ISO 27001 Checkliste (deutsch)

ISO 27001 Checkliste

ISO 27001 Checkliste

Eine ISO 27001 Audit-Checkliste ist ein strukturiertes Werkzeug, das Unternehmen dabei unterstützt, sich gezielt auf ein Audit nach der Norm ISO 27001:2022 vorzubereiten. Diese Norm definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS).

Die Checkliste dient dazu, alle Anforderungen der Norm systematisch zu überprüfen, um sicherzustellen, dass ein Unternehmen:

  • die gesetzlichen, vertraglichen und normativen Anforderungen im Bereich Informationssicherheit erfüllt,

  • Informationssicherheitsrisiken identifiziert, bewertet und angemessen behandelt,

  • die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen schützt,

  • geeignete Maßnahmen zum Schutz vor Cyberangriffen, Datenverlust und anderen sicherheitsrelevanten Vorfällen implementiert hat,

  • optimal auf ein Zertifizierungsaudit oder internes Audit vorbereitet ist.

Hier erfahren Sie, was Ihre Zertifizierung kostet!

Inhalt der ISO 27001 Audit-Checkliste:
Die Checkliste orientiert sich typischerweise an der Struktur der Norm und umfasst Fragen zu folgenden Bereichen:

  • Kontext der Organisation (z. B. interne und externe Themen, interessierte Parteien, Geltungsbereich des ISMS)

  • Führung (z. B. Informationssicherheitspolitik, Rollen und Verantwortlichkeiten)

  • Planung (z. B. Risikomanagement, Maßnahmenziele, Umgang mit Chancen und Risiken)

  • Unterstützung (z. B. Schulungen, Bewusstsein, Kommunikation, dokumentierte Information)

  • Betrieb (z. B. Umsetzung von Sicherheitsmaßnahmen, Steuerung ausgelagerter Prozesse)

  • Bewertung der Leistung (z. B. interne Audits, Managementbewertung, Kennzahlen)

  • Verbesserung (z. B. Behandlung von Sicherheitsvorfällen, kontinuierliche Verbesserung des ISMS)

Für ein individuelles Angebot mit einem speziell für Ihr Unternehmen zugeschnittenem und günstigem Preis kontaktieren Sie bitte EUROCERT EQC.

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung

ISO 27001 Audit-Checkliste (deutsch)

0. Allgemeines

☐ Ist der Anwendungsbereich des Informationssicherheitsmanagementsystems (ISMS) definiert und dokumentiert?
☐ Sind die interessierten Parteien und ihre relevanten Anforderungen identifiziert?
☐ Wurde das ISMS ordnungsgemäß implementiert und wird es aufrechterhalten?

4. Kontext der Organisation

4.1 Verstehen der Organisation und ihres Kontextes

☐ Wurden interne und externe Themen bestimmt, die für das ISMS relevant sind?
☐ Werden diese Themen regelmäßig überwacht und überprüft?

4.2 Verstehen der Erwartungen und Bedürfnisse von interessierten Parteien

☐ Wurden die relevanten interessierten Parteien bestimmt?
☐ Wurden die Bedürfnisse und Erwartungen dieser Parteien bestimmt?
☐ Welche dieser Bedürfnisse und Erwartungen werden zu bindenden Verpflichtungen?

4.3 Festlegung des Anwendungsbereichs des ISMS

☐ Wurde der Anwendungsbereich des ISMS festgelegt?
☐ Ist der Anwendungsbereich dokumentiert?
☐ Berücksichtigt der Anwendungsbereich die internen und externen Themen, die Anforderungen der interessierten Parteien und die geplanten Tätigkeiten?

4.4 Informationssicherheitsmanagementsystem (ISMS)

☐ Wurde das ISMS eingerichtet, implementiert und wird es aufrechterhalten?
☐ Werden die Prozesse des ISMS und deren Wechselwirkungen bestimmt?

