Onlineisms

Zeitrahmen & Aufwand

24

Wochen Gesamtdauer

~800

Personenstunden

50-250

Mitarbeiter (KMU)

1 📋 Phase 1: Vorbereitung und Grundlagen (4 Wochen)

1.1

Unternehmensstruktur aufbauen (Woche 1, ~11 Stunden)

•
Unternehmenseinstellungen vervollständigen (2 Stunden)
→ Stammdaten, Logo, Standort erfassen
•
Inventar-Gruppen definieren (1 Stunde)
→ Asset-Kategorien wie Server, Clients, Netzwerk anlegen
•
Abteilungen anlegen (1 Stunde)
→ Organisationsstruktur abbilden
•
Rollen erstellen (2 Stunden)
→ CISO, IT-Leiter, Abteilungsleiter definieren
•
Mitarbeiter erfassen (3 Stunden)
→ Alle relevanten Mitarbeiter mit Kontaktdaten
•
Benutzer anlegen und Berechtigungen vergeben (2 Stunden)
→ Systemzugriff für Verantwortliche einrichten

1.2

Anwendungsbereich definieren (Woche 2, ~18 Stunden)

•
ISMS-Dokumente: Scope-Dokument erstellen (8 Stunden)
→ Geltungsbereich des ISMS festlegen
•
Informationssicherheitsrichtlinie verfassen (8 Stunden)
→ Management-Commitment dokumentieren
•
BIA Settings konfigurieren (2 Stunden)
→ Schwellenwerte für Auswirkungsanalyse festlegen

1.3

Asset-Inventarisierung (Wochen 3-4, ~40 Stunden)

•
Inventarverwaltung: Alle IT-Assets erfassen (16 Stunden)
→ Server, Clients, Netzwerkgeräte dokumentieren
•
Technische Services dokumentieren (8 Stunden)
→ Email, Active Directory, Backup-Services erfassen
•
Geschäftsprozesse modellieren (16 Stunden)
→ Kritische Geschäftsprozesse identifizieren und dokumentieren

2 🔍 Phase 2: Risikoanalyse und -bewertung (4 Wochen)

2.1

Business Impact Analyse (Woche 5, ~30 Stunden)

•
Business Impact Analyse für alle Geschäftsprozesse (20 Stunden)
→ Auswirkungen auf Vertraulichkeit, Integrität, Verfügbarkeit bewerten
•
Kritikalität bewerten und dokumentieren (10 Stunden)
→ Prozesse priorisieren

2.2

Risikomanagement etablieren (Wochen 6-8, ~55 Stunden)

•
Risikomanagement: Risiken identifizieren (20 Stunden)
→ Systematische Risikoerhebung durchführen
•
Risikobewertung durchführen (15 Stunden)
→ Eintrittswahrscheinlichkeit und Auswirkung bewerten
•
Risikobehandlungspläne erstellen (15 Stunden)
→ Maßnahmen zur Risikominimierung definieren
•
Verantwortliche zuweisen (5 Stunden)
→ Risikobesitzer und Überwachungsintervalle festlegen

3 ⚙️ Phase 3: Control-Implementierung (8 Wochen)

3.1

Statement of Applicability erstellen (Woche 9, ~40 Stunden)

•
Erklärung zur Anwendbarkeit (SOA): Alle 93 Controls bewerten (20 Stunden)
→ Jeden Control auf Anwendbarkeit prüfen
•
Anwendbarkeit begründen (10 Stunden)
→ Dokumentierte Entscheidungen
•
Maßnahmen definieren (10 Stunden)
→ Konkrete Umsetzung pro Control

3.2

ISMS-Dokumentation erstellen (Wochen 10-12, ~90 Stunden)

•
ISMS-Dokumente: Alle Pflichtdokumente erstellen (40 Stunden)
→ Verfahrensanweisungen, Arbeitsanweisungen
•
Richtlinien für alle Abteilungen verfassen (30 Stunden)
→ IT-Sicherheit, Zutrittskontrolle, Clean-Desk etc.
•
Verfahrensanweisungen dokumentieren (20 Stunden)
→ Incident Management, Change Management etc.

