Handbuch / Regelwerk zur Norm
DIN EN ISO 27001:2017
© QM-Verlag Seiler, Revision 0, Seite 1 von 12, gültig ab xx.xx.xxxx
Inhaltsverzeichnis1 Anwendungsbereich ......................................................................................................................... 2
2 Normative Verweisungen ................................................................................................................. 2
3 Begriffe (siehe Punkt 11) .................................................................................................................. 2
4 Kontext der Organisation ................................................................................................................. 2
4 1 Verstehen der Organisation und ihres Kontextes ..................................................................... 2
4 2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien ................................... 2
4 3 Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems ......... 3
4 4 Informationssicherheitsmanagementsystem ............................................................................ 3
5 Führung ............................................................................................................................................ 3
5 1 Führung und Verpflichtung ........................................................................................................ 3
5 1 1 Führung und Verpflichtung ................................................................................................. 3
5 2 Politik ......................................................................................................................................... 3
5 3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation ........................................... 4
6 Planung ............................................................................................................................................. 4
6 1 Maßnahmen zum Umgang mit Risiken und Chancen ............................................................... 4
6 2 Informationssicherheitsziele und Planung zu deren Erreichung ............................................... 5
7 Unterstützung ................................................................................................................................... 5
7 1 Ressourcen ................................................................................................................................ 5
7 2 Kompetenz ................................................................................................................................. 5
7 3 Bewusstsein ............................................................................................................................... 6
7 4 Kommunikation ......................................................................................................................... 6
7 5 Dokumentierte Information ...................................................................................................... 6
7 5 1 Allgemeines ........................................................................................................................ 6
7 5 2 Erstellen und Aktualisieren ................................................................................................. 6
7 5 3 Lenkung dokumentierter Informationen ............................................................................ 7
8 Betrieb .............................................................................................................................................. 7
8 1 Betriebliche Planung und Steuerung ......................................................................................... 7
8 2 Informationssicherheitsbeurteilung .......................................................................................... 7
8 3 Informationsrisikobehandlung .................................................................................................. 7
9 Bewertung der Leistung ................................................................................................................... 8
9 1 Überwachung, Messung, Analyse und Bewertung .................................................................... 8
9 2 Internes Audit ............................................................................................................................ 8
9 3 Managementbewertung ............................................................................................................ 9
Handbuch / Regelwerk zur Norm
DIN EN ISO 27001:2017
© QM-Verlag Seiler, Revision 0, Seite 2 von 12, gültig ab xx.xx.xxxx
10 Verbesserung .................................................................................................................................. 9
10 1 Nichtkonformitäten und Korrekturmaßahmen ....................................................................... 9
10 2 Fortlaufende Verbesserung ................................................................................................... 10
11.0 Begriffserklärung (Grundlage ISO 27000).................................................................................. 10
1 Anwendungsbereich Unternehmensbezeichnung: Mustermann AG Straße: Zum Salm 27 PLZ, Ort: D-88662 Überlingen GF: Klaus Seiler, MSc. in QM ISMS-Beauftragte(r): Hans Mustermann Anzahl Mitarbeiter/-innen: 5
2 Normative Verweisungen Im Rahmen unseres Informationsmanagementsystems beachten wir folgende normative Vorgaben (Beispiele):
DIN ISO / IEC 27000:2011-07 Überblick / Ter-minologie
DIN ISO / IEC 27001:2017-03 Anforderungen Informationssicherheitsmanagementsysteme
DIN ISO / IEC 27002:2014-02 Leitfaden DIN ISO / IEC 27003:2010-02 Anleitung zur Um-
setzung DIN ISO / IEC 27004:2009-12 Messgrößen BS ISO / IEC 27005:2011-06 Risikomanagement
ISO / IEC DIS 27006:2017-01 Anforderungen an Zertifizierungsstellen
ISO / IEC 27007:2011-11 Auditrichtlinien ISO / IEC 27011:2008-12 Telekommunikations-
unternehmen DIN EN ISO 27799:2014-10 Gesundheitsorgani-
sationen
3 Begriffe (siehe Punkt 11)
4 Kontext der Organisation
4 1 Verstehen der Organisation und ihres Kontextes
Unsere Rahmenbedingungen sind für die strategische Ausrichtung unseres Informationssicherheitsmanage-mentsystems relevant. Die Themen zur Erreichung der beabsichtigten Ergebnisse sind in externe und interne Zusammenhänge unterteilt. Die Themen werden laufend, formell aber jährlich geprüft und überwacht. Werden zwischen den Überwachungen neue Themen erkannt, werden diese umgehend umgesetzt. Dabei berücksichtigen wir folgende Aspekte:
soziale, kulturelle, politische, rechtliche, regulatorische, finanzielle, technologische, wirtschaftliche, na-türliche und wettbewerbsspezifische Gegebenheiten internationaler, nationaler, regionaler oder lokaler Art,
wesentliche Triebkräfte und Trends, welche unser Unternehmen beeinflussen, die Beziehungen zu interessierten Parteien sowie deren Wahrnehmungen und Werte.