5. Führung

5.1 Führung und Verpflichtung

☐ Zeigt die oberste Leitung Führungsstärke und Engagement für das ISMS?
☐ Wird die Informationssicherheitspolitik festgelegt und kommuniziert?
☐ Stellt die oberste Leitung die notwendigen Ressourcen bereit?
☐ Fördert die oberste Leitung die Beteiligung der Mitarbeiter?
☐ Wird die Bedeutung eines wirksamen ISMS und der Konformität mit den ISMS-Anforderungen kommuniziert?
☐ Stellt die oberste Leitung sicher, dass das ISMS seine beabsichtigten Ergebnisse erreicht?
☐ Leitet die oberste Leitung die Personen an, zur Wirksamkeit des ISMS beizutragen?
☐ Fördert die oberste Leitung die kontinuierliche Verbesserung?
☐ Unterstützt die oberste Leitung andere relevante Führungskräfte, ihre Führungsrolle in ihrem Verantwortungsbereich zu demonstrieren?

5.2 Informationssicherheitspolitik

☐ Wurde eine Informationssicherheitspolitik festgelegt?
☐ Ist die Politik dokumentiert, kommuniziert und verfügbar?
☐ Ist die Politik angemessen für den Zweck und Kontext der Organisation?
☐ Enthält die Politik einen Rahmen für die Festlegung von Informationssicherheitszielen?
☐ Enthält die Politik eine Verpflichtung zur Erfüllung der bindenden Verpflichtungen?
☐ Enthält die Politik eine Verpflichtung zur kontinuierlichen Verbesserung des ISMS?

5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

☐ Sind die relevanten Rollen innerhalb des ISMS festgelegt, dokumentiert und kommuniziert?
☐ Werden die Verantwortlichkeiten und Befugnisse den jeweiligen Rollen zugewiesen und kommuniziert?
☐ Stellt die oberste Leitung sicher, dass die Personen für das ISMS verantwortlich und befugt sind?

6. Planung

6.1 Maßnahmen zum Umgang mit Risiken und Chancen

6.1.1 Allgemeines

☐ Werden Risiken und Chancen im Zusammenhang mit dem ISMS geplant?
☐ Werden Prozesse geplant, um diese Risiken und Chancen anzugehen?
☐ Werden die Prozesse implementiert und auf ihre Wirksamkeit bewertet?

6.1.2 Informationssicherheitsrisikobeurteilung

☐ Werden Informationssicherheitsrisiken identifiziert und bewertet?
☐ Werden verschiedene Arten von Risiken berücksichtigt (z.B. technische, organisatorische)?
☐ Werden Risiken im Zusammenhang mit Veränderungen berücksichtigt?
☐ Werden Risiken und Chancen dokumentiert?

6.1.3 Informationssicherheitsrisikobehandlung

☐ Werden Maßnahmen zur Risikobehandlung geplant?
☐ Werden die Maßnahmen in das ISMS integriert?
☐ Werden die Maßnahmen auf ihre Wirksamkeit bewertet?

6.2 Informationssicherheitsziele und Planung zu deren Erreichung

☐ Werden Informationssicherheitsziele für relevante Funktionen und Ebenen festgelegt?
☐ Sind die Ziele mit der Informationssicherheitspolitik konsistent?
☐ Sind die Ziele messbar (wenn durchführbar)?
☐ Werden die Ziele überwacht?
☐ Werden die Ziele kommuniziert?
☐ Werden die Ziele bei Bedarf aktualisiert?
☐ Werden bei der Planung zur Erreichung der Ziele Maßnahmen, Verantwortlichkeiten, Ressourcen, Zeitrahmen und Bewertungsmethoden bestimmt?

6.3 Planung von Änderungen

☐ Werden Änderungen am ISMS geplant und gesteuert?
☐ Werden potenzielle Folgen von Änderungen berücksichtigt?
☐ Werden die Integrität des ISMS, die Verfügbarkeit von Ressourcen und die Zuweisung von Verantwortlichkeiten bei Änderungen berücksichtigt?

7. Unterstützung

7.1 Ressourcen

☐ Werden die notwendigen Ressourcen für die Einrichtung, Implementierung, Aufrechterhaltung und fortlaufende Verbesserung des ISMS bestimmt und bereitgestellt?

