Aufbau dieses Online-Kurses

video

In den vorangegangenen Videos hatten wir uns angeschaut, was ein Managementsystem ist - und natürlich auch, was ein Informationssicherheitsmanagementsystem ist: eine Menge an ineinander greifenden Vorgehensweisen, die Sie in Ihrer Firma etablieren, um das Ziel Informationssicherheit (also Vertraulichkeit, Integrität und Verfügbarkeit von wichtigen Informationen) sicherzustellen.

Die ISO 27001 lässt Ihnen zwar sehr viel Spielraum, was die Ausgestaltung eines eigenen ISMS angeht, aber bestimmte Bausteine erwartet sie eben doch.

Dieser Online-Videokurs ist so aufgebaut, dass er genau den durch die ISO 27001 verpflichtend vorgeschriebenen Bausteinen folgt.

Diese Bausteine - und gleichzeitig unser roter Faden durch diesen Kurs bis hin zur Zertifizierung sind die folgenden:

1

Einleitung und Erläuterung zu diesem Kurs

In diesem Teil befinden Sie sich gerade.

2

Die Informationssicherheitsleitlinie

Das Grundgesetz Ihres ISMS. Hier stehen die "Leitplanken", an denen Sie sich orientieren. Hier befinden sich die Ziele, die Sie sich selbst geben, wer Einfluss darauf nimmt und was Sie daraus machen möchten. Hier geht's zu Teil 2.

3

Risikomanagement

Ist eines der zentralen Themen in einem ISMS. Wir schauen uns gemeinsam an, wie man Risiken für Ihre selbst gegebenen Informationssicherheitsziele findet und wie Sie in der Lage sind, Risiken nach Ihrer Kritikalität zu bewerten und zu entscheiden, welche Gegenmaßnahmen Sie treffen, wenn Sie Risiken erkannt haben. Da dies ein arbeitsintensives Thema ist, adressieren wir es bereits sehr weit zu Anfang dieses Kurses. Hier geht's zu Teil 3.


4

Annex A / Anhang A

Im Anhang A (Annex A) bringt die ISO 27001 bereits ca. 120 verschiedene sehr sinnvolle, operative Maßnahmen mit, die dazu beitragen, Informationssicherheitsrisiken in jeder Organisation zu senken. Dieser Teil schließt sich sehr gut an das Risikomanagement an, denn häufig sind Risikominderungsmaßnahmen zufällig auch Maßnahmen, die in Annex A sowieso gelistet und empfohlen sind. Hier geht's zu Teil 4.


5

Dokumentenlenkung

Alles, was Sie sich im Rahmen unseres des ISO 27001-Projekts erarbeiten, wird irgendwann so viel, dass Sie es aufschreiben müssen. Hier stellen sich gleich eine Menge an Fragen: Wie bearbeiten Sie diese Dokumente? Wann sind Dokumente fertig? Was, wenn Sie ein fertiges Dokument nochmal ändern möchten? Wem müssen Sie Bescheid sagen, wenn Sie ein wichtiges Dokument geändert haben? Sollte das Dokument irgendjemand reviewen vor der Fertigstellung? All diese Dinge müssen gem. ISO 27001 geklärt werden. Hier geht's zu Teil 5. (Bitte beachten Sie auch unseren Hinweis zu den Dokumenten am Ende dieser Seite.)


6

Corrective Action, Preventive Action (CAPA)

In diesem Teil geht es darum, dass wir uns auf eine Vorgehensweise einigen, die wir anwenden, wenn es mal nicht nach Plan läuft. Wenn ein Informationssicherheitsvorfall passiert. Oder wenn wir merken, dass wir irgendetwas geregelt haben, aber es führt nicht zum Erfolg. Die ISO 27001 möchte, dass eine Organisation in solchen Fällen geplant vorgeht - und nicht jeder kopflos das macht, was ihm gerade in den Sinn kommt. Hier geht's zu Teil 6.


7

Internes Audit

Hier geht es darum, dass innerhalb einer Organisation gegenseitige Reviews und Feedbacks der vereinbarten Vorgehensweisen stattfinden - mit dem Ziel herauszufinden, ob man sich verbessern kann oder ob vielleicht an den Anforderungen der ISO 27001 "vorbeigearbeitet wird". Hier geht's zu Teil 7.


8

Leistungsmessung

Hier geht es darum, dass wir KPIs etablieren, an denen wir einfach ablesen können, wie gut es um die Informationssicherheit steht. Auch das ist eine zentrale Anforderung aus der ISO 27001. In diesem Teil zeigen wir, wie man für beliebige Teile des ISMS Messwerte und Kennzahlen ableitet, denen man schnell ansehen kann, wie gut es läuft. Hier geht's zu Teil 8.


9

Managementreview

Im "Managementreview" geht es darum, dass die  richtigen Leute in der Organisation sich die wichtigen Punkte der Arbeit zum Thema Informationssicherheit regelmäßig anschauen: Wie steht es um die Internen Audits? Wie sind unsere KPIs? Was sind denn derzeit die größten Informationssicherheitsrisiken? - und darauf baserend Entscheidungen trifft. Hier geht's zu Teil 9.