4 2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien
Wir haben die Erfordernisse und Erwartungen in einem Formblatt gelistet und kommunizieren diese im Unter-nehmen. Die Erfordernisse und Erwartungen werden laufend, formell aber jährlich geprüft und überwacht. Wer-den zwischen den Überwachungen neue Erfordernisse und Erwartungen erkannt, werden diese umgehend um-gesetzt.
Handbuch / Regelwerk zur Norm
DIN EN ISO 27001:2017
© QM-Verlag Seiler, Revision 0, Seite 3 von 12, gültig ab xx.xx.xxxx
4 3 Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems
Anwendungsbereich des ISMS: Entwicklung, Produktion und Vertrieb von Musterdokumentationen, Durchführung von Beratungsleistungen, Informationsmanagement für Kunden, Dokumentationsprüfungen und Dokumentationserstellung.
Geografischer Anwendungsbereich: Siehe 1 Anwendungsbereich.
4 4 Informationssicherheitsmanagementsystem
Mit diesem Handbuch und den nachfolgenden Regelungen und Nachweisen haben wir nachgewiesen, dass wir ein ISMS eingeführt haben. Dieses System wird fortlaufend aufrechterhalten und verbessert. Unsere Prozesse sind im Laufe dieses Regelwerks oder in gesonderten Prozessbeschreibungen beschrieben. Die Prozessbeschreibungen beinhalten:
die Prozesseingaben, das zu erwartende Prozessergebnis, Kriterien und Methoden zur Durchführung, die Art der Messung, Messmethoden, bedeutende Leistungsindikatoren, die für das Prozessergebnis von Bedeutung sind, Verantwortungen / Befugnisse im Rahmen des Prozessablaufes, Prozessrisiken und Chancen sowie abgeleitete Maßnahmen, die Form der Prozessüberwachung, letzte Änderungen, mögliche Prozessverbesserungen , Dokumente und deren Aufbewahrung und die Prozessabfolge und deren Wechselwirkungen.
Dokumentierte Informationen, wie Aufzeichnungen und Vorgaben, stehen im Einklang mit der Notwendigkeit und unterstützen die Durchführung.
5 Führung
5 1 Führung und Verpflichtung
5 1 1 Führung und Verpflichtung
Wir zeigen Führung und Verpflichtung durch: Festlegung der Informationssicherheitspolitik und der Informationssicherheitsziele unter Beachtung der strategi-
schen Ausrichtung, Umsetzung in allen Geschäftsprozessen, Bereitstellung von notwendigen Ressourcen, Laufende Vermittlung des ISMS auf allen internen Ebenen, Gewährleistung der Zielerreichung, Unterstützung und Anleitung der Beteiligten, Fortlaufende Verbesserung und Unterstützung der Führungskräfte.
5 2 Politik
Unsere Informationssicherheitspolitik ist für den Zweck und den Kontext unserer Organisation geeignet. Sie bil-det den Rahmen zur Festlegung und Überprüfung der Informationssicherheitsziele. Wir verpflichten uns zur Er-füllung der ermittelten Anforderungen und zur laufenden Verbesserung.
Handbuch / Regelwerk zur Norm
DIN EN ISO 27001:2017
© QM-Verlag Seiler, Revision 0, Seite 4 von 12, gültig ab xx.xx.xxxx
Unsere Informationssicherheitspolitik ist im Formblatt 5.2.0 Informationssicherheitspolitik festgelegt. Sie wurde allen Mitarbeitern/-innen vermittelt und wird angewendet. Die Informationssicherheitspolitik wird den interes-sierten Parteien zur Verfügung gestellt.
5 3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation
Die Verantwortlichkeiten und Befugnisse für relevante Rollen sind zugewiesen, intern kommuniziert und werden verstanden. Wir haben Verantwortungen und Befugnisse zugewiesen für:
die Sicherstellung, dass das ISMS die Normforderungen erfüllt, die Sicherstellung, dass die beabsichtigten Prozessergebnisse geliefert werden, eine Berichterstattung über die
o Leistung, o Verbesserungsmöglichkeiten, o Änderungen und o Innovation des Informationssicherheitsmanagementsystems,
die Förderung der Kundenorientierung, die Aufrechterhaltung der Integrität bei Änderungen des ISMS.
