Organisation wichtig sind.

  • Welche Mitarbeiter brauchen welche besonderen Fertigkeiten um Informationssicherheit zu garantieren?
  • Wie können Sie sicherstellen, dass diese Mitarbeiter geschult und informiert sind? Und welche Nachweise fordert die ISO 27001 dazu?
  • Wie gehen Sie vor, wenn Mitarbeiter neu eingestellt werden oder neue Aufgaben übernehmen?

Live Coaching

Wir begleiten Sie persönlich auf dem Weg zum Zertifikat.

Mit einem Kick-Off Workshop für Ihr erfolgreiches Projekt-Setup
und regelmäßigen Coaching-Termine.

Kick-Off Workshop

Wir ermitteln mit Ihnen zusammen, wo Sie aktuell auf dem Weg zur Zertifizierungsreife stehen, besprechen den Zeitrahmen Ihres Zertifizierungsprojekts und geben Ihnen die ersten "Hausaufgaben" mit. Wir arbeiten dabei mit Checklisten, die Ihnen helfen, schnell einen Überblick zu bekommen und ins Handeln zu kommen.

Wöchentlicher Coaching-Call

Wir planen einen festen Termin in jeder Woche und besprechen Ihren Projektfortschritt, klären entstandene Fragen und verabreden die nächsten Schritte.

On-Demand Beratung

Bei Bedarf können Sie jederzeit einzelne Beratungstage dazu buchen, wenn Sie mehr Unterstützung im Projekt wollen.

Audit-Ready-Paket auswählen

Basic

Der kostengünstigste Weg zum Zertifikat


199

/Monat

  • vollständiger Dokumentensatz für eine echte Beispielfirma als Grundlage für Ihr ISMS auf Deutsch und Englisch
  • Sofortzugang zu unserem ausgiebigen Online-Video Seminar mit über 15 Stunden Videomaterial
  • Beratertage on demand*
  • Jederzeit Verständnisfragen per Mail oder Chat

Mindestlaufzeit 6 Monate

monatlich kündbar

Intensiv

Exklusive Intensivbetreuung durch unsere Experten


1.457

/Monat

  • monatlicher 2h Deep-Dive mit ausführlichem inhaltlichen Review Ihrer Ergebnisse
  • Probeaudit vor Ihrem Zertifizierungsaudit um Sie optimal vorzubereiten
  • Verfügbarkeit Ihres ISO 27001 Experten für Ihre Fragen zwischendurch**
  • Alle Inhalte des Companion Pakets:
  • Kick-Off Workshop für den optimalen Start in Ihr Zertifizierungsprojekt
  • 1h wöchentlicher Coaching Jour Fixe mit unserem ISO 27001-Experten
  • vollständiger Dokumentensatz für eine echte Beispielfirma als Grundlage für Ihr ISMS
  • Sofortzugang zu unserem ausgiebigen Online-Video Seminar mit über 15 Stunden Videomaterial
  • Beratertage on demand*

monatlich kündbar

Basic

Der kostengünstigste Weg zum Zertifikat


995

/HJ

1 Monat gratis!

  • vollständiger Dokumentensatz für eine echte Beispielfirma als Grundlage für Ihr ISMS
  • Sofortzugang zu unserem ausgiebigen Online-Video Seminar mit über 15 Stunden Videomaterial
  • Beratertage on demand*
  • Verständnisfragen per Mail oder Chat
Intensiv

Exklusive Intensivbetreuung durch unsere Experten


7.990

/HJ

Sie sparen €752!

  • monatlicher 2h Deep-Dive mit ausführlichem Review Ihrer Ergebnisse
  • Probeaudit vor Ihrem Zertifizierungsaudit um Sie optimal vorzubereiten
  • Verfügbarkeit Ihres ISO 27001 Experten für Ihre Fragen zwischendurch**
  • Alle Inhalte des Companion Pakets
  • Kick-Off Workshop für den optimalen Start in Ihr Zertifizierungsprojekt
  • 1h wöchentlicher Coaching Jour Fixe mit unserem ISO 27001-Experten
  • vollständiger Dokumentensatz für eine echte Beispielfirma als Grundlage für Ihr ISMS
  • Sofortzugang zu unserem ausgiebigen Online-Video Seminar mit über 15 Stunden Videomaterial
  • Beratertage on demand*

Unser Angebot richtet sich an Unternehmen und Geschäftsleute. Alle Preise netto zzgl. gesetzlicher Mehrwertsteuer.