10

Kompetenzaufbau

Informationssicherheit ist - wie jedes andere Thema auch - eine Frage der Kompetenz und des Knowhows. Daher verlangt die ISO 27001, dass jede Organisation überlegt, welche Personen welche Kompetenzen benötigen und wie diese aufgebaut werden könnten. Hier geht's zu Teil 10.


Das beste Dokumenten-System

Zu Anfang eines ISO 27001-Projekts stellen sich i.d.R. die folgenden beiden Fragen:

  1. In welchem System halten wir unsere Dokumente? Denn davon haben wir in der Regel ja demnächst eine ganze Menge.
  2. In welchem System halten wir unsere Aufgaben? Sowohl die im ISO 27001 Einführungsprojekt als auch später diejenigen, die im Rahmen der alltäglichen Arbeit mit unserem ISMS entstehen.

Wir bieten Ihnen in diesem Kurs zwei ausgereifte Möglichkeiten zur Wahl:

Microsoft Office

Die Dokumente liegen im Format Microsoft Word und Microsoft Excel vor. Für die aufgabenartigen Dokumente stehen Ihnen Dokumentenvorlagen zur Verfügung, die Sie instanziieren und benutzen können. Für die Risikotabelle stellen wir Ihnen eine Microsoft Excel Vorlage zur Verfügung, die auch bei der Bewertung von Risiken durch Makros unterstützt. Sie finden all diese Dokumente in Ihrem Download-Bereich.

Atlassian Confluence

Sie erhalten alle Dokumente in einer in Atlassian Confluence Cloud importierbaren Zip-Datei. Sie importieren diese und erhalten einen Confluence-Space, der Ihr komplettes ISMS (alle Dateien, alle Vorlagen als Page Templates) enthält. Um eine grafische Darstellung aller ISMS-Prozesse zu erhalten, benötigen Sie das Confluence-Plugin draw.io.

Unsere Empfehlung

Wenn Sie sowohl über eine Microsoft-Office-Infrastruktur verfügen (oder gerne auch Alternativen wie Open Office o.ä.) als auch über ein modernes Wiki-System (wie bspw. Atlassian Confluence) und beide Systeme bei Ihnen im Haus gängig sind und benutzt werden, empfehlen wir Ihnen, Ihr ISMS in einem Wiki umzusetzen. Es ist meist einfacher (und macht auch mehr Spaß).

Nur wenn Sie bisher noch kein Wiki-System etabliert haben und eher dateibasiert arbeiten, würden wir Ihnen zu einem Dokumentenmanagement über die Microsoft-Office-Dokumente raten.


Wir haben durch den Online-Video-Kurs einen einfachen Einstieg in unser ISO 27001 Projekt geschafft. Joachim kann echt gut erklären und macht auch die schwierigen Themen leicht verständlich. Wir haben so relativ schnell sehr viel Wissen aufgebaut. Wir konnten uns so bereits vor dem Erstgespräch mit der Zertifizierungsstelle ein gutes Bild darüber anfertigen, welche Informationen für die Zertifizierung relevant sind.

Wir sind dann auch der Empfehlung aus dem Kurs gefolgt und haben uns gleich als Projektteam zusammengesetzt und die Aufgaben zur Erstellung unseres ISMS gemeinsam bearbeitet oder aufgeteilt.

Super war auch, dass wir die Leute im Unternehmen, die am Zertifizierungsprojekt mitarbeiten sollten, nicht selbst schulen mussten. Wir konnten denen sagen - “blockt euch mal einen Tag, schaut euch diese und diese Videos aus dem Kurs an”. Das hat sehr viel Zeit bei der Projektleitung gespart.

Die Dokumentenvorlagen waren eine gute Grundlage für unser eigenes ISMS. Die Prozesse, die von der Norm gefordert werden, sind darin wunderschön aufbereitet - wir konnten diese teilweise 1:1 für unser ISMS übernehmen. Im Laufe des Projektes ist dann das einfachISO ISMS immer mehr zu unserem ISMS geworden. Der Auditor hat unser ISMS dann auch problemlos zur Zertifizierung empfohlen mit den Worten, dass unser System nicht dem Stand eines neuen ISMS entspricht, sondern eines ISMS das bereits eine Reife von zwei bis drei Jahren erreicht hat.

Wir würden einfachISO in jedem Fall weiterempfehlen. Wir haben damit viel Geld gespart.

Starten Sie heute noch

Ihr ISO 27001 Projekt!

Wir begleiten Sie kostengünstig online, wahlweise mit regelmäßigem persönlichem Live-Coaching.

Ihr Dozent im Online-Seminar

Joachim ist leidenschaftlicher Trainer. Seit seinem 16. Lebensjahr gibt er Seminare für bis zu 70 Teilnehmer. Die schätzen besonders seine lockere und kurzweilige Vermittlung anspruchsvoller Inhalte.

Mit Informationssicherheit und Qualitätsmanagement beschäftigt er sich seit 15 Jahren. Zunächst als Produktmanager und Trainer in der Medizintechnik. Seit 2016 dann als freiberuflicher Trainer und Berater für Unternehmen wie den TÜV SÜD und die AOK.

Joachim Reinke — ISO 27001 Lead Auditor


Schreibe einen Kommentar

Your email address will not be published. Required fields are marked

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
Pen