6 Planung
6 1 Maßnahmen zum Umgang mit Risiken und Chancen
6.1.1 Allgemeines
Aus unseren Themen zum Kontext (4.1) und Anforderungen (4.2) haben wir Risiken und Chancen bestimmt. Sie dienen dazu, die beabsichtigten Ergebnisse zu erzielen, unerwünschte Auswirkungen zu verhindern und zu ver-ringern und eine fortlaufende Verbesserung zu erreichen. Die Betrachtungen gewährleisten:
Verringern und verhindern von ungewünschten Auswirkungen, Die Sicherstellung zur Erreichung der beabsichtigten Ergebnisse, Eine fortlaufende Verbesserung, die Planung zum Umgang mit Risiken, Chancen und der Integration von Prozessen sowie der Wirksamkeitsbeurteilung.
6.1.2 Informationssicherheitsrisikobeurteilung
Wir haben einen Prozess zur Informationssicherheitsrisikobeurteilung festlegt und wenden diesen an. Der Prozess gewährleistet:
Die Festlegungen von Informationssicherheitsrisikokriterien inklusive o Akzeptanzkriterien und o Beurteilungskriterien,
Erneute oder wiederholte Beurteilungen zu konsistenten, vergleichbaren und gültigen Ergebnissen führen, Die Identifizierung von Informationssicherheitsrisiken in Bezug auf
o Verlust der Vertraulichkeit, o Integrität und Verfügbarkeit von Informationen, o Identifizierung von Risikoeigentümern, o Eintrittsfolgen, o Die Bewertung der Eintrittswahrscheinlichkeit o Bestimmung des Risikoniveaus mit
▪ Vergleich der Risiken mit den Risikokriterien und ▪ Priorisierung der Risikobehandlung
Dokumentationen
Qualitätsmanagement Verlag
Seiler
Informationssicherheitsma-nagement
Prozessbeschreibungen
DIN EN ISO 27001:2017
Auflage 1
Weitere Prozessbeschreibungen:
6 1 0 Ermittlung Risiken Chancen6 1 2 Informationssicherheitsrisikobeurteilung6 1 3 Informationssicherheitsbehandlung6 1 3 Risikomanagement IT6 2 0 Informationssicherheitsziele6 3 0 Planung Änderungen7 2 0 Erforderliche Kompetenzen7 2 0 Schulungen7 2 0 Weiterbildung7 4 0 Externe Kommunikation7 4 0 Interne Kommunikation7 5 3 Lenkung aufgezeichneter Informationen7 5 3 Lenkung externer Informationen7 5 3 Lenkung interner Informationen8 3 0 Änderungen am System8 3 0 Auswahl Anbieter8 3 0 Benutzerzugang8 3 0 Berechtigung8 3 0 Beschaffung8 3 0 Eigentum Kunden Anbieter8 3 0 Entsorgung Datenträger8 3 0 Entwicklungsänderungen8 3 0 Entwicklungsbewertung8 3 0 Entwicklungseingaben8 3 0 Entwicklungsergebnisse8 3 0 Entwicklungsplanung8 3 0 Entwicklungsvalidierung8 3 0 Entwicklungsverifizierung8 3 0 Externe Wartungen8 3 0 Genehmigung neuer Einrichtungen8 3 0 Informationsübertragung8 3 0 Informationen8 3 0 Installation8 3 0 Interne Wartung8 3 0 Kennzeichnung und Rückverfolgbarkeit8 3 0 Kennzeichnung von Informationen8 3 0 Kommunikation Anbieter8 3 0 Kontrolle Lieferungen8 3 0 Lieferanten / Anbieteraudit8 3 0 Notfallvorsoge Management8 3 0 Registrierung / Deregistrierung8 3 0 Sammlung Beweismaterial8 3 0 Sicherheitsvorfall8 3 0 Validierung Software8 3 0 Wechselmedien9 1 0 Leistung Anbieter9 1 0 Leistungsanalyse9 2 0 Internes Audit10 1 0 Nichtkonformitäten Dienstleistung10 1 0 Nichtkonformitäten Produkt10 2 0 Planung Verbesserung
6.1.3 Informationssicherheitsbehandlun
g
MA
VA Ablauf / Tätigkeiten Dokumente Ablauf / Hilfsmittel
Start
Risikoniveau bewertenISMS-
Beauftr.
Ja
Maßnahme(n) möglich?
Nein
GL
Informationen aus der Excel-Datei wie Risiken bewertet wurden.
ENDE
Behandlungs-maßnahme
festlegen
Interne Kommunikation
Information der betroffenen
Bereiche
Umsetzung Maßnahmen
Ja
Maßnahme(n) wirksam?