Wir haben durch den Online-Video-Kurs einen einfachen Einstieg in unser ISO 27001 Projekt geschafft. Joachim kann echt gut erklären und macht auch die schwierigen Themen leicht verständlich. Wir haben so relativ schnell sehr viel Wissen aufgebaut. Wir konnten uns so bereits vor dem Erstgespräch mit der Zertifizierungsstelle ein gutes Bild darüber anfertigen, welche Informationen für die Zertifizierung relevant sind.

Wir sind dann auch der Empfehlung aus dem Kurs gefolgt und haben uns gleich als Projektteam zusammengesetzt und die Aufgaben zur Erstellung unseres ISMS gemeinsam bearbeitet oder aufgeteilt.

Super war auch, dass wir die Leute im Unternehmen, die am Zertifizierungsprojekt mitarbeiten sollten, nicht selbst schulen mussten. Wir konnten denen sagen - “blockt euch mal einen Tag, schaut euch diese und diese Videos aus dem Kurs an”. Das hat sehr viel Zeit bei der Projektleitung gespart.

Die Dokumentenvorlagen waren eine gute Grundlage für unser eigenes ISMS. Die Prozesse, die von der Norm gefordert werden, sind darin wunderschön aufbereitet - wir konnten diese teilweise 1:1 für unser ISMS übernehmen. Im Laufe des Projektes ist dann das einfachISO ISMS immer mehr zu unserem ISMS geworden. Der Auditor hat unser ISMS dann auch problemlos zur Zertifizierung empfohlen mit den Worten, dass unser System nicht dem Stand eines neuen ISMS entspricht, sondern eines ISMS das bereits eine Reife von zwei bis drei Jahren erreicht hat.

Wir würden einfachISO in jedem Fall weiterempfehlen. Wir haben damit viel Geld gespart.


Matthias Stocker
Software4You Planungssysteme GmbH
ISO 27001 zertifiziert seit 05/ 2021

Faq

Wie lange dauert die Vorbereitung auf die Zertifizierung?

Je nachdem, wie intensiv Sie an der Vorbereitung arbeiten dauert es in der Regel zwischen 6 und 24 Monaten, bis Sie das Zertifizierungsaudit antreten können.

Welche Kosten kommen für die Zertifizierung selbst dazu?

Zertifizierer sind gehalten, nach einer Kostentabelle zu arbeiten. Hier gehen als Faktoren u.a. die Anzahl an Standorten und die Anzahl an Mitarbeitern ein, die im Anwendungsbereich Ihrer Zertifizierung liegen.

Grundsätzlich lässt sich sagen, dass hier Kosten ab etwa 10.000 entstehen werden (für einen Standort und wenige Mitarbeiter) und dann mit der Anzahl an Mitarbeitern und Standorten nach einer Stufenfunktion steigen.

Geht das denn ohne Vollzeitberatung?

Nach unserer Erfahrung geht das sehr gut. Wir begleiten Sie in Ihrem Zertifizierungsprojekt im Companion und Intensiv-Paket persönlich und in unserem Video-Online-Seminar Schritt für Schritt auf dem Weg vom Projektstart bis zum Audit.

Wir finden sogar es geht viel besser: Die Prozesse, die Sie für Ihr Unternehmen definieren, um die ISO 27001 zu erfüllen sollen ja zu Ihnen passen. Das fordert die Norm sogar ausdrücklich. Deswegen ist es aus unserer Sicht ohnehin unerlässlich, dass Sie sich selbst um die Definition kümmern. Sonst haben Sie hinterher ein System, das andere für Sie definiert haben und sich wie übergestülpt anfühlt.

