Beschreibung¶
Ein Self-Assessment (Selbsteinschätzung) im Modul 04 - Compliance hilft dabei sicherzustellen, dass alle Anforderungen aus der Norm für Informationssicherheitsmanagement (ISO/IEC 27001) erfüllt werden und die stetige Verbesserung messbar zu machen.
Außerdem kann die Selbsteinschätzung im Rahmen eines Zertifizierungsaudits als eigener Leitfaden und Dokumentation von Nachweisen genutzt werden.
Das jährliches Self-Assessment sollte in das Auditprogramm mit aufgenommen werden, da auch hier eine interne Prüfung stattfindet.
Hinweis: Das hier dargestellte Self-Assessment stellt den Anhang A der Norm in den Fokus, da hier die verschiedenen Themenfelder der Norm mit konkreten Anforderungen enthalten sind. Ein Self-Assessment kann genauso für die Kapitel 4-10 der Norm durchgeführt werden, die entsprechenden Kapitel befinden sich ebenfalls im Compliance-Modul.
Vorgehen¶
| Aktivität | Beschreibung | Anmerkung | |
|---|---|---|---|
| 1 | Bewertung des Anhang A | Alle Controls im Anhang A, welche auf den Untersuchungsbereich des ISMS Anwendung finden, werden im Rahmen des Self-Assessments einmal im Jahr bewertet und aktualisiert. Mindestens sollte der Reifegrad und das Feld "Beschreibung der Umsetzung" ausgefüllt werden. Nach Möglichkeit sollten zudem Nachweise und Maßnahmen in Verbindung mit der Bewertung angegeben bzw. verlinkt werden. | Das Pflegen von Nachweisen je Control erleichtert die Bewertung im nächsten Jahr. Darüber hinaus helfen Nachweise als Gedankenstütze in einem externen Audit. Eine detaillierte Anleitung zum Bewerten der Controls findet sich auf der Übersichtsseite des Moduls 04 - Compliance. Der Reifegrad wird in einem separaten HowTo erklärt, siehe Hilfe: Reifegrad |
| 2 | Ggf.: Abwahl von Kapiteln aus dem Anhang A | Soll ein Kapitel aus dem Anhang A keine Anwendung finden, sollte das Control in der Anwendbarkeitserklärung abgewählt werden und entsprechend ein Abwahlgrund genannt werden. Um die Abwahl von Controls im Self-Assessment zum Anhang A (ISO/IEC 27001:2022(D) Anhang A) sichtbar zu machen, wird im Feld Reifegrad ein "na" eingegeben. Das kennzeichnet, dass das entsprechende Control "nicht anwendbar" ist. | In der Regel werden Kapitel nur abgewählt, wenn diese im Unternehmen keine Anwendung finden. Beispielsweise können die Kapitel rund um Softwareentwicklung abgewählt werden, insofern keine Softwareentwicklung vorgenommen wird. Eine detaillierte Anleitung zur Anwendbarkeitserklärung findet sich auf der Übersichtsseite des Moduls 04 - Compliance. |
| 3 | Auswerten des Self-Assessments | Auf der Übersichtsseite ISO/IEC 27001:2022(D) Anhang A können in der Tabelle alle Controls sowie deren Bewertung eingesehen werden. Mittels Excel Auswertungs-Tool, zu finden auf der Übersichtsseite des Moduls, können außerdem die durchschnittlichen Reifegrade je Kapitel ermittelt werden. Zudem können damit Grafiken wie Spinnendiagramme zur Auswertung des Self-Assessments erstellt werden. | Tipp: Der durchschnittliche Reifegrad kann auch gut verwendet werden, um Ziele sowie Kennzahlen zu messen. |
| 4 | Reporting des Self-Assessments | Die Ergebnisse vom Self-Assessment fließen automatisch in die 07 - Managementbewertung. Zudem können die mittels Excel-Tool erstellen Grafiken (Schritt 3.) in die Managementbewertung aufgenommen werden. | Das Spinnendiagramm macht sich im Managementbericht immer gut. |
Linksammlung¶
| Bezeichnung | Beschreibung | Pfad/Link | Anmerkung |
|---|---|---|---|
| Compliance Modul | Im Compliance Modul findet das Self-Assessment statt. | Link | Auf der Übersichtsseite zum Modul wird u.a. erklärt, wie die Bewertung von Controls durchgeführt wird. |
| Reifegrad | Der Reifegrad beschreibt die Umsetzungreife der einzelnen Controls der Norm. | Link | |
| Anwendbarkeitserklärung | Die Anwendbarkeitserklärung dient u.a. dazu, Controls abzuwählen. | Link | Abgewählte Controls müssen im Rahmen des Self-Assessments nicht bewertet werden. |
| Auditprogramm | Self-Assessments sollten ins Auditprogramm aufgenommen werden. | Link |
\
Wo finde ich was?
Seiteninhalt
Änderungshistorie¶
| Datum | Autor | Änderung |
|---|---|---|
| 2026-02-15 | Visitrans | Execute SPEC-02: YAML frontmatter for 646 files, link conversion, validation |
| 2026-02-15 | Visitrans | Fix table conversion: colspan expansion, header promotion, line breaks |
| 2026-02-14 | Visitrans | Execute SPEC-01: Bulk-Export 646 Confluence pages to Obsidian vault |