Nein
Nachweis erstellen
ISMS-Beauftr
.
ISMS-Beauftr
.
ISMS-Beauftr
.
ISMS-Beauftr
.
ISMS-Beauftr
.
ISMS-Beauftr
.
ISMS-Beauftr
.
MA
Bereiche
MA
MA
Ableiten von möglichen Risikobehandlungen
Kommunikation mit den Betroffenen auf Leitungsebene. Besprechung von Optionen.
Information der betroffenen Bereiche auf allen Ebenen.
Notiz der möglichen Maßnahmen und Beschluss der Vorgehensweise, Verteilung von Verantwortungen und Termine.
Umsetzung der Maßnahmen gemäß Festlegung.
Die Maßnahme ist erfolgreich umgesetzt, wenn das Problem nicht oder nicht mehr auftritt oder wie beabsichtigt minimiert wurde. Es wird immer eine Wirksamkeits-prüfung durchgeführt.Abschließend: Informationen von betroffenen Bereichen und der GF über das Ergebnis. Die Ergebnisse gehen in die Managementbewertung ein.
FB „6 1 2 / 6 1 3 Informationssicher-heitsrisiko Beurteilung Behandlung“
MA
© QM-Verlag Seiler, Revision 0, Seite 1 von 1, gültig ab xx.xx.xxxx
FB „6 1 2 / 6 1 3 Informationssicher-heitsrisiko Beurteilung Behandlung“
FB „6 1 2 / 6 1 3 Informationssicher-heitsrisiko Beurteilung Behandlung“, Besprechungs-protokoll
Mail, Notiz, Aushang
Mail, Notiz, Aushang
Aktionsplan baulich , organisatorisch
FB „6 1 2 / 6 1 3 Informationssicher-heitsrisiko Beurteilung Behandlung“
FB „6 1 2 / 6 1 3 Informationssicher-heitsrisiko Beurteilung Behandlung“
Qualitätsmanagement Verlag
Seiler Dokumentationen
8.3.0 Benutzerzugang
MA
VA Ablauf / Tätigkeiten Dokumente Ablauf Hilfsmittel
Start
Prüfen der vorhandenen
Benutzerzugänge
Ende
ISMS-Beauft
r.
GF
Benutzerzugang vergeben
Die aktuellen Benutzerzugänge werden von der GF überprüft.
Nach dem Ermitteln der Notwendigkeit der Dauer der Berechtigung wird geprüft, ob das Risiko der Vergabe der Berechtigung zu vertreten ist.
Prüfen der Dauer der Notwendigkeit
JaNein
Sind die Benutzerzugänge nicht in Ordnung, werden diese abgeändert.
Sollten neue Benutzerzugänge notwendig sein, werden diese auf die Dauer der Notwendigkeit geprüft.
Liste der Berechtigungen, Befugnismatrix
Der Benutzerzugang wird vergeben und in die Liste der Berechtigungen eingetragen.
Entfernen der Berechtigung /
Zugang
Sind weitere nötig?
JaNein
Mitarbeiter/-in dazu
geeignet?
JaNein
GF
GF
GF
GF
GF
Liste der Berechtigungen, Befugnismatrix
Liste der Berechtigungen, Befugnismatrix
Liste der Berechtigungen, Befugnismatrix
Liste der Berechtigungen, Befugnismatrix
Benutzer-zugang richtig
vergeben?
Ja
Nein
Es werden die Aufgaben anhand der Benutzerzugänge ermittelt und überprüft, sollten die Mitarbeiter/-innen diese nicht erfüllen, wird der Zugang entfernt.
Liste der Berechtigungen, Befugnismatrix
ISMS-Beauft
r.
ISMS-Beauft
r.
ISMS-Beauft
r.
ISMS-Beauft
r.
ISMS-Beauft
r.
ISMS-Beauft
r.
Sind weitere Zugänge
nötig?
Zugängei.O?
© QM-Verlag Seiler, Revision 0, Seite 1 von 1, gültig ab xx.xx.xxxx
Es wird laufend geprüft, ob die Benutzerzugänge noch berechtigt sind und aktuell.
Liste der Berechtigungen, Befugnismatrix
8.3.0 Installation
MA
VA Ablauf / Tätigkeiten Dokumente Ablauf Hilfsmittel
Start
Neue Software vorhanden
Eine neue Software wird vorgeschlagen, der Bedarf an ihr wird überprüft.
Ja
Nein
Berechtigung einholen
Dokumentieren und neue
Zugänge verteilen
PA "Schulung intern"
Nein
Ende
ISMS-Beauft
r.