Kann ich Beratungstage dazukaufen? (*)

Sie können jederzeit Beratungstage zu Ihrem Paket dazubuchen. Sprechen Sie uns an, wir erstellen Ihnen dann ein individuelles Angebot. Für einen zusätzlichen Beratertag berechnen wir €1.300.

Wie viele Leute können mitmachen?

Von Ihrer Seite aus ist die Teilnehmerzahl nicht begrenzt! Sie können mit Ihrem ganzen ISO 27001-Projektteam an allen gemeinsamen einfachISO-Terminen teilnehmen. Und natürlich die Zusammensetzung Ihrer Teilnehmer auch ändern, wenn bspw. die Geschäftsführung beim Probeaudit dabei sein möchte.

Was bedeutet Verfügbarkeit im Intensivpaket (**)?

Ihr ISO 27001-Experte steht Ihnen zwischen den regelmäßigen Jour-Fixe-Terminen im Rahmen eines Fair-Use Umfangs für Ihre schriftlichen Fragen zur Verfügung.


Während Ihrer Zertifizierungsaudits ist Ihr einfachISO-Experte außerdem kurzfristig erreichbar, um schnell auf Fragen Ihres Auditors zu reagieren. So können Sie oft einige Fragen oder Anmerkungen vom ersten Audit-Tag bereits am Folgetag klären.

Was passiert im Kick-Off Workshop?

Im Kick-Off Workshop ermitteln wir zusammen mit Ihnen im Rahmen einer Gap-Analyse den Stand Ihrer Zertifizierungsreife. Oft sind Organisationen insgesamt oder in Teilbereichen schon prozess- und risikobasiert aufgestellt, so wie es auch die ISO 27001 fordert. Dadurch können einzelne Arbeitspakete ganz entfallen oder deutlich vereinfacht werden. Dieses Potenzial wollen wir für Ihr Zertifizierungsprojekt heben.


Außerdem helfen wir Ihnen bei der Zusammenstellung Ihres ISO 27001-Projektteams, legen Ansprechpartner und einen Jour-Fixe-Termin für Ihr einfachISO-Coaching fest und definieren die ersten Schritte auf Ihrem Weg zur Zertifizierungsreife.

Was ist der monatliche Deep Dive?

In den wöchentlichen Coaching-Terminen besprechen wir zusammen Ihren Projektfortschritt, klären entstandene Fragen und legen gemeinsam die nächsten Schritte für die kommende Woche fest.


Im monatlichen Deep Dive, der im Intensivpaket enthalten ist, haben wir Zeit, Ihre Arbeitsergebnisse der vergangenen vier Wochen im Detail zu reviewen, Ihre Fragen ausführlich zu besprechen und individuelle Hinweise zur Anpassung der Dokumentenvorlagen für Ihre Organisation zu geben.


Sollten wir die verfügbare Zeit nicht für gemeinsame Meetings aufbrauchen, werden unsere ISO 27001 Experten auch gestaltend aktiv und helfen hands-on bei der Erstellung Ihrer Dokumente.

Was passiert im Probeaudit?

Im Probeaudit (nur im Intensivpaket enthalten) simulieren wir mit Ihnen das Phase 1 Audit. Einer unserer Audit-erfahrenen ISO 27001 Experten stellt gemeine Fragen und prüft Ihre Dokumente.


So decken Sie vor dem echten Audit mit Ihrer Zertifizierungsstelle Schwachstellen auf und bekommen ein Gefühl dafür, wie das Audit abläuft und mit welchen Fragen Sie rechnen müssen.

Was genau zählt als ein Monat im Abo?

Ein Monat dauert immer genau 30 Tage ab dem Moment, indem Sie ein Paket buchen.

Ihre Frage war nicht dabei? Lassen Sie uns sprechen!

Ersten Teil des Online-Seminars kostenlos ansehen!

Erfahren Sie, wie das Onlineserminar aufgebaut ist, worum es in der ISO 27001 geht und wie Sie Ihr Projektteam für ein erfolgreiches Zertifizierungsprojekt zusammenstellen sollten.

Insert Content Template or Symbol