7.2 Kompetenz

☐ Wird die erforderliche Kompetenz der Personen bestimmt, die Tätigkeiten im Rahmen des ISMS ausführen?
☐ Wird sichergestellt, dass diese Personen kompetent sind (z.B. durch Schulung, Ausbildung oder Erfahrung)?
☐ Werden Maßnahmen ergriffen, um die erforderliche Kompetenz zu erlangen?
☐ Wird die Wirksamkeit der ergriffenen Maßnahmen bewertet?
☐ Werden die entsprechenden dokumentierten Informationen aufbewahrt?

7.3 Bewusstsein

☐ Sind sich die Mitarbeiter der Informationssicherheitspolitik bewusst?
☐ Sind sich die Mitarbeiter der Informationssicherheitsziele bewusst?
☐ Sind sich die Mitarbeiter ihrer Beiträge zur Wirksamkeit des ISMS bewusst?
☐ Sind sich die Mitarbeiter der Folgen der Nichteinhaltung der ISMS-Anforderungen bewusst?

7.4 Kommunikation

☐ Werden die internen und externen Kommunikationsprozesse bestimmt?
☐ Wird festgelegt, was, wann und mit wem kommuniziert wird?
☐ Wird festgelegt, wie kommuniziert wird?
☐ Werden die Kommunikationsprozesse implementiert und aufrechterhalten?

7.5 Dokumentierte Information

7.5.1 Allgemeines

☐ Wird das ISMS dokumentiert?
☐ Entspricht die Dokumentation den Anforderungen der Norm?

7.5.2 Erstellen und Aktualisieren dokumentierter Informationen

☐ Werden dokumentierte Informationen angemessen gekennzeichnet?
☐ Werden dokumentierte Informationen in einem geeigneten Format erstellt?
☐ Werden dokumentierte Informationen auf ihre Angemessenheit überprüft und genehmigt?

7.5.3 Lenkung dokumentierter Informationen

☐ Sind dokumentierte Informationen bei Bedarf verfügbar und geeignet?
☐ Werden dokumentierte Informationen vor unbefugten Änderungen geschützt?
☐ Werden Aufbewahrungsfristen für dokumentierte Informationen festgelegt?
☐ Werden dokumentierte Informationen angemessen verteilt, archiviert und entsorgt?

8. Betrieb

8.1 Betriebliche Planung und Steuerung

☐ Werden die Prozesse zur Verwirklichung der ISMS-Anforderungen geplant, implementiert und gesteuert?
☐ Werden die Prozesse in die Geschäftsprozesse der Organisation integriert?
☐ Werden betriebliche Änderungen geplant und gesteuert?

8.2 Informationssicherheitsrisikobeurteilung

☐ Werden regelmäßige Risikobeurteilungen durchgeführt und dokumentiert?

8.3 Informationssicherheitsrisikobehandlung

☐ Werden die geplanten Risikobehandlungsmaßnahmen umgesetzt und überwacht?

9. Leistungsbewertung

9.1 Überwachung, Messung, Analyse und Bewertung

☐ Werden die Methoden für Überwachung, Messung, Analyse und Bewertung bestimmt?
☐ Werden die Kriterien für die Bewertung der Leistung des ISMS festgelegt?
☐ Werden die Überwachungs- und Messprozesse durchgeführt?
☐ Werden die Ergebnisse der Überwachung und Messung analysiert und bewertet?
☐ Wird die Leistung des ISMS bewertet?
☐ Werden die Ergebnisse der Leistungsbewertung dokumentiert und kommuniziert?

9.2 Internes Audit

☐ Werden interne Audits in geplanten Abständen durchgeführt?
☐ Wird ein Auditprogramm geplant, implementiert und aufrechterhalten?
☐ Werden Audits objektiv und unparteiisch durchgeführt?
☐ Werden die Auditergebnisse der relevanten Leitungsebene berichtet?
☐ Werden Korrekturmaßnahmen ergriffen, um Nichtkonformitäten zu beheben?
☐ Werden die Ergebnisse der Audits dokumentiert?

