ISO 27001 Gap-Analyse: Eine Schritt-für-Schritt-Anleitung

Einführung

Bevor Sie eine ISO 27001-Implementierung planen können, müssen Sie verstehen, wo Sie stehen. Eine Gap-Analyse ist der strukturierte Prozess, bei dem Ihre aktuellen Informationssicherheitspraktiken mit den Anforderungen von ISO 27001 verglichen werden.

Eine gut durchgeführte Gap-Analyse spart erheblich Zeit und Geld. Sie verhindert, dass Sie in Bereichen überinvestieren, die bereits konform sind, und stellt sicher, dass Sie Ressourcen dort einsetzen, wo es am wichtigsten ist.

Was ist eine ISO 27001 Gap-Analyse?

Eine Gap-Analyse vergleicht Ihre bestehenden Sicherheitskontrollen, Richtlinien und Prozesse mit den Anforderungen von ISO 27001:2022. Sie beantwortet drei Fragen:

Was haben Sie bereits? Identifizieren Sie vorhandene Richtlinien und technische Kontrollen.

Was fehlt oder ist unvollständig? Anforderungen, die teilweise oder gar nicht erfüllt werden — Ihre "Lücken".

Wie bedeutsam ist jede Lücke? Priorisieren Sie nach Risikoauswirkung und erforderlichem Aufwand.

Das Ergebnis ist ein strukturierter Bericht mit Konformitätsstatus: Konform / Teilweise Konform / Nicht Konform.

Schritt 1: Zuerst den Umfang definieren

Bevor Sie Lücken bewerten, definieren Sie, was in den Geltungsbereich fällt. Ein zu breiter Geltungsbereich macht die Gap-Analyse überwältigend. Ein zu enger kann dazu führen, dass die Zertifizierung die Kundenanforderungen nicht erfüllt.

Holen Sie die Genehmigung des Geltungsbereichs vom Senior Management ein, bevor Sie mit der Bewertung beginnen.

Schritt 2: ISO 27001-Anforderungen kartieren

ISO 27001:2022 hat zwei Teile:

Klauseln 4–10 (ISMS-Anforderungen): Verpflichtende Managementsystemanforderungen — keine Klausel kann ausgeschlossen werden.

Annex A-Kontrollen (93 Kontrollen in 4 Themen): Organisationen müssen alle 93 Kontrollen in ihrer Erklärung zur Anwendbarkeit (SoA) adressieren.

Erstellen Sie eine strukturierte Checkliste, die jede Klausel und Kontrolle abbildet.

Schritt 3: Aktuelle Sicherheitslage bewerten

Bewerten Sie jede Anforderung durch:

Dokumentenprüfung: Untersuchen Sie vorhandene Richtlinien und Nachweise.

Interviews: Sprechen Sie mit Prozessverantwortlichen über tatsächliche Praktiken.

Technische Inspektion: Überprüfen Sie Konfigurationen wichtiger Systeme.

Beobachtung: Gehen Sie physische Sicherheitsmaßnahmen durch.

Weisen Sie den Status zu: Konform, Teilweise Konform oder Nicht Konform.

Schritt 4: Lücken bewerten und priorisieren

Priorisieren Sie die Behebung anhand von:

Risikoauswirkung: Wie bedeutsam ist das Risiko, wenn diese Lücke offen bleibt?

Aufwand zur Behebung: Wie viel Zeit und Budget ist erforderlich?

Tragen Sie Lücken in einer 2×2-Matrix aus Auswirkung vs. Aufwand ein. Hohe Auswirkung, geringer Aufwand sofort angehen.

Ergebnisse in einen Projektplan umwandeln

Gap-Analyse-Ergebnisse sollten direkt in einen umsetzbaren Projektplan übersetzt werden mit:

Behebungsaufgaben: Spezifische Maßnahme für jede Lücke mit Verantwortlichen und Fristen.

Quick Wins: Maßnahmen, die in den ersten 30 Tagen abgeschlossen werden können.

Meilensteinverfolgung: Aufgaben in Projektphasen gruppieren.

Budgetimplikationen: Aufwandsschätzungen für eine realistische Ressourcenplanung nutzen.

Wichtige Erkenntnisse

Eine Gap-Analyse ist der wesentliche Ausgangspunkt für jede ISO 27001-Implementierung. Investieren Sie die nötige Zeit: 2–4 Wochen für kleine Organisationen, 4–8 Wochen für größere.