die Vorbereitung auf die ISO27001 Zertifizierung kann ich empfehlen mit crisam durchzuführen.
Das Vorgehensmodell orientiert sich direkt an der ISO und man deckt mit Drag&Drop und mitgelieferten Kontrollzielen je Risikoobjekt (insgesamt über 1800 mögliche Fragen) folgende Schritte der ISO vollständig ab:
4. GAP Analyse. Ergebnisse aus der Bestandsaufnahme und Delta zum Sollzustand erarbeiten. Identifizierung fehlender Maßnahmen.
4. Risikoanalyse und Einschätzung. Wo ist noch Schutzbedarf nötig?
5. Maßnahmen ableiten und Arbeitspakete erstellen = Security Prozesse einführen.
6. Maßnahmen umsetzen = quasi Implementierung des ISMS.
7. Business Continuity Planung = ISMS up-to-date halten.
die Ergebnisse werden aus CRISAM u.a. via Reports entsprechend der Strukturierung der ISO 270001 generiert. Folgende Reports die für die ISO 27001 relevant sind stehen zur Verfügung:
Statement of Aplicability
Scope Statement
Business Impact Analysis Report (detailed and executive summary)
Compliance zur ISO 27001:2005
Compliance zur ISO 27002:2005
Compliance zur ISO 27001:2013
Compliance zur ISO 27002:2013
Wichtig ist aus meiner Erfahrung den Scope sauber zu definieren und mit einem geeignetem Tool kann man SEHR viel Implementierungs- und Vorbereitunszeit sparen.
Details und Demo gerne via Privat-Nachricht