9.3 Managementbewertung

☐ Wird das ISMS in geplanten Abständen bewertet?
☐ Werden die Eignung, Angemessenheit und Wirksamkeit des ISMS bewertet?
☐ Werden die Ergebnisse der Managementbewertung dokumentiert?
☐ Werden die Ergebnisse der Managementbewertung für die Planung von Verbesserungen genutzt?

10. Verbesserung

10.1 Nichtkonformität und Korrekturmaßnahmen

☐ Werden Nichtkonformitäten untersucht?
☐ Werden Korrekturmaßnahmen ergriffen, um Nichtkonformitäten zu beheben?
☐ Werden Korrekturmaßnahmen auf ihre Wirksamkeit bewertet?
☐ Werden die Ergebnisse der Untersuchungen und Korrekturmaßnahmen dokumentiert?

10.2 Fortlaufende Verbesserung

☐ Wird das ISMS fortlaufend verbessert, um seine Eignung, Angemessenheit und Wirksamkeit zu erhöhen?
☐ Werden die Ergebnisse der Analyse und Bewertung der Leistung des ISMS berücksichtigt?

Wenn Sie auf das Menü ISO-Zertifizierung klicken, gelangen Sie zur Liste unserer Dienstleistungen. Auch interessant, der nächste Artikel: ISO 50001 Energiemanagement

Annex A der ISO 27001:2022 – 4 Themengruppen, 93 Kontrollen

Ein zentrales Element ist Anhang A (Annex A). Hier sind 93 Sicherheitsmaßnahmen in 4 Themenbereiche gegliedert:

  1. Organisatorische Maßnahmen (37 Kontrollen)

  2. Personenbezogene Maßnahmen (8 Kontrollen)

  3. Physische Maßnahmen (14 Kontrollen)

  4. Technologische Maßnahmen (34 Kontrollen)

Beispiele:

  • Zugriffskontrolle

  • Verschlüsselung

  • Netzwerksicherheit

  • Notfallvorsorge

  • Lieferantenmanagement

Zusätzliche Hinweise zur Verwendung dieser Checkliste:

  • Anpassung: Diese Checkliste ist ein allgemeines Werkzeug. Passe sie an die spezifischen Bedürfnisse und den Kontext deines Unternehmens an.
  • Dokumentation: Stelle sicher, dass du für jeden Punkt in der Checkliste Nachweise in Form von Dokumenten, Aufzeichnungen, Interviews usw. hast.
  • Interviews: Sei bereit, dass der Auditor Interviews mit Mitarbeitern auf verschiedenen Ebenen führen wird.
  • Beobachtungen: Der Auditor wird auch Begehungen durchführen, um die tatsächliche Umsetzung der Prozesse zu beobachten.
  • Regelmäßige Überprüfung: Verwende diese Checkliste nicht nur vor dem Audit, sondern auch regelmäßig intern, um die Konformität des ISMS sicherzustellen.

Dürfen wir Ihnen ein kostenloses und individuelles Angebot erstellen?

Hier geht’s zum Angebot!

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung

Diese Checkliste kann als Grundlage für interne Audits und Vorbereitung auf externe Zertifizierungen genutzt werden. Sie sollte an den spezifischen Kontext der Organisation angepasst werden.

Für weitere Fragen und Antworten einfach auf die folgenden Links klicken:

Was ist eine ISO 27001 Zertifizierung?

Was kostet eine ISO 27001 Zertifizierung?

Ist ISO 27001 Pflicht?

ISO 27001 Anforderungen

Das ISO 27001 Audit

ISO 27001 Zertifizierungsstellen

ISO 27001 Zusammenfassung

ISO 27001 PDF deutsch – Übersicht der ISO 27001:2022

ISO 27001 Checkliste deutsch

ISO 27001 Anwendbarkeitserklärung Statement of Applicability SoA

Sollten Sie Interesse an einer Zertifizierung haben, können wir Ihnen gerne ein unverbindliches Angebot unterbreiten. Am Besten heute noch…

„Ein sicheres Unternehmen ist besser gegen Angriffe geschützt. Wir unterstützen Sie bei der Bewältigung von Herausforderungen rund um das Thema Informationssicherheit.“

ISO 14001 Zertifizierung
ISO Zertifizierung

„Ein sicheres Unternehmen ist besser gegen Angriffe geschützt. Wir unterstützen Sie bei der Bewältigung von Herausforderungen rund um das Thema Informationssicherheit.“

ISO 27001 Checkliste (deutsch)

ISO 27001 Checkliste

ISO 27001 Checkliste

Eine ISO 27001 Audit-Checkliste ist ein strukturiertes Werkzeug, das Unternehmen dabei unterstützt, sich gezielt auf ein Audit nach der Norm ISO 27001:2022 vorzubereiten. Diese Norm definiert die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS).

