ISO 27001
Implementieren und pflegen Sie die ISO 27001:2022-Zertifizierung mit CyberOrigen.
Uebersicht
ISO 27001 ist der internationale Standard fuer Informationssicherheits-Managementsysteme (ISMS). Er bietet einen systematischen Ansatz zur Verwaltung sensibler Unternehmensinformationen.
Struktur
ISMS-Anforderungen (Abschnitte 4-10)
| Abschnitt | Titel |
|---|---|
| 4 | Kontext der Organisation |
| 5 | Fuehrung |
| 6 | Planung |
| 7 | Unterstuetzung |
| 8 | Betrieb |
| 9 | Leistungsbewertung |
| 10 | Verbesserung |
Anhang A-Kontrollen
93 Kontrollen in 4 Themenbereichen:
| Thema | Kontrollen |
|---|---|
| Organisatorisch | 37 Kontrollen |
| Personal | 8 Kontrollen |
| Physisch | 14 Kontrollen |
| Technologisch | 34 Kontrollen |
Kontrollkategorien
A.5 - Organisatorische Kontrollen
| Kontrolle | Titel |
|---|---|
| A.5.1 | Richtlinien fuer Informationssicherheit |
| A.5.2 | Informationssicherheitsrollen |
| A.5.3 | Funktionstrennung |
| A.5.7 | Threat Intelligence |
| ... | (37 insgesamt) |
A.6 - Personelle Kontrollen
| Kontrolle | Titel |
|---|---|
| A.6.1 | Ueberpruefung |
| A.6.2 | Beschaeftigungsbedingungen |
| A.6.3 | Sensibilisierung, Schulung, Training |
| ... | (8 insgesamt) |
A.7 - Physische Kontrollen
| Kontrolle | Titel |
|---|---|
| A.7.1 | Physische Sicherheitsbereiche |
| A.7.4 | Physische Sicherheitsueberwachung |
| A.7.9 | Sicherheit von Assets ausserhalb der Raeumlichkeiten |
| ... | (14 insgesamt) |
A.8 - Technologische Kontrollen
| Kontrolle | Titel |
|---|---|
| A.8.1 | Benutzer-Endgeraete |
| A.8.5 | Sichere Authentifizierung |
| A.8.7 | Schutz gegen Malware |
| A.8.9 | Konfigurationsmanagement |
| A.8.12 | Verhinderung von Datenlecks |
| A.8.15 | Protokollierung |
| A.8.16 | Ueberwachungsaktivitaeten |
| A.8.24 | Einsatz von Kryptographie |
| ... | (34 insgesamt) |
Erste Schritte
1. Framework aktivieren
- Gehen Sie zu GRC → Frameworks
- Klicken Sie auf Registrieren bei ISO 27001:2022
- Klicken Sie auf Aktivieren
2. Anwendbarkeitserklarung
Definieren Sie, welche Kontrollen anwendbar sind:
- Gehen Sie zu GRC → Kontrollbibliothek
- Filtern Sie nach ISO 27001
- Markieren Sie Kontrollen als:
- Anwendbar (implementieren)
- Nicht anwendbar (mit Begruendung)
3. Risikobewertung
- Gehen Sie zu GRC → Risikoregister
- Identifizieren Sie Informationssicherheitsrisiken
- Bewerten Sie Wahrscheinlichkeit und Auswirkung
- Definieren Sie Behandlungsplaene
Schluesselkontrollen
Technische Kontrollen
CyberOrigen hilft bei:
| Kontrolle | CyberOrigen-Funktion |
|---|---|
| A.8.7 Malware-Schutz | Quarantaene-Management |
| A.8.8 Schwachstellenmanagement | 11-Phasen-Scanning |
| A.8.9 Konfigurationsmanagement | Konfigurationspruefungen |
| A.8.15 Protokollierung | Audit-Log-Verfolgung |
| A.8.24 Kryptographie | TLS/Verschluesselungs-Scanning |
Organisatorische Kontrollen
Dokumentenmanagement fuer:
| Kontrolle | Nachweistyp |
|---|---|
| A.5.1 Richtlinien | Richtlinienmanagement |
| A.5.2 Rollen | RACI-Matrix |
| A.5.23 Dritte | Lieferantenmanagement |
Zertifizierungsprozess
Stufe-1-Audit
Dokumentationspruefung:
- ISMS-Scope
- Risikobewertungsmethodik
- Anwendbarkeitserklaerung
- Richtlinien und Verfahren
Stufe-2-Audit
Implementierungsverifizierung:
- Kontrolltests
- Nachweisueberpruefung
- Interviews
- Vor-Ort-Besuche
Ueberwachungsaudits
Jaehrliche Audits zur Aufrechterhaltung der Zertifizierung:
- Teilmenge der Kontrollen getestet
- Nachverfolgung von Korrekturmassnahmen
- Ueberpruefung der kontinuierlichen Verbesserung
Nachweissammlung
Automatisierte Nachweise
- Schwachstellen-Scan-Ergebnisse
- Konfigurationsbewertungen
- Zugriffsueberpruefungen
- Log-Exporte
Manuelle Nachweise
- Richtlinien und Verfahren
- Risikobewertungsunterlagen
- Schulungsunterlagen
- Management-Reviews
Kontrollzuordnung
ISO 27001 ordnet sich anderen Frameworks zu:
| ISO 27001 | SOC 2 | PCI-DSS |
|---|---|---|
| A.5.1 | CC1.4 | 12.1 |
| A.8.5 | CC6.1 | 8.1 |
| A.8.8 | CC7.1 | 6.1 |
| A.8.24 | CC6.7 | 3.4 |
Kontinuierliche Compliance
ISMS-Wartung
- Monatlich: Metriken und Vorfaelle pruefen
- Vierteljaehrlich: Interne Audit-Stichprobe
- Jaehrlich: Management-Review, vollstaendiges internes Audit
- 3-jaehrlich: Rezertifizierungsaudit
CyberOrigen-Monitoring
- Echtzeit-Compliance-Score
- Kontrollstatus-Verfolgung
- Nachweis-Aktualitaetsalarme
- Risikoregister-Updates
Haeufige Luecken
| Kontrolle | Problem | Loesung |
|---|---|---|
| A.5.1 | Veraltete Richtlinien | Richtlinienueberpruefungsplan |
| A.6.3 | Keine Sicherheitsschulungen | Schulungsprogramm |
| A.8.8 | Schwachstellen-Rueckstau | Behebungs-SLAs |
| A.8.15 | Unvollstaendige Protokollierung | Log-Aggregation |