ISO 27001 Gap Analyse

Mangelnde Informationssicherheit führt zu Datenpannen und Umweltschäden

Die Erstellung von ISMS Unterlagen erfordert viel Zeit. Dabei können wichtige Aspekte übersehen werden. Mit zunehmender Komplexität wird eine ISO27001 Dokumentation immer massiver in Quantität und Vielfältigkeit. Hier hilft es eine ISO27001 Gap Analyse durchzuführen. Diese dient dazu Inkonsistenten im Management System zu identifizieren. Dabei sollen die dokumentarischen Problemzonen erkannt werden, damit diese Lücken schneller und zielgerichtet behoben werden. Ohne eine Gap Analyse läuft man ggf. Gefahr im Zertifizierungsaudit zu scheitern. Bei sehr einfachen Geschäftsmodellen sollte das ISMS nicht übermäßig komplex ausfallen, so dass eine Gap Analyse nicht unbedingt erforderlich ist. Wer aber eigenständig ohne Berater sein ISMS erstellt hat, sollte es nicht riskieren ohne Gap Analyse die Dokumentation einer Zertifizierungsstelle einzureichen.

Was ist eine Gap Analyse?

Eine Gap Analyse wird gerne fälschlicherweise auch als „internes Audit“ bezeichnet. Bei dieser Analyse wird das Sicherheitsniveaus auf Basis der Dokumentation analysiert. Dabei berücksichtigt man die Anforderungen der jeweiligen Norm (z.B. ISO27001:2022, TISAX, ISO9001, ISO14001). Auf Basis des normspezifischen Anforderungskatalogs werden alle Dokumente inkl. der Unternehmensnachweise untersucht. Die identifizierten Lücken (=Gap) müssen dann vor dem Zertifizierungsaudit behoben werden. Entgegen mancher Behauptung ist eine Gap Analyse jedoch keine von der Norm geforderte Maßnahme. Daher kann man auch ohne GAP Analyse ein Audit der Zertifizierungsstelle beantragen und erfolgreich durchführen. Dennoch wird man durch diese Gap Analysen besser auf den Audittermin vorbereitet sein. Je weniger Lücken ein Auditor identifiziert, desto schneller kann man die noch offenen Punkte abbauen und zu seinem Zertifikat gelangen. Existieren zu viele offensichtliche Lücken kann die Zertifizierungsstelle bei der Vorkontrolle ein Audit ablehnen.

Die Auditoren bezeichnen Schwachstellen in der Dokumentation als Nicht-Konformitäten (Englisch: Non Conformities). Dabei unterscheidet man zwischen kleinen Abweichungen (Minor Non Conformity) und großen Abweichungen (Major Non Conformity). Kleine Abweichungen stellen kein Risiko dar, im Audit zu scheitern. Sammeln sich aber zu viele solcher kleinen Abweichungen können diese zu eine großen Abweichung sich entwickeln. Große Abweichungen verhindern die Zertifizierungsstelle ein Zertifikat auszustellen. Erst wenn die Organisation alle ihre großen Problemzonen behoben und dessen Konformität nachgewiesen hat, kann die Zertifizierungsstelle das ISO27001 Zertifikat ausstellen.

Zusätzlich liefert die Gap Analyse eines ISMS eine Reihen an Verbesserungsvorschlägen. Es identifiziert Bereiche in der man mit Verbesserungen  („areas of improvement“) die Umsetzbarkeit im betrieblichen Alltag erleichtern kann.

Im folgenden Video werden Sie mehr über Gap Analysen und deren Effekt auf die Informationssicherheit erfahren:

Was erkennt eine Gap Analyse?

Eine Gap Analyse erkennt neben Inkonsistenzen auch Probleme in den verfügbaren Ressourcen und operativen Nachweisen.

Der Aufbau eines QMS oder ISMS ist zum teil ein kreativer Prozess

Die GAP Analyse wirkt ähnlich dem Zwischenzeugnis in der Schule, denn so erfährt man den erreichten Reifegrad der organisatorischen, technischen und personellen Maßnahmen. Manche Unternehmen glauben, dass man sich aus dem Internet eine ISO 27001 Dokumentenvorlage für 200€ kauft und dann ein Zertifizierungsaudit erfolgreich übersteht. Die Realität holt diese Unternehmen schnell ein: Erfahrene Auditoren erkennen sehr schnell eine 08/15 Vorlage ohne Bezug auf das Geschäftsmodell. In so einem Fall scheitert das Audit schon zu Beginn der Stufe 1. 