Die Checkliste dient dazu, alle Anforderungen der Norm systematisch zu überprüfen, um sicherzustellen, dass ein Unternehmen:

  • die gesetzlichen, vertraglichen und normativen Anforderungen im Bereich Informationssicherheit erfüllt,

  • Informationssicherheitsrisiken identifiziert, bewertet und angemessen behandelt,

  • die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen schützt,

  • geeignete Maßnahmen zum Schutz vor Cyberangriffen, Datenverlust und anderen sicherheitsrelevanten Vorfällen implementiert hat,

  • optimal auf ein Zertifizierungsaudit oder internes Audit vorbereitet ist.

Hier erfahren Sie, was Ihre Zertifizierung kostet!

Inhalt der ISO 27001 Audit-Checkliste:
Die Checkliste orientiert sich typischerweise an der Struktur der Norm und umfasst Fragen zu folgenden Bereichen:

  • Kontext der Organisation (z. B. interne und externe Themen, interessierte Parteien, Geltungsbereich des ISMS)

  • Führung (z. B. Informationssicherheitspolitik, Rollen und Verantwortlichkeiten)

  • Planung (z. B. Risikomanagement, Maßnahmenziele, Umgang mit Chancen und Risiken)

  • Unterstützung (z. B. Schulungen, Bewusstsein, Kommunikation, dokumentierte Information)

  • Betrieb (z. B. Umsetzung von Sicherheitsmaßnahmen, Steuerung ausgelagerter Prozesse)

  • Bewertung der Leistung (z. B. interne Audits, Managementbewertung, Kennzahlen)

  • Verbesserung (z. B. Behandlung von Sicherheitsvorfällen, kontinuierliche Verbesserung des ISMS)

Für ein individuelles Angebot mit einem speziell für Ihr Unternehmen zugeschnittenem und günstigem Preis kontaktieren Sie bitte EUROCERT EQC.

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung

ISO 27001 Audit-Checkliste (deutsch)

0. Allgemeines

☐ Ist der Anwendungsbereich des Informationssicherheitsmanagementsystems (ISMS) definiert und dokumentiert?
☐ Sind die interessierten Parteien und ihre relevanten Anforderungen identifiziert?
☐ Wurde das ISMS ordnungsgemäß implementiert und wird es aufrechterhalten?

4. Kontext der Organisation

4.1 Verstehen der Organisation und ihres Kontextes

☐ Wurden interne und externe Themen bestimmt, die für das ISMS relevant sind?
☐ Werden diese Themen regelmäßig überwacht und überprüft?

4.2 Verstehen der Erwartungen und Bedürfnisse von interessierten Parteien

☐ Wurden die relevanten interessierten Parteien bestimmt?
☐ Wurden die Bedürfnisse und Erwartungen dieser Parteien bestimmt?
☐ Welche dieser Bedürfnisse und Erwartungen werden zu bindenden Verpflichtungen?

4.3 Festlegung des Anwendungsbereichs des ISMS

☐ Wurde der Anwendungsbereich des ISMS festgelegt?
☐ Ist der Anwendungsbereich dokumentiert?
☐ Berücksichtigt der Anwendungsbereich die internen und externen Themen, die Anforderungen der interessierten Parteien und die geplanten Tätigkeiten?

4.4 Informationssicherheitsmanagementsystem (ISMS)

☐ Wurde das ISMS eingerichtet, implementiert und wird es aufrechterhalten?
☐ Werden die Prozesse des ISMS und deren Wechselwirkungen bestimmt?

