ISO 27001:2022 Rezertifizierungsaudit
Leitfaden für eine erfolgreiche Vorbereitung
Agenda
01
Grundlagen der ISO 27001:2022
Überblick und zentrale Änderungen
02
Vorbereitungsprozess
Zeitplan, Rollen und Verantwortlichkeiten
03
ISMS-Anforderungen
Dokumentation und Implementierung
04
Mock-Audit
Simulation und Vorbereitung
05
Audit-Tag
Durchführung und Nachbereitung
Zeitplanung Rezertifizierungsaudit
Rezertifizierungsaudit 2-3 Monate vor Ablauf des Zertifikats planen
Zeitpuffer für Korrekturmaßnahmen einplanen
Schlüsselrollen im Audit-Prozess
Lead Auditor
Koordiniert Planung und Durchführung des Audits
ISMS-Verantwortliche
Hauptansprechpartner für Auditorenfragen
Prozessverantwortliche
Erklären spezifische Abläufe und Controls
Grundlagen und Governance (Kapitel 4-5)
Kontextanalyse
  • Stakeholder-Analyse
  • Scope-Definition
  • Prozesslandkarte
Führungsebene
  • Management-Engagement
  • IS-Politik
  • Rollenverantwortlichkeiten
Risikobasiertes Denken (Kapitel 6)
Risikoregister
Erfassung aller Risiken und Chancen
Risikobehandlungsplan
Spezifische Maßnahmen zur Risikominderung
SMART-Ziele
Messbare Leistungskennzahlen (KPIs)
Ressourcenmanagement (Kapitel 7)
Ressourcenplanung
  • Budget
  • Personal
  • Infrastruktur
Kompetenzaufbau
  • Kompetenzmatrizen
  • Schulungsprogramme
  • Bewusstseinsförderung
Betriebsplanung und -steuerung (Kapitel 8)
Benutzer- und Zugriffsmanagement
Identitäts- und Rechtekonzepte, Authentifizierungsmethoden
Konfigurationsmanagement
Baseline-Konfigurationen, Änderungsmanagement
Datenschutz und -sicherheit
Klassifizierung, Verschlüsselung, Sicherung
Risikobewertung und -behandlung
Regelmäßige Bewertungen bei:
  • Neuen Systemen
  • Signifikanten Änderungen
  • Nach Sicherheitsvorfällen
Dokumentierte Maßnahmen und Wirksamkeitsprüfungen
Leistungsbewertung (Kapitel 9)
KPIs & KRIs
Messbare Indikatoren zur Bewertung der ISMS-Wirksamkeit
Audit-Plan
Risikobasierter interner Auditplan mit klaren Zielen
Management-Review
Regelmäßige Überprüfung durch die oberste Leitung
Kontinuierliche Verbesserung (Kapitel 10)
Nichtkonformitäten
  • Systematische Erfassung
  • Ursachenanalyse
  • Korrekturmaßnahmen
Nachweise für Verbesserung
  • Verbesserte KPI-Werte
  • Reduzierte Vorfälle
  • Erfolgreiche Re-Audits
Statement of Applicability (SoA)
Das Herzstück des ISMS
Dokumentiert Status aller 93 Controls aus ISO/IEC 27001:2022
Aufbau des Statement of Applicability
Anwendbarkeit
Begründung für jeden Control
Implementierungsstatus
Implementiert / Teilweise / Nicht implementiert
Referenzen
Verknüpfung zu Nachweisdokumenten
Organisatorische Controls
Informationssicherheitspolitik
  • Formal genehmigt
  • Regelmäßig überprüft
  • An alle kommuniziert
Verantwortlichkeiten
  • Klar definierte Rollen
  • Aufgabentrennung
  • Management-Engagement
Informationsklassifizierung
Klassifizierungssystem
Schutzbedarf systematisch bestimmen
Kennzeichnung
Klare Markierung des Schutzbedarfs
Sicherer Transfer
Verschlüsselte Übertragungswege
Zugriffsmanagement
Identitätsmanagement
Eindeutige Benutzeridentifikation
Berechtigungsverwaltung
Rollen- und attributbasierte Zugriffsrechte
Authentifizierung
Multi-Faktor-Authentifizierung
Compliance-Management
Gesetzliche Anforderungen
  • Datenschutz (DSGVO)
  • Branchenspezifische Vorschriften
  • Kryptographie-Regulierungen
Nachweis der Einhaltung
  • Dokumentierte Verfahren
  • Unabhängige Überprüfungen
Human Resources Security
1
Vor Anstellung
Überprüfung von Qualifikationen und Hintergrund
2
Während Anstellung
Schulungen, Sensibilisierung, Disziplinarverfahren
3
Beendigung
Rückgabe von Assets, Entziehung von Zugriffsrechten
Schulung und Sensibilisierung
90%
Teilnahme
Dokumentierte Schulungsteilnahme aller Mitarbeiter
85%
Erfolgreich
Erfolgsquote bei Phishing-Simulationen
78%
Sicherheitsbewusstsein
Messergebnisse aus Umfragen
Meldung von Sicherheitsvorfällen
Klare Prozesse etablieren
