ISMS - der Weg zur ISO27001-Zertifizierung• Die SAS Checklist • Gründe für eine ISO 27001 Zertifizierung. ... ISO/IEC 27001 (ISMS), ISO/IEC 20000-1 (IT Service Management) •
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Juni2007 ISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
• Zertifikatsinhaber 8‘527 Unternehmungen und Organisationenwovon 2‘496 ausserhalb der Schweiz
Mitgliedschaft International Certification Networkbestehend aus 37 Partnerorganisationen,die zusammen rund einen Drittel allerweltweit gültigen Zertifikate erteilt haben
• weitere Informationen www.sqs.ch
Juni2007 ISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Was ist ein Information Security Management System?
Ein Information Security Management System (ISMS) ist einsystematischer Ansatz sensitive Unternehmensinformationen so zuverwalten, dass sie sicher bleiben.
• Dokumentationserfordernisse und Steuerung von Dokumenten undAufzeichnungen, einschliesslich: ISMS Richtlinien, ISMS Bereich ,Verfahren und Prozesse, Risikobeurteilungsmethodologie,Anwendbarkeitserklärung (bezüglich Anhang A)
Plan (errichten des ISMS) Einführen von ISMS Richtlinien, Ziele, Prozesse und Verfahren,die für die Steuerung der Risiken und für die Verbesserung derInformationssicherheit relevant sind.
Do (umsetzen undanwenden des ISMS)
Umsetzen und Anwenden der ISMS Richtlinien, Kontrollen,Prozesse und Verfahren.
Check (überwachen undüberprüfen des ISMS)
Beurteilen und, wo anwendbar, Messen der Prozessleistungenbezüglich der ISMS Richtlinien, der Ziele und den praktischenErfahrungen. Die Ergebnisse werden rapportiert.
Act (aufrechterhalten undverbessern des ISMS)
Umsetzen von fehlerbehebenden und präventiven Massnahmenals Resultat aus den internen Audits, den Management Reviewsoder anderen Quellen mit dem Ziel das ISMS kontinuierlich zuverbessern.
Klärt und verbessert vorhandenen PDCA Prozessanforderungen– ISMS Geltungsbereich (inkl. Details & Begründung der Ausschlüsse)– Ansatz zur Risikobeurteilung (um vergleichbare und reproduzierbare
Ergebnisse zu produzieren)– Auswahl der Kontrollen (Kriterien um Risiken zu akzeptieren)– Anwendbarkeitserklärung (Statement of applicability)– Risikoüberprüfung– Managementverpflichtung (Commitment)– Interne ISMS Audits– Ergebnisse der Wirksamkeit und Messungen– Aktualisierte Risikobehandlungspläne, Verfahren und Kontrollen
A Control objectives and controlsA.5 Security policyA.6 Organization of information securityA.7 Asset managementA.8 Human resources securityA.9 Physical and environmental securityA.10 Communications and operations
managementA.11 Access controlA.12 Information systems acquisition,
development and maintenanceA.13 Information security incident
managementA.14 Business continuity managementA.15 Compliance
• Das Zertifizierungsaudit erfolgt nach dem gleichen Vorgehen wie beieiner normalen ISO 9001:2000-Zertifizierung. Die Auditzeit wird jenach Komplexität der Unternehmung mit Faktor 1.5 bis 2 berechnet.
• Für eine optimale Vorbereitung werden alle relevanten Dokumenteder Unternehmung benötigt, sicher aber Managementsystem,IS-Politik, IS-Konzept.
• Hilfsmittel zum Audit sind die Checkliste der SQS ISO/IEC27001:2005 und das Auditprogramm.
• Auditbericht / Antragsstellung / Zertifikatdruck.• Aufrechterhaltung über ein jährliches Aufrechterhaltungsaudit und
dreijährliche Wiederholaudits.
Juni2007 ISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Erläuterungen zum Dokument:• “Statement of applicability”: Hinweis, dass das verlangte Verfahren typischerweise
in vielen Unternehmen nicht anwendbar ist, und der Auditor daher besonderssorgfältig die Anwendbarkeit abklären muss.
• “organisatorische/technische Kontrolle”: Organisatorische Kontrollen lassen sichdurch Studium entsprechender Prozessbeschreibungen, Befragung, Beobachtungoder Inspektion überprüfen. Bei technischen Kontrollen besteht oftmals dieMöglichkeit, „an der Konsole“ die Wirksamkeit der Kontrolle zu überprüfen.
• “Visuelle Inspektion”: Bedingt typischerweise eine visuelle Inspektion.• “Konsolprüfung”: direkte Prüftätigkeit an der Maschine durch entsprechende
• Die Zertifizierung von Informationssicherheits-Managementsystemenbewirkt:– die systematische Umsetzung der Sicherheitspolitik,– ein unternehmensweites Risikomanagement betreffend Sicherheit,– die wirksame Überwachung und ständige Verbesserung der
Informationssicherheit,– den Einbezug der relevanten gesetzlichen und vertraglichen Grundlagen wie
z.B. das Datenschutzgesetz, die Geschäftsbücherverordnung (OR),Urheberrechte, Geheimhaltungspflichten (Arztgeheimnis, Fernmeldegeheimnis,Bankgeheimnis), Bestimmungen der Eidg. Bankenkommission (z.B. dasRundschreiben für Outsourcing), Basler Eigenkapitalvereinbarung Basel II,Banken- und Versicherungsgesetz, Entsorgungsverordnung VREG, etc.,
– die Umsetzung ganzheitlicher Methoden (nicht nur technische, auchorganisatorische),
– die Vertrauensförderung im Kontakt mit Kunden, öffentlichen Organisationensowie im E-Business Bereich.