Wie bereits erwähnt, unterstützt die Gap-Analyse bei der Einhaltung der ISO27001 Anforderungen.Hier ein paar Beispiele was diese Untersuchung erkennen kann:
  • Fehlende Implementierung von erforderlichen Sicherheitsmaßnahmen
  • Fehlender Bezug von Sicherheitsmaßnahmen auf das Unternehmen
  • Verbesserungsbedarf bei der Formulierung von Sicherheitsmaßnahmen
  • Fehlende oder unvollständige Mitarbeiterunterweisung
  • Lückenhafte Schulungspläne und ggf. ungeeignete Awareness Trainings
  • Fehlende Managementbewertungen oder interne Audits
  • Unvollständige oder fehlende Notfallpläne
  • Lückenhafte Risikobewertung
  • Inkonsistenzen in Bezug auf Anwendbarkeit & Scope
Eine Gap-Analyse kann Informationssicherheitsrisiken identifizieren und geeignete Gegenmaßnahmen anfordern. Die Ergebnisse der Gap Analyse stellen einen Messwert der organisatorischen Sicherheit dar. Ziel der Organisation sollte es sein, ein hohes Sicherheitsniveau im Unternehmen sicher zu stellen.

Wie verbessert man sein Management System?

Man muss systematisch durch sein ISMS durchgehen. Am besten, man druckt alles aus und liest es Schritt für Schritt durch. Dabei markiert man mit 3 unterschiedlichen Markern (Rot, Orange/Gelb, Grün/Blau) Textstellen, die eventuell verbessert werden müssen oder gut sind aber durch eine Ergänzung eine erhebliche Nachhaltigkeit in der betrieblichen Praxis erreichen können. Natürlich muss man Tippfehler, Grammatik und Satzbau genauso wie in der Schule durchforsten. Dabei darf man das selbst nicht zu oft wiederholen, denn man beginnt schnell fehlerhafte Inhalte zu überlesen. Hier hilft es eine zweite Person den Text durchlesen zu lassen.

Checkliste für ISO 27001 Zertifizierung

Um systematisch vorzugehen, verwendet man Checklisten für jeden Bereich der Dokumentation. Dabei hilft es auch die Norm zur Hand zu haben. Der Beuth Verlag ist in Deutschland für die Veröffentlichung der Normdokumentation zur ISO27001 zuständig. Die englisch-sprachige Normdokumentation kostet ca. 130 EUR (zzgl. MwSt.) und kann zusammen mit Kommentaren beim Beuth Verlag online gekauft werden. Dadurch kann man einzelne Dinge nachlesen. Dennoch ist dieses Dokument nicht das einzige Kriterium für die Erstellung eines ISMS.

Wie kann mehr über die ISO 27001 Zertifizierung erfahren?

Auf dieser Website finden Sie mehrere Videos, die den Ablauf eines ISO 27001 Projekts als auch der Zertifizierung (Audit, Zertifizierungsstelle, erläutern. Diese geben Ihnen einen schnellen Einblick auf was zu achten wäre. Wenn man aber mehr Informationen haben möchte, kann man auf das englisch-sprachige ISO 27001 Buch unseres Unternehmensgründers zurückgreifen: ISBN: 979-8865141501, Buchtitel: „Information Security based on ISO 27001 Strategies: A Leadership Introduction to Information Security“ – erhältlich auch bei Amazon. Das buch erklärt kurz und knapp was man tun muss, um sein Unternehmen auf die ISO 27001 Zertifizierung vorzubereiten und wie man auch Widerstände in der eigenen Organisation vermeidet. 

Alternativ können Sie an einen unserer VortragsreihenWorkshops oder Online Kurse teilnehmen. Diese Veranstaltungen finden monatlich bzw. quartalsweise in Deutsch oder Englisch statt. Die Referenten sind dabei erfahrene Lead Auditoren die für verschiedene Zertifizierungsstellen in Deutschland, USA, Türkei, Niederlande, Polen und Großbritannien tätig sind. Die Workshops richten sich an Vorstände, Projektleiter, Implementierer und Interne Auditoren. Die Online Kurse hingegen sind einerseits für angehende Implementierungsexperten und als Mitarbeiterunterweisung verfügbar. Die ISO 27001 Implementierungskurse sind weitgehend in englisch, da Personen aus mehreren Ländern teilnehmen. Mitarbeiterunterweisung sind für Mitarbeiter, die mit Personen bezogenen Daten oder anderen gefährdeten Daten in ihrer täglichen Arbeit zu tun haben.

Kann eine ISO 27001 GAP Analyse auch bei anderen Audits helfen?

Jede norm ist anders. Daher muss man eine Gap Analyse passend zu der jeweiligen Norm durchführen. Sie können solche Zustandsprüfungen auch als Vorbereitung auf einen anstehenden Lieferantenaudit verwenden. Neben solchen Soll/Ist Kontrollen stehen auch Checklisten zur Verfügung. Wir nutzen spezielle QM bezogenen GAP Analysen für die Prüfung von Qualitätsmanagementsystemen. Die haben sich immer wieder gut bewährt. Deshalb ist das auch für ein neues ISMS nach 12 Monaten ein besonders gutes Optimierungsverfahren.