MA
ISMS-Beauft
r.
MA
ISMS-Beauft
r.
MA
ISMS-Beauft
r.
MA
PA Schulung intern
Die neue Software wird auf den nötigen Systemen installiert.
Es wird geprüft, ob anhand der Neuinstallation eine Schulung der entsprechenden Mitarbeiter nötig ist. Sollte es so sein wird gemäß PA Schulung verfahren.Die Installation der neuen Software wird dokumentiert, die neuen Software (sofern vorhanden) werden in die Liste der Berechtigungen eingetragen. Die Berechtigungen für die alte Software (sofern vorhanden) werden aus der Liste entfernt. Aktualisierung der Liste Werte.
Ja
ISMS-Beauft
r.
MA
Bedarf an der neuen Software?
Muss aufgrund der Änderung eine Schulung erfolgen?
PA = ProzessanweisungAA = ArbeitsanweisungVA = VerantwortlichMA = Mitarbeit / Mitarbeiter/-inGL = GeschäftsleitungPT = Prozessteam
Ist die neue Software notwendig wird die Berechtigung von der entsprechenden Person (Berücksichtigung der Urheber und Lizenzrechte) eingeholt, die notwendigen Berechtigungen für die Installation einer Software wird beim Admin freigeschalten.
Nein
Ja
Installation der neuen Software
Ersetzen der alten Software?
Deinstallation der alten Software
ISMS-Beauft
r.
MA
ISMS-Beauft
r.
MA
FB Berechtigungen, FB Werte
Sollte das neue Programm ein anderen ersetzen, wird das alte vollständig vom System entfernt bevor das neue aufgespielt wird.
© QM-Verlag Seiler, Revision 0, Seite 1 von 1, gültig ab xx.xx.xxxx
Produktbeschreibung
Produktbeschreibung
Produktbeschreibung PA Berechtigung, FB Berechtigungen
FB Werte
PA Installation
Informationssicherheitsmanagement
Arbeitsanweisungen
DIN EN ISO 27001:2017
Auflage 1
Weitere Arbeitsanweisungen:
4 4 0 Anweisung Prozesserstellung8 3 0 Arbeiten in Sicherheitsbereichen8 3 0 Entwicklungssteuerung8 3 0 Kennzeichnung Informationen8 3 0 Kontrolle Bereitstellungen8 3 0 Transaktionen bei Anwendungsdiensten8 3 0 Verwendung von Werten außerhalb des Unternehmens
8.3.0 Verwendung von Werten außerhalb
des Unternehmens
Grundlagen.........................................................................................................................................1
Gültigkeit............................................................................................................................................1
Ziel und Grund....................................................................................................................................1
Abkürzungen......................................................................................................................................1
Zu beachtende Punkte........................................................................................................................1
Grundlagen
Kapitel 8 Abschnitt 8.3.0 "ISMS und dessen Prozesse“.
Gültigkeit
Diese Anweisung betrifft alle Personen, die Werte außerhalb des Unternehmens verwenden.
Ziel und Grund
Die Vereinheitlichung der Prozessbeschreibungen im Unternehmen und die Sicherstellung der richti-
gen Inhalte.
Abkürzungen
GF Geschäftsführung
QM Qualitätsmanager/-in
ISMS-Beauftr. Informationsmanagementsystem-Beauftragte(r)
Zu beachtende Punkte
1. Geräte, Betriebsmittel und Werte außerhalb der Räumlichkeiten werden immer geschützt
mittels:a. Verschlussb. Verbleib in geschlossenen Räumen ohne Aufsichtc. Passwort
2. Der Verbleib in Fahrzeugen ist untersagt. 3. Werte werden immer verpackt:
a. Computertaschen,b. Umschläge,c. Taschen
4. Bei allen Werten gibt es Informationen zu unserem Unternehmen und der Aufforderung einer
Abgabe bei Verlust.5. Das Autoabschalten bei digitalen Geräten (PDA’s, Lapotop, Notebook…) ist auf den kürzesten
Zeitraum einzustellen.6. Bei dem Gang auf Toiletten, Duschen usw. werden elektronische Werte immer abgeschaltet.7. Notizen, Anweisungen und Vorgaben werden immer verschlossen.8. Geheim eingestufte Werte werden nur nach schriftlicher Genehmigung verwendet.9. Abweichungen werden sofort der / dem ISMS-Beauftragte(n) gemeldet.