5. Führung

5.1 Führung und Verpflichtung

☐ Zeigt die oberste Leitung Führungsstärke und Engagement für das ISMS?
☐ Wird die Informationssicherheitspolitik festgelegt und kommuniziert?
☐ Stellt die oberste Leitung die notwendigen Ressourcen bereit?
☐ Fördert die oberste Leitung die Beteiligung der Mitarbeiter?
☐ Wird die Bedeutung eines wirksamen ISMS und der Konformität mit den ISMS-Anforderungen kommuniziert?
☐ Stellt die oberste Leitung sicher, dass das ISMS seine beabsichtigten Ergebnisse erreicht?
☐ Leitet die oberste Leitung die Personen an, zur Wirksamkeit des ISMS beizutragen?
☐ Fördert die oberste Leitung die kontinuierliche Verbesserung?
☐ Unterstützt die oberste Leitung andere relevante Führungskräfte, ihre Führungsrolle in ihrem Verantwortungsbereich zu demonstrieren?

5.2 Informationssicherheitspolitik

☐ Wurde eine Informationssicherheitspolitik festgelegt?
☐ Ist die Politik dokumentiert, kommuniziert und verfügbar?
☐ Ist die Politik angemessen für den Zweck und Kontext der Organisation?
☐ Enthält die Politik einen Rahmen für die Festlegung von Informationssicherheitszielen?
☐ Enthält die Politik eine Verpflichtung zur Erfüllung der bindenden Verpflichtungen?
☐ Enthält die Politik eine Verpflichtung zur kontinuierlichen Verbesserung des ISMS?

5.3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

☐ Sind die relevanten Rollen innerhalb des ISMS festgelegt, dokumentiert und kommuniziert?
☐ Werden die Verantwortlichkeiten und Befugnisse den jeweiligen Rollen zugewiesen und kommuniziert?
☐ Stellt die oberste Leitung sicher, dass die Personen für das ISMS verantwortlich und befugt sind?

6. Planung

6.1 Maßnahmen zum Umgang mit Risiken und Chancen

6.1.1 Allgemeines

☐ Werden Risiken und Chancen im Zusammenhang mit dem ISMS geplant?
☐ Werden Prozesse geplant, um diese Risiken und Chancen anzugehen?
☐ Werden die Prozesse implementiert und auf ihre Wirksamkeit bewertet?

6.1.2 Informationssicherheitsrisikobeurteilung

☐ Werden Informationssicherheitsrisiken identifiziert und bewertet?
☐ Werden verschiedene Arten von Risiken berücksichtigt (z.B. technische, organisatorische)?
☐ Werden Risiken im Zusammenhang mit Veränderungen berücksichtigt?
☐ Werden Risiken und Chancen dokumentiert?

6.1.3 Informationssicherheitsrisikobehandlung

☐ Werden Maßnahmen zur Risikobehandlung geplant?
☐ Werden die Maßnahmen in das ISMS integriert?
☐ Werden die Maßnahmen auf ihre Wirksamkeit bewertet?

6.2 Informationssicherheitsziele und Planung zu deren Erreichung

☐ Werden Informationssicherheitsziele für relevante Funktionen und Ebenen festgelegt?
☐ Sind die Ziele mit der Informationssicherheitspolitik konsistent?
☐ Sind die Ziele messbar (wenn durchführbar)?
☐ Werden die Ziele überwacht?
☐ Werden die Ziele kommuniziert?
☐ Werden die Ziele bei Bedarf aktualisiert?
☐ Werden bei der Planung zur Erreichung der Ziele Maßnahmen, Verantwortlichkeiten, Ressourcen, Zeitrahmen und Bewertungsmethoden bestimmt?

6.3 Planung von Änderungen

☐ Werden Änderungen am ISMS geplant und gesteuert?
☐ Werden potenzielle Folgen von Änderungen berücksichtigt?
☐ Werden die Integrität des ISMS, die Verfügbarkeit von Ressourcen und die Zuweisung von Verantwortlichkeiten bei Änderungen berücksichtigt?

