vorgehensweise zur einführung der iso/iec 27001:2013¼hrun… · 20.07.2017 - sven schulte...
TRANSCRIPT
Folie 2
20.07.2017
Vo
rgehen
sweise
zur
Einfü
hru
ng
der ISO
/IEC 2
70
01
:20
13
Agenda
• Prozessüberblick
• Projektplanung / Projekteinführung• Einführungsschulung
• Bestandsaufnahme
• Aktionsplan
• Projektumsetzung• Aufgabenzuordnung
• Dokumentation
• Internes Audit
• Managementbewertung
Folie 3
20.07.2017
Vo
rgehen
sweise
zur
Einfü
hru
ng
der ISO
/IEC 2
70
01
:20
13
Prozessüberblick
Projektstart
Einführungs-schulung
Bestands-aufnahme
Aktionsplan
Aufgaben-zuordnung Dokumentation
Internes Audit
Management-bewertung
Zertifizierungsreife
Projektplanung Projektumsetzung
Folie 4
20.07.2017
Vo
rgehen
sweise
zur
Einfü
hru
ng
der ISO
/IEC 2
70
01
:20
13
Projektplanung / Projekteinführung
Einführungsschulung
• Schulung des Managements
• Schulung der Projektbeteiligten
1
Bestandsaufnahme
• Erfassung Ist-Zustand (ISO27001)
• Erfassung Ist-Zustand (Anhang A)
• Sichtung bestehender dokumentierter Information
2
Aktionsplan
• Erstellung eines Aktionsplans zur Erreichung der Zertifizierungsreife
• Aufwands-abschätzung
3
Folie 5
20.07.2017
Vo
rgehen
sweise
zur
Einfü
hru
ng
der ISO
/IEC 2
70
01
:20
13
Schritt 1: Einführungsschulung • Alle Projektbeteiligten kennen die Grundlagen und den Aufbau der ISO/IEC 27000
Normenreihe.
• Alle Projektbeteiligten haben Verständnis für die inhaltlich geforderten Instrumente und Werkzeuge zum Aufbau eines Informationsmanagementsystems (ISMS).
• Sensibilisierung aller Projektbeteiligten zum Thema Informationssicherheit und dem Nutzen eines ISMS.
Die Schulung findet in der Regel beim Auftraggeber statt sofern keine anderen Vereinbarungen getroffen wurden.
Folie 6
20.07.2017
Vo
rgehen
sweise
zur
Einfü
hru
ng
der ISO
/IEC 2
70
01
:20
13
Schritt 2: Bestandsaufnahme • Ist-Analyse zur strukturierten Aufnahme bestehender Aufbau- und Ablaufstrukturen.
• Erfassung bereits bestehender Werkzeuge, die das ISMS nutzen kann. Das Rad nicht neu erfinden!
• Grundlage für die Erstellung eines Aktionsplans.
Folie 7
20.07.2017
Vo
rgehen
sweise
zur
Einfü
hru
ng
der ISO
/IEC 2
70
01
:20
13
Schritt 3: Aktionsplan • Basierend auf der Bestandsaufnahme wird ein Aktionsplan zur Erreichung der
Zertifizierungsreife erstellt.
• Erste Abschätzung des zeitlichen Aufwands zur Einführung des ISMS.
• Grundlage zur Zuordnung der Verantwortlichkeiten.
Folie 8
20.07.2017
Vo
rgehen
sweise
zur
Einfü
hru
ng
der ISO
/IEC 2
70
01
:20
13
ProjektumsetzungAufgabenzuordnung
• Aufteilung der Umsetzungs-maßnahmen zur Erfüllung der Normanforderung
4
Dokumentation
• Mitwirkung bei der Erarbeitung der Management-dokumentation
5
Internes Audit
• Durchführung eines internen Audits
6
Management-bewertung
• Unterstützung bei der Durchführung Management-bewertung
7
Folie 9
20.07.2017
Vo
rgehen
sweise
zur
Einfü
hru
ng
der ISO
/IEC 2
70
01
:20
13
Schritt 4: Aufgabenzuordnung• Zuordnung der Aufgaben und Verantwortlichkeiten an die Projektbeteiligten.
• Erstellung eines Projektplans zur Einführung des ISMS.
Folie 10
20.07.2017
Vo
rgehen
sweise
zur
Einfü
hru
ng
der ISO
/IEC 2
70
01
:20
13
Schritt 5: Dokumentation• Unterstützung bei der Erarbeitung der Managementdokumentation.
• Unterstützung bei der Implementierung von Richtlinien, Prozessdokumentationen und Verfahrensanweisungen.
• Unterstützung bei der Implementierung geeigneter Werkzeuge zur Erfüllung der Normforderungen.
Folie 11
20.07.2017
Vo
rgehen
sweise
zur
Einfü
hru
ng
der ISO
/IEC 2
70
01
:20
13
Schritt 6: Internes Audit • Durchführung eines internen Audits zum Erfassen von Nichtkonformitäten und
Verbesserungspotentialen.
• Erstellung eines Auditberichtes zur Verbesserung und Anpassung entsprechender Dokumente, Verfahren etc.
• Nachbesprechung der Ergebnisse.
Folie 12
20.07.2017
Vo
rgehen
sweise
zur
Einfü
hru
ng
der ISO
/IEC 2
70
01
:20
13
Schritt 7: Managementbewertung• Unterstützung bei der Aufbereitung von Daten zur Managementbewertung.
• Unterstützung bei der Durchführung und Dokumentation der Managementbewertung.
Das Systemhaus Sauerland unterstützt Sie ebenfalls gerne bei der externen Zertifizierung durch eine Zertifizierungsstelle.