© QM-Verlag Seiler, Revision 0, Seite 1 von 1, gültig ab xx.xx.xxxx
Informationssicherheitsmanagement
Formblätter / Nachweise
DIN EN ISO 27001:2017
Auflage 1
Weitere Nachweisformen:
4 1 0 Kontext, Erfordernisse und Erwartungen4 4 0 Grundriss Räumlichkeiten4 4 0 Prozesse5 2 0 Informationssicherheitspolitik5 2 0 Informationssicherheitsrichtlinie5 2 0 Lieferantensicherheitsrichtlinie5 3 0 Organisationsdiagramm5 3 0 Verantwortungen und Befugnisse6 1 0 Chancen und Risiken7 1 0 Werte7 2 0 Benennung ISMS Beauftragte7 2 0 Kompetenzen7 2 0 Schulungsplan7 4 0 Liste Kommunikationswege7 4 0 Protokoll Besprechung7 5 1 Dokumentierte Informationen (diese Liste)8 1 0 Planung und Steuerung8 2 0 Informationssicherheitsbeurteilung8 3 0 Abnahmetest Software8 3 0 Änderungssteuerung8 3 0 Aktionsplan baulich organisatorisch8 3 0 Ausgabe Mobilgeräte8 3 0 Ausgabeliste Schlüssel8 3 0 Berechtigungen8 3 0 Entsorgungsprotokoll Wiederverwendung8 3 0 Entwicklungsänderungen8 3 0 Geheime Authentifizierungsinformationen8 3 0 Information Arbeitsumgebung8 3 0 Infrastruktur Netzwerkplan
8 3 0 Kapazitätssteuerung8 3 0 Kennwortsystem8 3 0 Kennzeichnung / Rückverfolgung8 3 0 Konfiguration Medien8 3 0 Liste Anbieter8 3 0 Liste bindende Vorgaben8 3 0 Liste der Berechtigungen8 3 0 Maßnahmen Wartung8 3 0 Notfallplan8 3 0 Protokollierung Überwachung8 3 0 Prüfplan8 3 0 QSV Qualitätssicherungsvereinbarung8 3 0 Regelwerk Zugangskontrolle8 3 0 Schweigepflicht externe Anbieter8 3 0 Schweigepflicht Verantwortungsbelehrung8 3 0 Sicherheitseinstufungen8 3 0 Tätigkeiten Installation8 3 0 Überwachung Änderungen8 3 0 Unterschriftenliste8 3 0 Zugangssteuerung9 1 0 Informationssicherheitsbericht9 1 0 Leistung Anbieter9 1 0 Leistungsbewertung9 2 0 Auditbericht9 2 0 Auditcheckliste 27001 20179 2 0 Auditplan9 2 0 Auditprogramm9 3 0 Managementbewertung10 1 0 Fehlerliste10 1 0 Maßnahmenplan
10 1 0 8 D Report10 2 0 Liste Verbesserungen
6.1.0 Chancen und Risiken Beispiele in Rot
Zusammenhang Anforderung Chance Risiko Maßnahme Wirksamkeit 15.08.20xxISMS a) Aufrechterhaltung der Informat-
onssicherheitb) Datenverlust durch Raub
c) Datenverlust durch Ausfall
d) Datenverlust durch Sabotage
Zu a) Angriffe von Externen abwehrenZu b) /
Zu c) /
Zu d) /
Zu a) Datenverlust
Zu b) Andere können Daten zum Missbrauch nutzten
Zu c) Daten können ver-loren gehen oder nicht mehr nutzbar sein (Total-ausfall)Zu d) Es kann zu einem kompletten Ausfall / Ver-lust von Daten kommen.
Zu a)Einführung ISMS im Unternehmen
Zu b) Erstellen von Richtlinien um Datenverlust durch raub zu minimieren. Schützen der Verzeichnisse, Zutritts-regelungenZu c) laufende Wartung aller EDV-Ein-heiten und Überwachung der Funkton.
Zu d) Es wird ein redundantes System aufgebaut um Daten in jedem Fall bei-behalten zu können. Es werden Rege-lungen auf allen Ebenen getroffen zum Umgang und Zugang zu Daten.
Ja
Ja
Ja
ja
Gesetzlich (extern) a) Wir halten die Anforderungen der Berufsgenossenschaften ein.
b) Wir beachten das Urheberschutzge-setz und das Bundesdatenschutzge-setz.
c) Wir vertreiben unsere Produkte über das Internet (Fernabsatzge-setzt).
Zu a) keine
Zu b) keine
Zu C) keine
Zu a) mangelnde Einhal-tung.Zu b) Freigabeprüfungen bei dokumenterten In-formatonen
Zu a) Jährliche Begehung durch Arbeits-schutzbeauftragte(r)Zu B) Qualitätsmanager/-in prüft Doku-mente und Aufzeichnungen in Stchpro-ben.Zu c) Prüfung der Internetseiten bei Än-derungen.
