ISO/IEC 27001 ist die internationale Referenznorm für ein Informationssicherheits-Managementsystem (ISMS). Sie wird zunehmend von Auftraggebern verlangt, in Ausschreibungen, von Cyber-Versicherern oder für den Zugang zu bestimmten Exportmärkten. SYAGA begleitet Sie vom Gap-Assessment bis zur Vorbereitung auf das Zertifizierungsaudit.
ISO 27001 ist keine allgemeine gesetzliche Pflicht, wird aber zu einer unumgänglichen kommerziellen Voraussetzung
ISO/IEC 27001 bleibt ein freiwilliger Ansatz. Sie wird dennoch zunehmend in Ausschreibungen, von grossen Auftraggebern, von manchen Cyber-Versicherern oder als Voraussetzung für den Zugang zu bestimmten Exportmärkten verlangt.
Die Mehrheit der KMU und mittelständischen Unternehmen hat keinen strukturierten Ansatz für ein Informationssicherheits-Managementsystem eingeleitet. Das Thema wird als komplex, technisch und langwierig wahrgenommen.
Klassische Zertifizierungsprojekte binden Ihre Teams über mehrere Monate und stellen eine erhebliche Investition dar, die für ein KMU oft ausser Reichweite liegt.
Den CIO oder Sicherheitsverantwortlichen über Monate für den Aufbau eines ISMS zu binden, ist in einem KMU, in dem jeder bereits mehrere Rollen trägt, nicht tragfähig.
Ein strukturierter Ansatz in 3 Phasen, gestützt auf die gleiche Methodik, die SYAGA bereits bei PSSI-Express bewährt hat
Abstimmungsgespräch mit der Geschäftsführung und dem IT-Verantwortlichen, danach systematische Bewertung jeder der 93 Sicherheitsmassnahmen aus Anhang A (Ausgabe 2022), verteilt auf die 4 Themen organisatorisch, personell, physisch und technologisch. Übergabe eines sachlichen Abweichungsberichts.
Erstellung oder Aktualisierung der Sicherheitsrichtlinie (ISMS), der Erklärung zur Anwendbarkeit (SoA), die die Anwendung oder den Ausschluss jeder der 93 Massnahmen begründet, sowie eines priorisierten Massnahmenplans zur Behebung der in Phase 1 festgestellten Abweichungen.
Begleitung der Umsetzung des Massnahmenplans, Dokumentenprüfung und Vorbereitung Ihres Teams auf das Audit durch eine unabhängige akkreditierte Zertifizierungsstelle. SYAGA bereitet Sie auf das Audit vor; die Zertifizierung selbst wird von dieser externen Stelle ausgestellt.
Die strukturgebenden Dokumente des ISO 27001-Zertifizierungsdossiers
Sachliche Bewertung Ihres Konformitätsgrads gegenüber der Norm.
Zentrales normatives Dokument des ISO 27001-Zertifizierungsdossiers.
Das von den Kapiteln 4 bis 10 der Norm geforderte Governance-Dokument.
Der Fahrplan zur Behebung der festgestellten Abweichungen.
Von Ihren Teams direkt anwendbare Dokumente.
Alle Dokumente in Formaten, die Sie weiterentwickeln können.
Das ISO 27001-ISMS überschneidet sich naturgemäss mit mehreren Regelwerken
Zentrales Regelwerk: Kapitel 4 bis 10 (Management-Anforderungen) und Anhang A (93 Sicherheitsmassnahmen in 4 Themen).
Die von der NIS2-Richtlinie geforderten Cyber-Risikomanagementmassnahmen überschneiden sich weitgehend mit den Massnahmen aus Anhang A der ISO 27001. Ein ISO 27001-ISMS erleichtert betroffenen Einrichtungen die NIS2-Konformität.
Die Massnahmen des IT-Grundhygiene-Leitfadens der ANSSI (der französischen Cybersicherheitsbehörde) überschneiden sich erheblich mit den Massnahmen aus Anhang A der ISO 27001. Zuordnung im Massnahmenplan dokumentiert.
Die von Artikel 32 der DSGVO geforderten geeigneten technischen und organisatorischen Massnahmen stützen sich auf dieselben bewährten Verfahren wie Anhang A der ISO 27001 (Zugriffskontrolle, Verschlüsselung, Vorfallmanagement).
Jedes ISO 27001-Projekt wird nach Ihrem Geltungsbereich und Ihrer aktuellen Reife dimensioniert. Immer ein individuelles Angebot.
Momentaufnahme Ihrer Abweichungen
Vom Gap-Assessment bis zur Audit-Vorbereitung
Nach der Zertifizierung oder fortlaufend
Kontaktieren Sie uns für ein individuelles Angebot entsprechend Ihrem Geltungsbereich und Ihrer aktuellen Reife.