7. Unterstützung

7.1 Ressourcen

☐ Werden die notwendigen Ressourcen für die Einrichtung, Implementierung, Aufrechterhaltung und fortlaufende Verbesserung des ISMS bestimmt und bereitgestellt?

7.2 Kompetenz

☐ Wird die erforderliche Kompetenz der Personen bestimmt, die Tätigkeiten im Rahmen des ISMS ausführen?
☐ Wird sichergestellt, dass diese Personen kompetent sind (z.B. durch Schulung, Ausbildung oder Erfahrung)?
☐ Werden Maßnahmen ergriffen, um die erforderliche Kompetenz zu erlangen?
☐ Wird die Wirksamkeit der ergriffenen Maßnahmen bewertet?
☐ Werden die entsprechenden dokumentierten Informationen aufbewahrt?

7.3 Bewusstsein

☐ Sind sich die Mitarbeiter der Informationssicherheitspolitik bewusst?
☐ Sind sich die Mitarbeiter der Informationssicherheitsziele bewusst?
☐ Sind sich die Mitarbeiter ihrer Beiträge zur Wirksamkeit des ISMS bewusst?
☐ Sind sich die Mitarbeiter der Folgen der Nichteinhaltung der ISMS-Anforderungen bewusst?

7.4 Kommunikation

☐ Werden die internen und externen Kommunikationsprozesse bestimmt?
☐ Wird festgelegt, was, wann und mit wem kommuniziert wird?
☐ Wird festgelegt, wie kommuniziert wird?
☐ Werden die Kommunikationsprozesse implementiert und aufrechterhalten?

7.5 Dokumentierte Information

7.5.1 Allgemeines

☐ Wird das ISMS dokumentiert?
☐ Entspricht die Dokumentation den Anforderungen der Norm?

7.5.2 Erstellen und Aktualisieren dokumentierter Informationen

☐ Werden dokumentierte Informationen angemessen gekennzeichnet?
☐ Werden dokumentierte Informationen in einem geeigneten Format erstellt?
☐ Werden dokumentierte Informationen auf ihre Angemessenheit überprüft und genehmigt?

7.5.3 Lenkung dokumentierter Informationen

☐ Sind dokumentierte Informationen bei Bedarf verfügbar und geeignet?
☐ Werden dokumentierte Informationen vor unbefugten Änderungen geschützt?
☐ Werden Aufbewahrungsfristen für dokumentierte Informationen festgelegt?
☐ Werden dokumentierte Informationen angemessen verteilt, archiviert und entsorgt?

8. Betrieb

8.1 Betriebliche Planung und Steuerung

☐ Werden die Prozesse zur Verwirklichung der ISMS-Anforderungen geplant, implementiert und gesteuert?
☐ Werden die Prozesse in die Geschäftsprozesse der Organisation integriert?
☐ Werden betriebliche Änderungen geplant und gesteuert?

8.2 Informationssicherheitsrisikobeurteilung

☐ Werden regelmäßige Risikobeurteilungen durchgeführt und dokumentiert?

8.3 Informationssicherheitsrisikobehandlung

☐ Werden die geplanten Risikobehandlungsmaßnahmen umgesetzt und überwacht?

9. Leistungsbewertung

9.1 Überwachung, Messung, Analyse und Bewertung

☐ Werden die Methoden für Überwachung, Messung, Analyse und Bewertung bestimmt?
☐ Werden die Kriterien für die Bewertung der Leistung des ISMS festgelegt?
☐ Werden die Überwachungs- und Messprozesse durchgeführt?
☐ Werden die Ergebnisse der Überwachung und Messung analysiert und bewertet?
☐ Wird die Leistung des ISMS bewertet?
☐ Werden die Ergebnisse der Leistungsbewertung dokumentiert und kommuniziert?

9.2 Internes Audit

☐ Werden interne Audits in geplanten Abständen durchgeführt?
☐ Wird ein Auditprogramm geplant, implementiert und aufrechterhalten?
☐ Werden Audits objektiv und unparteiisch durchgeführt?
☐ Werden die Auditergebnisse der relevanten Leitungsebene berichtet?
☐ Werden Korrekturmaßnahmen ergriffen, um Nichtkonformitäten zu beheben?
☐ Werden die Ergebnisse der Audits dokumentiert?