  • Einfache Meldewege (E-Mail/Hotline)
  • Schulung zur Erkennung von Bedrohungen
  • Unterstützende Unternehmenskultur
Disziplinarverfahren
  • Eskalationsstufen definieren
  • Fairness und Konsistenz sicherstellen
Physische Sicherheit
Sicherheitsperimeter
Robuste physische Barrieren
Zugangskontrolle
Kartenleser, biometrische Systeme
Überwachung
CCTV, Wachpersonal
Technische Infrastruktur
Versorgungseinrichtungen
  • USV-Anlagen
  • Klimatisierung
  • Brandschutz
Wartung und Entsorgung
  • Präventive Wartungspläne
  • Sichere Datenträgervernichtung
  • Geräteentsorgungsprotokolle
Privilegierte Zugriffsrechte
1
Prinzip der geringsten Rechte
Nur notwendige Berechtigungen gewähren
2
Separate Konten
Unterscheidung zwischen Admin- und Standardkonten
3
Need-to-Know-Prinzip
Informationszugriff auf Arbeitsbedarf beschränken
Datenschutz und Datenintegrität
Datenverarbeitung
  • Sichere Löschverfahren
  • Datenmaskierung
  • Data Leakage Prevention
Datensicherung
  • Backup-Strategien
  • Wiederherstellungstests
  • Offsite-Speicherung
Protokollierung und Überwachung
Ereignisprotokollierung
Erfassung sicherheitsrelevanter Ereignisse
SIEM-Systeme
Zentrale Auswertung und Korrelation
Uhrzeitsynchronisation
Einheitliche Zeitbasis für Protokolle
Änderungsmanagement
Änderungsantrag
Formelle Dokumentation und Klassifizierung
Risikobewertung
Analyse potenzieller Auswirkungen
Genehmigung
Autorisierung durch Change Advisory Board
Implementierung
Kontrollierte Durchführung und Dokumentation
Statement of Applicability: Vorbereitung
1
Bewertung aller 93 Controls
Systematische Prüfung jeder Anforderung
2
Risikoverknüpfung
Verbindung zwischen Risiken und Controls herstellen
3
Nachweissammlung
Implementierungsbelege strukturiert sammeln
4
Management-Genehmigung
Formelle Abnahme des SoA durch die Führungsebene
Häufige Schwachstellen: Management-Review
Vollständigkeit sicherstellen
  • Jährliche Durchführung
  • Alle Aspekte aus Kapitel 9.3
  • Autorisiertes Protokoll
Inhalte des Reviews
  • Status von Maßnahmen
  • Informationssicherheitsleistung
  • Risikobewertungsergebnisse
  • Änderungen im Kontext
  • Verbesserungspotenziale
Häufige Schwachstellen: Dokumentenlenkung
Versionierung
Historie und aktueller Status erkennbar
Verantwortlichkeiten
Klare Zuständigkeiten für Erstellung und Freigabe
Verfügbarkeit
Leichter Zugriff für autorisierte Personen
Mock-Audit: Prozessfokus
Auswahl von 3-5 kritischen Geschäftsprozessen:
Identity & Access Management
Benutzerlebenszyklus und Berechtigungen prüfen
Change Management
Änderungsprozesse von Antrag bis Implementierung
Incident Response
Vorfallbehandlung von Erkennung bis Abschluss
Mock-Audit: Technische Controls
Benutzer- und Rechteverwaltung
Demonstrieren Sie den Prozess vom Anlegen bis zur Deaktivierung
Backup & Recovery
Zeigen Sie Sicherungsroutinen und Wiederherstellungstests
Netzwerksicherheit
Präsentieren Sie Segmentierung und Firewalls
Mock-Audit: Systemzugriff
Notwendige Zugänge vorbereiten
  • Dokumentenmanagementsystem
  • Monitoring-Tools
  • Identity Management System
  • Asset-Management
  • Ticketsystem
Lesezugriff für Auditoren einrichten
Audit-Vorbereitung: Checkliste
Pflichtdokumente finalisieren
Aktualität und Vollständigkeit sicherstellen
Statement of Applicability abgleichen
Status aller Controls überprüfen
Nachweisdokumente organisieren
Digitales Verzeichnis mit Suchfunktion
Infrastruktur vorbereiten
Besprechungsraum, Technik, Verpflegung
Am Audit-Tag
Selbstsicherheit
Transparenz und Kooperation zeigen
Organisation
Strukturierte Nachweise bereithalten
Dokumentation
Alle Auditor-Kommentare protokollieren
Erfolgsfaktoren für die Rezertifizierung
Management-Unterstützung
Sichtbares Engagement der Führungsebene
Mitarbeiterschulung
Regelmäßige Sensibilisierungsmaßnahmen
Interne Audits
Effektives internes Auditprogramm
Kontinuierliche Verbesserung
Nachverfolgung von Maßnahmen und Lessons Learned