Gap-Analyse für die ISO27001

Insbesondere für Kunden, die sich noch in den Anfangsphasen des Aufbaus ihres ISMS befinden, ist es wichtig, den aktuellen Zustand der Informationssicherheit zu bewerten. Wir bringen hierzu ihre umfassende Expertise im Aufbau, in der Bewertung und in der Zertifizierung von Informationssicherheits-Managementsystemen ein und bieten daher die Durchführung einer Gap-Analyse an.

Controls einer GAP-Analyse nach ISO 27001

Hierzu schauen wir uns alle Controls der ISO 27001 an:

• A.5.01 Richtlinien für die Informationssicherheit
• A.5.02 Rollen und Verantwortlichkeiten im Bereich der Informationssicherheit
• A.5.03 Aufgabentrennung
• A.5.04 Verantwortlichkeiten des Managements
• A.5.05 Kontakt mit Behörden
• A.5.06 Kontakt mit speziellen Interessengruppen
• A.5.07 Informationen über Bedrohungen
• A.5.08 Informationssicherheit in der Projektleitung
• A.5.09 Inventarisierung von Informationen und anderen zugehörigen Werten
• A.5.10 Zulässige Nutzung von Informationen und anderen zugehörigen Vermögenswerten
• A.5.11 Rückgabe von Vermögenswerten
• A.5.12 Klassifizierung von Informationen
• A.5.13 Kennzeichnung von Informationen
• A.5.14 Informationsweitergabe
• A.5.15 Zugriffskontrolle
• A.5.16 Identitätsmanagement
• A.5.17 Authentifizierungsinformationen
• A.5.18 Zugriffsrechte
• A.5.19 Informationssicherheit in Lieferantenbeziehungen
• A.5.20 Berücksichtigung der Informationssicherheit in Lieferantenvereinbarungen
• A.5.21 Management der Informationssicherheit in der IKT-Lieferkette
• A.5.22 Überwachung, Überprüfung und Änderungsmanagement von Lieferantenleistungen
• A.5.23 Informationssicherheit bei der Nutzung von Cloud-Diensten
• A.5.24 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
• A.5.25 Bewertung und Entscheidung über Informationssicherheitsvorfälle
• A.5.26 Reaktion auf Informationssicherheitsvorfälle
• A.5.27 Lernen aus Informationssicherheitsvorfällen
• A.5.28 Sammlung von Beweisen
• A.5.29 Informationssicherheit bei Unterbrechungen
• A.5.30 IKT-Bereitschaft für die Geschäftskontinuität
• A.5.31 Rechtliche, gesetzliche, regulatorische und vertragliche Anforderungen
• A.5.32 Rechte an geistigem Eigentum
• A.5.33 Schutz von Aufzeichnungen
• A.5.34 Privatsphäre und Schutz von personenbezogenen Daten
• A.5.35 Unabhängige Überprüfung der Informationssicherheit
• A.5.36 Einhaltung von Richtlinien, Vorschriften und Standards für die Informationssicherheit
• A.5.37 Dokumentierte Betriebsverfahren
• A.6.01 Screening
• A.6.02 Beschäftigungsbedingungen
• A.6.03 Bewusstsein für Informationssicherheit, Ausbildung und Schulung
• A.6.04 Disziplinarverfahren
• A.6.05 Verantwortlichkeiten nach Beendigung oder Wechsel des Beschäftigungsverhältnisses
• A.6.06 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
• A.6.07 Fernarbeit
• A.6.08 Meldung von Informationssicherheitsereignissen
• A.7.01 Physische Sicherheitsabgrenzungen
• A.7.02 Physischer Zutritt
• A.7.03 Sicherung von Büros, Räumen und Einrichtungen
• A.7.04 Überwachung der physischen Sicherheit
• A.7.05 Schutz vor physischen und umweltbedingten Bedrohungen
• A.7.06 Arbeiten in Sicherheitsbereichen
• A.7.07 Freier Schreibtisch und freier Bildschirm
• A.7.08 Platzierung und Schutz der Ausrüstung
• A.7.09 Sicherheit von Vermögenswerten außerhalb der Geschäftsräume
• A.7.10 Speichermedien
• A.7.11 Unterstützende Hilfsmittel
• A.7.12 Sicherheit der Verkabelung
• A.7.13 Wartung der Ausrüstung
• A.7.14 Sichere Entsorgung oder Wiederverwendung von Geräten
• A.8.01 Benutzer-Endgeräte
• A.8.02 Privilegierte Zugriffsrechte
• A.8.03 Beschränkung des Informationszugangs
• A.8.04 Zugang zum Quellcode
• A.8.05 Sichere Authentifizierung
• A.8.06 Kapazitätsmanagement
• A.8.07 Schutz vor Schadsoftware
• A.8.08 Management von technischen Schwachstellen
• A.8.09 Konfigurationsmanagement
• A.8.10 Löschung von Informationen
• A.8.11 Datenmaskierung
• A.8.12 Verhinderung von Datenverlusten
• A.8.13 Informationssicherung
• A.8.14 Redundanz von Informationsverarbeitungseinrichtungen
• A.8.15 Protokollierung
• A.8.16 Überwachung von Aktivitäten
• A.8.17 Uhrensynchronisation
• A.8.18 Verwendung von privilegierten Dienstprogrammen
• A.8.19 Installation von Software auf operativen Systemen
• A.8.20 Sicherheit von Netzwerken
• A.8.21 Sicherheit von Netzwerkdiensten
• A.8.22 Abtrennung von Netzwerken
• A.8.23 Web-Filterung
• A.8.24 Einsatz von Kryptographie
• A.8.25 Sicherer Entwicklungslebenszyklus
• A.8.26 Anforderungen an die Anwendungssicherheit
• A.8.27 Sichere Systemarchitektur und technische Grundsätze
• A.8.28 Sichere Kodierung
• A.8.29 Sicherheitstests bei Entwicklung und Abnahme
• A.8.30 Ausgelagerte Entwicklung
• A.8.31 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
• A.8.32 Änderungsmanagement
• A.8.33 Testinformationen
• A.8.34 Schutz von Informationssystemen während Audittests

Als Empfehlungen ziehen wir die ISO 27002 hinzu. Hier werden viele Empfehlungen für diverse Kontrollmechanismen bereitgestellt.

Zusammenfassung

Die Gap-Analyse, auch als Bestandsaufnahme bezeichnet, ist ein wesentlicher Bestandteil der ISO 27001. Sie ermöglicht es Unternehmen, Schwachstellen in ihren Sicherheitsprozessen aufzudecken und geeignete Maßnahmen zur Behebung dieser Schwachstellen zu treffen.

Unternehmen sollten die Ergebnisse der Gap-Analyse nutzen, um die Einhaltung der Schutzziele der Informationssicherheit – Vertraulichkeit, Verfügbarkeit und Integrität – zu verbessern und sicherzustellen, dass sie den Anforderungen der ISO 27001 entsprechen. Dies kann durch die Implementierung oder Optimierung von Sicherheitsmaßnahmen, die Schulung von Mitarbeitern in Sicherheitsprozessen sowie die Erstellung oder Aktualisierung von Sicherheitsrichtlinien und -verfahren erreicht werden. Wenn Sie sich für die Implementierung eines ISMS nach ISO 27001 entscheiden, sollte immer erst eine GAP-Analyse durchgeführt werden!