20.07.2017 - Sven Schulte

Vorgehensweise zur Einführung der ISO/IEC 27001:2013

Folie 2

20.07.2017

Vo

rgehen

sweise

zur

Einfü

hru

ng

der ISO

/IEC 2

70

01

:20

13

Agenda

• Prozessüberblick

• Projektplanung / Projekteinführung• Einführungsschulung

• Bestandsaufnahme

• Aktionsplan

• Projektumsetzung• Aufgabenzuordnung

• Dokumentation

• Internes Audit

• Managementbewertung

Folie 3

20.07.2017

Vo

rgehen

sweise

zur

Einfü

hru

ng

der ISO

/IEC 2

70

01

:20

13

Prozessüberblick

Projektstart

Einführungs-schulung

Bestands-aufnahme

Aktionsplan

Aufgaben-zuordnung Dokumentation

Internes Audit

Management-bewertung

Zertifizierungsreife

Projektplanung Projektumsetzung

Folie 4

20.07.2017

Vo

rgehen

sweise

zur

Einfü

hru

ng

der ISO

/IEC 2

70

01

:20

13

Projektplanung / Projekteinführung

Einführungsschulung

• Schulung des Managements

• Schulung der Projektbeteiligten

1

Bestandsaufnahme

• Erfassung Ist-Zustand (ISO27001)

• Erfassung Ist-Zustand (Anhang A)

• Sichtung bestehender dokumentierter Information

2

Aktionsplan

• Erstellung eines Aktionsplans zur Erreichung der Zertifizierungsreife

• Aufwands-abschätzung

3

Folie 5

20.07.2017

Vo

rgehen

sweise

zur

Einfü

hru

ng

der ISO

/IEC 2

70

01

:20

13

Schritt 1: Einführungsschulung • Alle Projektbeteiligten kennen die Grundlagen und den Aufbau der ISO/IEC 27000

Normenreihe.

• Alle Projektbeteiligten haben Verständnis für die inhaltlich geforderten Instrumente und Werkzeuge zum Aufbau eines Informationsmanagementsystems (ISMS).

• Sensibilisierung aller Projektbeteiligten zum Thema Informationssicherheit und dem Nutzen eines ISMS.

Die Schulung findet in der Regel beim Auftraggeber statt sofern keine anderen Vereinbarungen getroffen wurden.

Folie 6

20.07.2017

Vo

rgehen

sweise

zur

Einfü

hru

ng

der ISO

/IEC 2

70

01

:20

13

Schritt 2: Bestandsaufnahme • Ist-Analyse zur strukturierten Aufnahme bestehender Aufbau- und Ablaufstrukturen.

• Erfassung bereits bestehender Werkzeuge, die das ISMS nutzen kann. Das Rad nicht neu erfinden!

• Grundlage für die Erstellung eines Aktionsplans.

Folie 7

20.07.2017

Vo

rgehen

sweise

zur

Einfü

hru

ng

der ISO

/IEC 2

70

01

:20

13

Schritt 3: Aktionsplan • Basierend auf der Bestandsaufnahme wird ein Aktionsplan zur Erreichung der

Zertifizierungsreife erstellt.

• Erste Abschätzung des zeitlichen Aufwands zur Einführung des ISMS.

• Grundlage zur Zuordnung der Verantwortlichkeiten.

Folie 8

20.07.2017

Vo

rgehen

sweise

zur

Einfü

hru

ng

der ISO

/IEC 2

70

01

:20

13

ProjektumsetzungAufgabenzuordnung

• Aufteilung der Umsetzungs-maßnahmen zur Erfüllung der Normanforderung

4

Dokumentation

• Mitwirkung bei der Erarbeitung der Management-dokumentation

5

Internes Audit

• Durchführung eines internen Audits

6

Management-bewertung

• Unterstützung bei der Durchführung Management-bewertung

7

Folie 9

20.07.2017

Vo

rgehen

sweise

zur

Einfü

hru

ng

der ISO

/IEC 2

70

01

:20

13

Schritt 4: Aufgabenzuordnung• Zuordnung der Aufgaben und Verantwortlichkeiten an die Projektbeteiligten.

• Erstellung eines Projektplans zur Einführung des ISMS.

Folie 10

20.07.2017

Vo

rgehen

sweise

zur

Einfü

hru

ng

der ISO

/IEC 2

70

01

:20

13

Schritt 5: Dokumentation• Unterstützung bei der Erarbeitung der Managementdokumentation.

• Unterstützung bei der Implementierung von Richtlinien, Prozessdokumentationen und Verfahrensanweisungen.

• Unterstützung bei der Implementierung geeigneter Werkzeuge zur Erfüllung der Normforderungen.

Folie 11

20.07.2017

Vo

rgehen

sweise

zur

Einfü

hru

ng

der ISO

/IEC 2

70

01

:20

13

Schritt 6: Internes Audit • Durchführung eines internen Audits zum Erfassen von Nichtkonformitäten und

Verbesserungspotentialen.

• Erstellung eines Auditberichtes zur Verbesserung und Anpassung entsprechender Dokumente, Verfahren etc.

• Nachbesprechung der Ergebnisse.

Folie 12

20.07.2017

Vo

rgehen

sweise

zur

Einfü

hru

ng

der ISO

/IEC 2

70

01

:20

13

Schritt 7: Managementbewertung• Unterstützung bei der Aufbereitung von Daten zur Managementbewertung.

• Unterstützung bei der Durchführung und Dokumentation der Managementbewertung.

Das Systemhaus Sauerland unterstützt Sie ebenfalls gerne bei der externen Zertifizierung durch eine Zertifizierungsstelle.

20.07.2017 - Sven Schulte

Vorgehensweise Einführung ISO/IEC 27001:2013

Vielen Dank für die Aufmerksamkeit!