Vorgehensweise zur Einführung der ISO/IEC 27001: Sven Schulte

Transkript

1 - Sven Schulte

2 Agenda Prozessüberblick Projektplanung / Projekteinführung Einführungsschulung Bestandsaufnahme Aktionsplan Projektumsetzung Aufgabenzuordnung Dokumentation Internes Audit Managementbewertung Folie 2

3 Prozessüberblick Projektstart Aktionsplan Dokumentation Internes Audit Einführungsschulung Bestandsaufnahme Aufgabenzuordnung Managementbewertung Zertifizierungsreife Projektplanung Projektumsetzung Folie 3

4 Projektplanung / Projekteinführung Einführungsschulung Schulung des Managements Schulung der Projektbeteiligten 1 Bestandsaufnahme Erfassung Ist- Zustand (ISO27001) Erfassung Ist- Zustand (Anhang A) Sichtung bestehender dokumentierter Information 2 Aktionsplan Erstellung eines Aktionsplans zur Erreichung der Zertifizierungsreife Aufwandsabschätzung 3 Folie 4

5 Schritt 1: Einführungsschulung Alle Projektbeteiligten kennen die Grundlagen und den Aufbau der ISO/IEC Normenreihe. Alle Projektbeteiligten haben Verständnis für die inhaltlich geforderten Instrumente und Werkzeuge zum Aufbau eines Informationsmanagementsystems (ISMS). Sensibilisierung aller Projektbeteiligten zum Thema Informationssicherheit und dem Nutzen eines ISMS. Die Schulung findet in der Regel beim Auftraggeber statt sofern keine anderen Vereinbarungen getroffen wurden. Folie 5

6 Schritt 2: Bestandsaufnahme Ist-Analyse zur strukturierten Aufnahme bestehender Aufbau- und Ablaufstrukturen. Erfassung bereits bestehender Werkzeuge, die das ISMS nutzen kann. Das Rad nicht neu erfinden! Grundlage für die Erstellung eines Aktionsplans. Folie 6

7 Schritt 3: Aktionsplan Basierend auf der Bestandsaufnahme wird ein Aktionsplan zur Erreichung der Zertifizierungsreife erstellt. Erste Abschätzung des zeitlichen Aufwands zur Einführung des ISMS. Grundlage zur Zuordnung der Verantwortlichkeiten. Folie 7

8 Projektumsetzung Aufgabenzuordnung Aufteilung der Umsetzungsmaßnahmen zur Erfüllung der Normanforderung 4 Dokumentation 5 Internes Audit Durchführung eines internen Audits 6 Mitwirkung bei der Erarbeitung der Managementdokumentation Managementbewertung Unterstützung bei der Durchführung Managementbewertung 7 Folie 8

9 Schritt 4: Aufgabenzuordnung Zuordnung der Aufgaben und Verantwortlichkeiten an die Projektbeteiligten. Erstellung eines Projektplans zur Einführung des ISMS. Folie 9

10 Schritt 5: Dokumentation Unterstützung bei der Erarbeitung der Managementdokumentation. Unterstützung bei der Implementierung von Richtlinien, Prozessdokumentationen und Verfahrensanweisungen. Unterstützung bei der Implementierung geeigneter Werkzeuge zur Erfüllung der Normforderungen. Folie 10

11 Schritt 6: Internes Audit Durchführung eines internen Audits zum Erfassen von Nichtkonformitäten und Verbesserungspotentialen. Erstellung eines Auditberichtes zur Verbesserung und Anpassung entsprechender Dokumente, Verfahren etc. Nachbesprechung der Ergebnisse. Folie 11

12 Schritt 7: Managementbewertung Unterstützung bei der Aufbereitung von Daten zur Managementbewertung. Unterstützung bei der Durchführung und Dokumentation der Managementbewertung. Das Systemhaus Sauerland unterstützt Sie ebenfalls gerne bei der externen Zertifizierung durch eine Zertifizierungsstelle. Folie 12

13 Vorgehensweise Einführung ISO/IEC 27001:2013 Vielen Dank für die Aufmerksamkeit! - Sven Schulte