3.3

Technische und organisatorische Maßnahmen (Wochen 13-16, ~110 Stunden)

•
Sicherheitsmaßnahmen implementieren (80 Stunden)
→ Firewall, Backup, Verschlüsselung, Zugriffskontrolle
•
Sicherheitsvorfallbericht etablieren (10 Stunden)
→ Prozess und Formulare einrichten
•
Notfallpläne erstellen (20 Stunden)
→ Business Continuity und Disaster Recovery

4 📊 Phase 4: Überwachung und Messung (4 Wochen)

4.1

KPI-System aufbauen (Woche 17, ~30 Stunden)

•
KPI Management: Kennzahlen definieren (15 Stunden)
→ Messbare Ziele für ISMS-Leistung
•
Messverfahren festlegen (10 Stunden)
→ Datenquellen und Erhebungsmethoden
•
Verantwortliche zuweisen (5 Stunden)
→ Wer misst was und wann

4.2

Internes Audit durchführen (Wochen 18-19, ~60 Stunden)

•
Audit-Bericht vorbereiten (10 Stunden)
→ Audit-Plan und Checklisten
•
Internes Audit durchführen (30 Stunden)
→ Alle Bereiche systematisch prüfen
•
Findings dokumentieren (10 Stunden)
→ Abweichungen und Verbesserungspotenziale
•
Korrekturmaßnahmen einleiten (10 Stunden)
→ Maßnahmenplan mit Terminen

4.3

Management Review (Woche 20, ~16 Stunden)

•
Management Review durchführen (8 Stunden)
→ ISMS-Leistung bewerten
•
Verbesserungsmaßnahmen beschließen (4 Stunden)
→ Strategische Entscheidungen
•
Ressourcen zuweisen (4 Stunden)
→ Budget und Personal planen

5 🏆 Phase 5: Zertifizierungsvorbereitung (4 Wochen)

5.1 Finale Dokumentenprüfung Woche 21

• Vollständigkeitsprüfung (20h)
• Nachweise sammeln (15h)
• Dokumentenmappe (5h)

5.2 Stage 1 Audit Woche 22

• Dokumentenprüfung
• Gap-Analyse
• Nachbesserungen

5.3 Stage 2 Audit Wochen 23-24

• Vor-Ort-Prüfung
• Mitarbeiter-Interviews
• Findings bearbeiten

💡 Kritische Erfolgsfaktoren

✓

Management-Commitment:

Geschäftsführung muss das Projekt aktiv unterstützen

✓

Dedizierte Ressourcen:

Mindestens 50% Stelle für ISMS-Verantwortlichen

✓

Kontinuität:

3-6 Monate Betrieb vor Zertifizierung nachweisen

✓

Dokumentation:

Lückenlose Nachweise führen

🚀 Quick-Wins für schnelle Fortschritte

1

Woche 1: Komplette Organisationsstruktur im System abbilden

2

Woche 2: Scope und IS-Richtlinie vom Management absegnen lassen

3

Woche 4: Asset-Inventar vollständig → erste Risikoanalysen möglich

4

Woche 8: Top-10-Risiken identifiziert und Maßnahmen definiert

5

Woche 12: Kernrichtlinien veröffentlicht und kommuniziert

6

Woche 16: Erste KPIs definiert und Baseline gemessen

7

Woche 20: Internes Audit abgeschlossen

📅 Meilenstein-Übersicht

Meilenstein	Zieltermin	Erfolgskriterium
Organisationsstruktur komplett	Ende Woche 1	Alle Benutzer haben Zugriff
Asset-Inventar vollständig	Ende Woche 4	95% aller Assets erfasst
Risikoanalyse abgeschlossen	Ende Woche 8	Alle High-Risks behandelt
SOA fertiggestellt	Ende Woche 9	Alle 93 Controls bewertet
Dokumentation komplett	Ende Woche 12	Alle Pflichtdokumente vorhanden
Internes Audit durchgeführt	Ende Woche 19	Keine Major Findings offen
Bereit für Zertifizierung	Ende Woche 21	Alle Nachweise vorhanden

ISO 27001 Zertifizierungsfahrplan