9.3 Managementbewertung

☐ Wird das ISMS in geplanten Abständen bewertet?
☐ Werden die Eignung, Angemessenheit und Wirksamkeit des ISMS bewertet?
☐ Werden die Ergebnisse der Managementbewertung dokumentiert?
☐ Werden die Ergebnisse der Managementbewertung für die Planung von Verbesserungen genutzt?

10. Verbesserung

10.1 Nichtkonformität und Korrekturmaßnahmen

☐ Werden Nichtkonformitäten untersucht?
☐ Werden Korrekturmaßnahmen ergriffen, um Nichtkonformitäten zu beheben?
☐ Werden Korrekturmaßnahmen auf ihre Wirksamkeit bewertet?
☐ Werden die Ergebnisse der Untersuchungen und Korrekturmaßnahmen dokumentiert?

10.2 Fortlaufende Verbesserung

☐ Wird das ISMS fortlaufend verbessert, um seine Eignung, Angemessenheit und Wirksamkeit zu erhöhen?
☐ Werden die Ergebnisse der Analyse und Bewertung der Leistung des ISMS berücksichtigt?

Wenn Sie auf das Menü ISO-Zertifizierung klicken, gelangen Sie zur Liste unserer Dienstleistungen. Auch interessant, der nächste Artikel: ISO 50001 Energiemanagement

Annex A der ISO 27001:2022 – 4 Themengruppen, 93 Kontrollen

Ein zentrales Element ist Anhang A (Annex A). Hier sind 93 Sicherheitsmaßnahmen in 4 Themenbereiche gegliedert:

  1. Organisatorische Maßnahmen (37 Kontrollen)

  2. Personenbezogene Maßnahmen (8 Kontrollen)

  3. Physische Maßnahmen (14 Kontrollen)

  4. Technologische Maßnahmen (34 Kontrollen)

Beispiele:

  • Zugriffskontrolle

  • Verschlüsselung

  • Netzwerksicherheit

  • Notfallvorsorge

  • Lieferantenmanagement

Zusätzliche Hinweise zur Verwendung dieser Checkliste:

  • Anpassung: Diese Checkliste ist ein allgemeines Werkzeug. Passe sie an die spezifischen Bedürfnisse und den Kontext deines Unternehmens an.
  • Dokumentation: Stelle sicher, dass du für jeden Punkt in der Checkliste Nachweise in Form von Dokumenten, Aufzeichnungen, Interviews usw. hast.
  • Interviews: Sei bereit, dass der Auditor Interviews mit Mitarbeitern auf verschiedenen Ebenen führen wird.
  • Beobachtungen: Der Auditor wird auch Begehungen durchführen, um die tatsächliche Umsetzung der Prozesse zu beobachten.
  • Regelmäßige Überprüfung: Verwende diese Checkliste nicht nur vor dem Audit, sondern auch regelmäßig intern, um die Konformität des ISMS sicherzustellen.

Dürfen wir Ihnen ein kostenloses und individuelles Angebot erstellen?

Hier geht’s zum Angebot!

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung

Diese Checkliste kann als Grundlage für interne Audits und Vorbereitung auf externe Zertifizierungen genutzt werden. Sie sollte an den spezifischen Kontext der Organisation angepasst werden.

Für weitere Fragen und Antworten einfach auf die folgenden Links klicken:

Was ist eine ISO 27001 Zertifizierung?

Was kostet eine ISO 27001 Zertifizierung?

Ist ISO 27001 Pflicht?

ISO 27001 Anforderungen

Das ISO 27001 Audit

ISO 27001 Zertifizierungsstellen

ISO 27001 Zusammenfassung

ISO 27001 PDF deutsch – Übersicht der ISO 27001:2022

ISO 27001 Checkliste deutsch

ISO 27001 Anwendbarkeitserklärung Statement of Applicability SoA

Sollten Sie Interesse an einer Zertifizierung haben, können wir Ihnen gerne ein unverbindliches Angebot unterbreiten. Am Besten heute noch…