Notivia - IT-Beratung, die mehr schafft – Sicherheit, Effizienz und Fortschritt.

Mon - Fr : 8:00-18:00

ISO 27001 Schnellcheck

ISO 27001 Schnellcheck

Wie nah sind Sie an ISO 27001?

20 Fragen, 5 Kategorien, 5 Minuten. Finden Sie heraus, wo Ihr Unternehmen in Sachen Informationssicherheit steht -- und wo die größten Lücken liegen.

ca. 5 Minuten 20 Fragen Sofort-Ergebnis
0/20 beantwortet
Punkte: 0/40
Organisation & Führung
Informationssicherheit beginnt in der Geschäftsführung, nicht in der IT-Abteilung.
1
Hat die Geschäftsführung sich klar zur Informationssicherheit bekannt und unterstützt das Thema aktiv?
Klausel 5.1
Warum wichtig

ISO 27001 verlangt ausdrücklich, dass die oberste Leitung Führung und Verpflichtung in Bezug auf das ISMS zeigt. Ohne aktive Unterstützung fehlen Budget, Autorität und Durchsetzungskraft.

Tipp: Bereiten Sie eine kurze Präsentation (max. 10 Folien) für Ihre Geschäftsführung vor, die den geschäftlichen Nutzen von ISO 27001 darstellt.
2
Gibt es eine benannte Person (intern oder extern), die für Informationssicherheit verantwortlich ist?
Klausel 5.3
Warum wichtig

Der ISB ist die zentrale Koordinationsstelle für alle ISMS-Aktivitäten. Ohne einen klaren Ansprechpartner versanden Maßnahmen.

Tipp: Bestimmen Sie eine Person, die das Thema zunächst in Teilzeit übernimmt. Alternativ kann ein externer ISB diese Rolle übernehmen.
3
Sind Rollen und Verantwortlichkeiten im Bereich IT-Sicherheit klar definiert?
Klausel 5.3
Warum wichtig

Wenn unklar ist, wer für Backups, Zugriffsrechte oder Vorfallbehandlung zuständig ist, entstehen gefährliche Lücken.

Tipp: Erstellen Sie eine einfache RACI-Matrix für die wichtigsten IT-Sicherheitsaufgaben.
4
Gibt es ein dediziertes Budget für Informationssicherheit?
Klausel 7.1
Warum wichtig

Ohne Budget bleiben Sicherheitsmaßnahmen Lippenbekenntnisse. Ein separates Budget macht Informationssicherheit planbar.

Tipp: Ermitteln Sie Ihre aktuellen Ausgaben für IT-Sicherheit und fassen Sie diese in einem eigenen Budgetposten zusammen. Branchenüblich sind 5-15 % des IT-Budgets.
Risikomanagement
Das Herzstück von ISO 27001. Ohne systematisches Risikoverständnis keine wirksamen Schutzmaßnahmen.
5
Wissen Sie, welche Informationswerte (Assets) in Ihrem Unternehmen besonders schützenswert sind?
Control A.5.9
Warum wichtig

Bevor Sie etwas schützen können, müssen Sie wissen, was Sie schützen. Dazu gehören nicht nur Server und Laptops, sondern auch Datenbanken, Verträge, Know-how und Kundendaten.

Tipp: Beginnen Sie mit einer einfachen Liste: Welche 10 Informationswerte wären für Ihr Unternehmen am schmerzhaftesten zu verlieren?
6
Führen Sie regelmäßige Risikoanalysen durch?
Klausel 6.1.2
Warum wichtig

Eine Risikoanalyse identifiziert Bedrohungen, bewertet deren Eintrittswahrscheinlichkeit und potenzielle Auswirkungen und bildet die Grundlage für alle weiteren Sicherheitsmaßnahmen.

Tipp: Starten Sie mit einer einfachen Risikotabelle: Asset | Bedrohung | Eintrittswahrscheinlichkeit (1-5) | Auswirkung (1-5) | Risikostufe.
7
Gibt es dokumentierte Maßnahmen zur Risikominimierung?
Klausel 6.1.3
Warum wichtig

Es reicht nicht, Risiken zu kennen -- Sie müssen entscheiden, wie Sie mit ihnen umgehen: vermeiden, vermindern, übertragen oder akzeptieren.