Ja
Ja
Offen
Technisch (extern) a) Wir setzen Druck- und Verpackungs-maschinen ein.
b) Wir betreiben ein Firmennetzwerk.c) Wir beachten den Umweltschutz.
Zu a) Optmierte Leistung.Zu b) Daten können zentral verwaltet werden.Zu c) Verbesserung des An-sehens in der Gemeinde
Zu a) Veralterung der Maschinen und Hilfsmit-tel.Zu b) Daten können ver-loren gehen oder ent-wendet.Zu c) keines
Zu a) Jährliche Prüfung der Verwendbar-keit und neue Technologien.Zu b) Mitarbeiter/-innen werden zur Verschwiegenheit verpflichtet.Zu c) Keine Maßnahme
Ja
Alle MA Stand: 20.07.20xx
Wettbewerblich (extern)
a) Wir sind Anbieter von Musterdoku-mentatonen (Printmedien).
b) Wir beraten Kunden bei der prak-tschen Umsetzung von Normforde-rungen.
Zu a) Alleinstellungsmerk-mal auf dem Markt.Zu b) Kundenbindung über Jahre.
Zu a) Zunehmende Wett-bewerber.Zu b) Große Projekte können nicht mehr be-dient werden.
Zu a) Laufende Marktüberwachung, neue innovatve Produkte erstellen.Vergrößerung der internen Kapazitäten.
Offen
Offen
Marktüblich (ex-tern)
a) Unsere Kunden können unsere Pro-dukte mittels Bestellung oder Ange-bot ordern.
b) Bücher werden über Internetseiten,
Zu a) Schnelle Bestellungen sind möglich.Zu b) Der Kunde kann ver-schiedene Bestellwege
Zu a) Kein Risiko erkannt.Zu b) der Kunde bleibt anonym.Zu c) Anforderungen
Zu a) Keine Maßnahme.Zu b) Ermittlung weiterer Bestellwege.Zu c) Gegenprüfung von Angeboten undAnfragen.
/Offen Laufend
© QM-Verlag Seiler, Revision 0, Seite 1 von 3, gültig ab xx.xx.xxxx
6.1.0 Chancen und Risiken Beispiele in Rot
Zusammenhang Anforderung Chance Risiko Maßnahme Wirksamkeit 15.08.20xxden Beuth-Verlag und den Fachhan-del bestellt.
c) Beratungen werden nach individuel-len Kriterien schriftlich angeboten.
wählen.Zu c) Der Tatsächliche Be-darf der Kunden wird er-fasst und ggfs. angeboten.
können falsch erfasst werden.
Kulturell / Sozial (extern)
a) Wir beachten den Gender Main-stream.
b) Wir erfassen religiöse und kulturelleAnforderungen.
c) Wir sind Mitglied in gemeinnützigenVereinen.
d) Wir beachten die Anforderungen der gesellschaftlichen Verantwor-tung.
Zu a) keine Chance erkannt.Zu b) Kundengewinn durch Neutralität.Zu c) Ansehen in der Gesell-schaft verbessern.Zu d) Ansehen in der Ge-sellschaft verbessern.
Zu a) Verlust von Ange-boten wegen Nichtbe-achtung.Zu b) Falsche Behandlungvon religiösen Minder-heiten.Zu c) Die Vereine können zweckentfremdet arbei-ten.Zu d) Kein Risiko erkannt.
Zu a) Prüfung der Bücher und Vorlagen.Zu b) Keine MaßnahmeZu c) Prüfen der JahresberichteZu d) Keine Maßnahme
Ja /Ja, jeweils im Januar./
Wirtschaftlich (ex-tern)
a) Wir erstellen Rechnungen auf Liefe-rungen oder erheben Vorkasse auf Rechnung.
b) Wir liefern Produkte digital oder in Hardware.
Zu a) Erhaltung der Liquidi-tät.Zu b) Schnelle Anlieferung. Schonung der Umwelt.
Zu a) Kunden erkennen Rechnung nicht.Zu b) Vorsätzlicher Be-trug durch Kunden.
Zu a) Bessere Kennzeichnung der Rech-nungen, Digitaler Versand bei Abwick-lung.Zu b) Schlüssigkeitsprüfungen bei Be-stellungen.
Offen
Ja
Produkte (intern) a) Wir bieten Produkte zur Erreichung und Einhaltung von Normforderun-gen an.
b) Die Produkte werden nach Aufkom-men der Bestellungen produziert und in geringem Umfang bevorratet.
c) Wir beliefern digital über eine Schnittstelle im Internet.