Tipp: Ergänzen Sie Ihre Risikotabelle um eine Spalte "Maßnahme" und eine Spalte "Verantwortlich".
8
Werden Risiken regelmäßig neu bewertet und aktualisiert?
Klausel 6.1.2
Warum wichtig

Risiken verändern sich ständig -- neue Bedrohungen entstehen, Systeme ändern sich, Mitarbeiter wechseln.

Tipp: Setzen Sie einen festen Termin (z.B. quartalsweise) im Kalender, um Ihre Risikoliste zu überprüfen.
Richtlinien & Dokumentation
Nur was dokumentiert ist, lässt sich überprüfen, verbessern und im Audit nachweisen.
9
Haben Sie eine schriftliche Informationssicherheitsleitlinie?
Klausel 5.2
Warum wichtig

Die Informationssicherheitsleitlinie ist das zentrale Dokument Ihres ISMS. Sie bildet den Rahmen für alle weiteren Richtlinien.

Tipp: Erstellen Sie ein 1-2-seitiges Dokument mit: Geltungsbereich, Ziele der Informationssicherheit, Verantwortlichkeiten, Verpflichtung zur Einhaltung gesetzlicher Anforderungen.
10
Existieren dokumentierte Prozesse für Zugriffskontrolle, Passwortmanagement und Datensicherung?
Controls A.5.15, A.5.17, A.8.13
Warum wichtig

Ohne dokumentierte Prozesse handeln Mitarbeiter nach Gutdünken -- das führt zu inkonsistenten und oft unsicheren Praktiken.

Tipp: Beginnen Sie mit den drei kritischsten Dokumenten: Zugriffskontrollrichtlinie, Passwortrichtlinie und Backup-Konzept.
11
Gibt es einen dokumentierten Umgang mit Sicherheitsvorfällen (Incident Response)?
Control A.5.24
Warum wichtig

Wenn ein Vorfall eintritt, ist keine Zeit für Improvisation. Ein dokumentierter Prozess stellt sicher, dass richtig und schnell reagiert wird.

Tipp: Definieren Sie: Was ist ein Sicherheitsvorfall? An wen wird gemeldet? Welche Sofortmaßnahmen? Wer entscheidet über weitere Schritte? Max. 2 Seiten genügen.
12
Sind Ihre Richtlinien den Mitarbeitern bekannt und zugänglich?
Klausel 7.3
Warum wichtig

Die beste Richtlinie nützt nichts, wenn sie im Aktenschrank verstaubt. Mitarbeiter müssen wissen, welche Regeln gelten und wo sie diese finden.

Tipp: Richten Sie eine zentrale Ablage (Intranet, SharePoint, Wiki) ein. Lassen Sie neue Mitarbeiter die Kenntnisnahme schriftlich bestätigen.
Technische Maßnahmen
Ohne solide technische Grundlagen ist Informationssicherheit nicht erreichbar.
13
Haben Sie ein strukturiertes Zugriffsmanagement (wer darf auf was zugreifen)?
Control A.5.15
Warum wichtig

Das Prinzip der geringsten Berechtigung (Least Privilege) stellt sicher, dass jeder nur die Zugriffsrechte hat, die er für seine Arbeit benötigt.

Tipp: Erstellen Sie eine Übersicht Ihrer wichtigsten Systeme und prüfen Sie: Wer hat Zugriff? Ist der Zugriff noch berechtigt? Gibt es geteilte Admin-Konten?
14
Werden regelmäßig Datensicherungen durchgeführt und getestet?
Control A.8.13
Warum wichtig

Backups, die nie getestet wurden, sind im Ernstfall wertlos. Erst ein erfolgreicher Restore-Test beweist, dass Ihre Datensicherung funktioniert.