Zu a) Dauerhafte Kunden-bindung und Projektanfra-gen.Zu b) Kosteneinsparung.Zu c) Schnelle Zusendung.
Zu a) Inhaltliche Richtg-keit nicht vorhanden.Zu b) Zu wenig Produkte am Lager.Zu c) Datenverlust oder –klau durch Anbieter.
Zu a) Gegenprüfung von neuen Produk-ten.Zu b) Berechnung der Regelbestellun-gen und Ableitung der individuellen Be-stände.Zu c) Prüfung der Anbieter für Cloudts.
Ja
Ja
Ja
Dienstleistungen (intern)
a) Wir beraten Kunden telefonisch undvor Ort.
b) Wir führen Schulungen durch zu re-gulatorischen Anforderungen und Norminhalten.
c) Wir auditeren Kunden und Partner entsprechend den Inhalten der DIN EN ISO 19011.
d) Wir prüfen Dokumentatonen auf die Einhaltung von Anforderungen.
e) Wir erstellen Dokumentatonen
Zu a) Schnelle Hilfe für die Kunden.Zu b) Kundengewinnung beiguter Durchführung.Zu c) Kunde erhält objektveErgebnisse.Zu d) Siehe c.Zu e) Schnelle Umsetzung sowie Zeit- und Kostener-sparnis für Kunden.
Zu a) Leistungen werden nicht entlohnt.Zu b) Kundenverlust bei schlechter Durchführung.Zu c) Ergebnisse sind für Kunden nicht verständ-lich.Zu d) siehe c.Zu e) Falsche Kundenfor-derungen erfassen.
Zu a) Grenzen der kostenlosen Beratungeinführen.Zu b) Prüfung der Schulungsunterlagen bei Erstellung und jährlich auf Aktuali-tät.Zu c) Unterlagen werden in transparen-ter und einfacher Sprache erstellt.Zu d) siehe c.Zu e) Schriftliche Bestätgung der Ergeb-nisse nach der Erfassung (Mail).
Offen
Ja
Ja
Ja
© QM-Verlag Seiler, Revision 0, Seite 2 von 3, gültig ab xx.xx.xxxx
6.1.0 Chancen und Risiken Beispiele in Rot
Zusammenhang Anforderung Chance Risiko Maßnahme Wirksamkeit 15.08.20xxnach Vorgaben die vertraglich fest-gelegt sind.
Interessierte Partei-en (intern)
a) Einhaltung von regulatorischen An-forderungen und Gesetzen.
b) Erreichbarkeit und zeitnahe Umset-zung.
c) Belieferung binnen kurzer Zeit.d) Inhaltlich praktkable Produkte.
Zu a) Einhaltung der Geset-ze und Vorgaben.Zu b) Dynamische Realisie-rung der Produkton und Dienstleistung.Zu c) Hohe Begeisterung.Zu d) Hohe Begeisterung.
Zu a) Keine ausreichendeErfassung.Zu b) Überlastung der in-ternen Ressourcen.Zu c) Kein Risiko erkannt.Zu d) Kein Risiko erkannt.Zu e)
Zu a) Laufende Auswertung von Vorga-ben im Internet und Newsletter.Zu b) Listen mit offenen Projekten und Angeboten führen.Zu c) Laufende Prüfung der 48 Stunden-regel.Zu d) Machbarkeitsprüfung der Vor-lagen in Beratungsprojekten.
Ja
Ja
Ja
Ja
© QM-Verlag Seiler, Revision 0, Seite 3 von 3, gültig ab xx.xx.xxxx
8.3.0 Entsorgungsprotokoll Wiederverwendung Beispiele in Rot
Produkt Durchgeführte Maßnahme Durchge-
führt von:
Datum:
Festplatte TI 25663 Festplatte zerstört durch Bohrung und Hitzebehandlung
Laptop Acer 9210 Gerät aufgeschraubt, Festlatte entnommen, Arbeitsspeicher vernichtet
© QM-Verlag Seiler, Revision 0, Seite 1 von 1, gültig ab xx.xx.xxxx
8.3.0 Konfiguration Medien Beispiele in Rot
Konfiguration Medien:
Gerät Schutzart
Arbeitsrechner, Standard Konfiguration, MS Office Passwortschutz für das Betriebssystem, Tägliche Kontrolle, USB-Ports gesichert
Laptops
Server
Mabilfunkgeräte
Fahrzeuge
Unbeaufsichtigte Benutzergeräte:
Gerät Schutzart
Eingabeterminal Empfang Passwortschutz für das Betriebssystem, Tägliche Kontrolle, USB-Ports gesichert
© QM-Verlag Seiler, Revision 0, Seite 1 von 1, gültig ab xx.xx.xxxx
Top Related