Tipp: Führen Sie einen Restore-Test durch: Wählen Sie eine Datei oder Datenbank und stellen Sie diese aus dem Backup wieder her. Planen Sie solche Tests mindestens quartalsweise.
15
Sind Ihre Systeme und Netzwerke durch Firewalls, Verschlüsselung und aktuelle Patches geschützt?
Controls A.8.7, A.8.8, A.8.24
Warum wichtig

Veraltete Software mit bekannten Schwachstellen ist eines der häufigsten Einfallstore für Angreifer.

Tipp: Prüfen Sie, ob automatische Updates für alle Betriebssysteme und Anwendungen aktiviert sind. Erstellen Sie eine Liste aller Software und deren Versionsstand.
16
Gibt es ein Verfahren für den sicheren Umgang mit mobilen Geräten und Remote-Arbeit?
Control A.6.7
Warum wichtig

Seit der Zunahme von Homeoffice und mobilem Arbeiten ist dies ein kritischer Bereich. Ungesicherte Geräte oder offene WLANs können zum Einfallstor für Angriffe werden.

Tipp: Definieren Sie Mindestanforderungen: VPN-Pflicht, Geräteverschlüsselung, Bildschirmsperre, keine Nutzung öffentlicher WLANs ohne VPN.
Kontinuierliche Verbesserung
ISO 27001 ist kein Projekt mit Enddatum -- es ist ein fortlaufender Prozess.
17
Gibt es regelmäßige Schulungen oder Sensibilisierungsmaßnahmen für Mitarbeiter zum Thema IT-Sicherheit?
Klausel 7.2/7.3
Warum wichtig

Der Mensch ist das häufigste Einfallstor -- Phishing, Social Engineering, unsichere Passwörter. Regelmäßige Awareness-Maßnahmen sind der wirksamste Schutz.

Tipp: Starten Sie mit einer jährlichen Schulung (auch als Online-Kurs möglich) und ergänzen Sie diese durch monatliche Kurzhinweise per E-Mail.
18
Führen Sie interne Audits oder Sicherheitsüberprüfungen durch?
Klausel 9.2
Warum wichtig

Interne Audits sind ein Pflichtbestandteil von ISO 27001. Sie prüfen, ob Ihr ISMS so funktioniert wie geplant -- und decken Schwachstellen auf, bevor es ein externer Auditor tut.

Tipp: Planen Sie mindestens ein internes Audit pro Jahr. Dies kann auch durch einen externen Berater durchgeführt werden.
19
Gibt es einen Prozess für die systematische Behandlung von Abweichungen und Verbesserungspotentialen?
Klausel 10.1
Warum wichtig

Fehler und Abweichungen sind normal. Entscheidend ist, ob Sie systematisch daraus lernen. ISO 27001 verlangt einen dokumentierten Prozess für Korrekturmaßnahmen.

Tipp: Führen Sie ein einfaches Register: Was ist passiert? Was war die Ursache? Welche Maßnahme wurde ergriffen? Wurde die Wirksamkeit überprüft?
20
Überprüft die Geschäftsführung regelmäßig die Wirksamkeit des ISMS (Management Review)?
Klausel 9.3
Warum wichtig

Das Management Review ist Pflicht und schließt den PDCA-Zyklus. Es stellt sicher, dass das ISMS auf strategischer Ebene gesteuert wird -- nicht nur auf operativer.

Tipp: Planen Sie ein jährliches Management Review Meeting mit der Geschäftsführung. Agenda: ISMS-Status, Audit-Ergebnisse, Risiken, Kennzahlen, Verbesserungsmaßnahmen.
Ihr Ergebnis

ISO 27001 Schnellcheck Auswertung

0
von 40
0%

Organisation & Führung
0/8
Risikomanagement
0/8
Richtlinien & Dokumentation
0/8
Technische Maßnahmen
0/8
Kontinuierliche Verbesserung
0/8
NIS2 Hinweis
Wussten Sie? Seit Januar 2025 ist NIS2 in Kraft. Viele dieser Anforderungen überschneiden sich mit ISO 27001. Wenn Ihr Unternehmen unter NIS2 fällt, ist die ISO 27001 Zertifizierung der effizienteste Weg zur Compliance.
Ergebnis per E-Mail erhalten (optional)
Kostenloses Erstgespräch vereinbaren → Mehr zu ISO 27001 →
w

Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor