ISO/IEC Normenreihe Neue Versionen und ISMS-Zertifizierung in der Praxis (Wolfgang Resch, OCG)

Transkript

1 ISO/IEC Normenreihe Neue Versionen und ISMS-Zertifizierung in der Praxis (Wolfgang Resch, OCG) ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 1/30

2 Über die Gemeinnütziger Verein zur Förderung der IT in Österreich (Slogan: IT-Kompetenzen fördern und zertifizieren!) OCG-Gründung: 1975 (u.a. Prof. Heinz Zemanek) Mitglieder: Personen, Institutionen, Firmen (dz. >1.500) Arbeitskreis IT-Sicherheit: seit 1993 (Leitung Prof. Schaumüller-Bichl) weitere AKs z.b.: IT-Governance, Forum Privacy, Forum e Government, Forum ebusiness Veranstaltungen: OCG Horizonte, OCG Impulse, Talk am Campus, IT-Konferenzen und Workshops, Vorträge Personenzertifizierungen: ECDL (seit 1997 > Teilnehmer) seit 2012 neues Modul: ECDL IT-Security Publikationen: Zeitschriften, Verlag Internet: Websites, Blog, Facebook, Flickr, Xing dz. ca. 30 MA und 2,5 Mio. Umsatz/J. ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 2/30

3 OCG als ISMS-Zertifizierungsstelle Akkreditierung nach ISO/IEC als Zertifizierungsstelle für ISO/IEC Zertifizierungen: Projektbeginn: 2010 Officeaudit BMWFJ 2012 beendet Pilotkunde Anfang 2013 Akkreditierungsbescheid des BMWFJ: Mitte Slogan: Informationssicherheit fördern und zertifizieren ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 3/30

4 Komitees der Zertifizierungsstelle Zertifizierungskomitee: o. Univ.Prof. Dr. Dimitris KARAGIANNIS, Universität Wien FH Prof. Univ.Doz. DI Dr. Ingrid SCHAUMÜLLER-BICHL, FH Hagenberg ZT DI Dr. Wolfgang PRENTNER, ZT Prentner IT GmbH Mag. Thomas GERETSCHLÄGER, OCG Wolfgang RESCH, OCG Unabhängigkeitskomitee: a.o. Univ.Prof. Dr. Gerald FUTSCHEK, TU Wien KommR Hans-Jürgen POLLIRER, WKO/Secur-Data DI Peter REICHEL, OVE Mag. Michael WIESMÜLLER, BMVIT ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 4/30

5 W. Resch seit 1992 in der OCG in Wien angestellt langjährige Betreuung OCG-Technik (zeitweise Sysadmin und Webmin) und Finanzen/Controlling seit >15 Jahren Beschäftigung mit e-government und elektronischen Signaturen ZRO der a-trust (seit 2000 Ausgabe/Registrierungsstelle für Bürgerkarten) Mitglied im AK E-Government ab 2009 Projektmitarbeit Zertifizierungsstelle ISO intensive Beschäftigung mit Thema IT-Sicherheit und ISMS ISO/IEC Lead-Auditor Kurs und Zertifikat (2012) Mitglied des Zertifizierungskomitees seit Mitte 2013 Administrative Leitung der Zertifizierungsstelle innerhalb der OCG ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 5/30

6 Akkreditierungsstruktur Akkreditierung der Zertifizierungsstelle Um Zertifizierungen von Managementsystemen durchführen zu können benötigt die zertifizierende Organisation (Zertifizierungsstelle) eine Akkreditierung durch die nationale Akkreditierungsstelle Akkreditierungsstelle (in Österreich die Akkreditierung Austria im BMWFW) Zertifizierungsstelle Kunden Akkreditierungsstruktur Akkreditierungsstelle (Akkreditrung Austria im Bundesministerium für Wissenschaft, Forschung und Wirtschaft) Normen Zertifizierungsstelle (OCG, CIS, UKAS) Auditor Akkreditiert und überwacht nach Richtlinien und Leitlinien für die Stelle ISO/IEC 17021:2011 ISO/IEC 27006:2011 Auditiert, zertifiziert und überwacht nach ISO/IEC 27001:2013 Kunde Kunde Kunde Betreiben ISMS, beauftragen Zertifizierung, werden auditiert, zertifiziert und überwacht ISO/IEC 27002: ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 6/30

7 Akkreditierungsanforderungen Akkreditierungsanforderungen an Zertifizierungsstellen Die Akkreditierungsstelle überwacht die Einhaltung der ISO/IEC 17021:2011 durch die akkreditierten Zertifizierungsstellen (Officeaudits in der Zertifizierungsstelle, begleitete Audits bei Kunden, Jahresberichte) Wichtige Aspekte für Zertifizierungsstellen Organisationsstruktur der Stelle Kompetenz (Personal, Fachliches Wissen, Normenkenntnis, Auditerfahrung, Weiterbildung) Unparteilichkeit (u.a. Beratungsverbot, wirtschaftliche und Personelle Unabhängigkeit!) Ressourcen Managementsystem für den Zertifizierungsprozess Dokumentation, Transparenz, Offenheit Maßnahmen daraus u.a. Ausbildung von Personal Normenbeobachtung Know-how der Stelle bewahren und ausbauen Managementsystem, Dokumente und Aufzeichnungen pflegen und verbessern Vertraulichkeit, Objektivität und Offenheit der Stelle sicherstellen Kommunikation mit Kunden bzw. mögliche betroffene Kreise (Interessensvertretungen, Behörden, Firmen, Universitäten) ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 7/30

8 ISO Normenreihe Werdegang: : BS 7799 (code of practice f. Informationssicherheit) 1999: BS ISO/IEC 17799:2000 ISO/IEC 27002: : BS (Spezifikationen für ein ISMS) BS :2002 (hier taucht erstmals PDCA auf!) 2005: ISO/IEC 27001:2005 Erste Version aus 2005 vom Joint Technical Committee (ISO/IEC JTC 1, Information Technology, Subcommittee SC 27, IT Security techniques) Überarbeitung in den letzten Jahren und am Neuausgabe der ISO/IEC 27001:2013 (auf englisch), Deutsche Übersetzung in Arbeit, Veröffentlichung ca. März/April ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 8/30

9 ISO/IEC Kern der ISO/IEC 27001: Risiko basiertes Management Tool um IS-Risiken zu verwalten/behandlen (ist Management-Norm keine rein technische Norm!) Ständige Verbesserungsprozess institutionalisieren um Herausforderungen sich ändernder Bedrohungen gerecht zu werden Rahmen für Audits und Zertifizierung eines ISMS durch Dritte ISMS eingeführt adequat für Branche, Größe, Stand der Technik und gegenüber Kunden und Shareholdern Beweis dass Governance und Risk Management effektiv sind ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 9/30

10 Was ist neu? Harmonisierung mit Anhang SL der ISO/IEC Direktiven Definitionen (Pkt.3) wandern in ISO/IEC Norm ist schlanker/dünner geworden Anpassungen an neue technische Entwicklungen: 6.1 Maßnahmen zum Umgang mit Risiken und Chancen jetzt Pkt (früher 4-8) Annex A: bleibt normativ (jetzt A5-A18 gg. früher A5-A15); Zahl der Kontrollen von gesunken Annex B (PDCA-Modell; war normativ) u. Annex C (informatives Mapping zu 9001 und 14001) wurden beide gestrichen! ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 10/30

11 Harmonisierung Besseres Risikomanagement durch vergleichbare Strukturen in den Normen (Anhang SL) Funktionell: Qualität (9001), Umwelt (14001), Business- Continuity (22301), Informationssicherheit (27001), Sektorspezifisch: Finanzen (27012?), IT-Services (20000), Telekoms (27011), Energie (50001), Gesundheit (27799), Manufacturing (27013?) das zeigt sich im Wording und in der Struktur soll Normen vergleichbarer, übersichtlicher machen Kombiaudits erleichtern (z.b.: 20000/27001) ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 11/30

12 Übergangsfristen ISO/IEC 27001:2005 vom 1. Oktober 2013 (englisch) Resolution der IAF: ab dem 1. Oktober 2014, nur noch Zertifizierungen nach ISO/IEC 27001:2013 Bis dahin müssen die Zertifizierungsstellen für die neue Norm akkreditiert sein - ab 1. Oktober 2015, verlieren alle Zertifikate nach ISO/IEC 27001:2005 ihre Gültigkeit - d.h. spätestens beim Überwachungs- bzw. Rezertifizierungsaudit zwischen 10/2014 und 10/2015 muss Umstellung auf neue Normversion erfolgen (inkl. Neuausstellung d. Zertifikates)! ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 12/30

13 ISO/IEC 27001:2013 seit : ISO/IEC 27001:2013 (Norm auf Englisch) 2. Draft deutsche Ausgabe 02/2014 endgültige deutsche Version voraussichtlich 04/2014 Mapping der Normenpunkte alt:neu z.b. bei BSI od. ISO ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 13/30

14 Zertifizierungsprojekte Üblicher/möglicher Ablauf eines Zertifizierungsprojektes bei Kunden Projektbeginn Projektplanung Managemententscheidung Ressourcen-bereitstellung (Personal, finanzielle Mittel, Zeitressourcen) Analysephase Systemgrenzen (Scopeing) Werte identifizieren Risikoanalyse und Risikobehandlung Dokumetation u. ISMS-Einführung Reifegrad bestimmen Checklisten und Kontrollen Prä-Audit (optional) Ergebnisse evaluieren und Maßnehmen umsetzen Zertifizierungsreife ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 14/30

15 Prozesse vor dem Audit Formale Prozesse zw. Kunden und Zertifizierungsstelle vor dem 1. Audit Informationsphase des Kunden Zertifizierungsstellen suchen (Websites, Prospekte,...) Interessensbekundung abgeben Erhebungsformular Erstgespräch optionales Pre-Audit durch Stelle od. Berater Aufwand ermitteln Auftrag erteilen Zertifizierungsreife evaluieren (event. auch erst nach dem Vertragsabschluss) Verbesserungen umsetzen Zertifizierungsantrag an Stelle Antragsformular bearbeiten Zertifizierungsantrag stellen zusätzliche Informationen nachreichen Zertifizierungsantrag trifft ein/wird geprüft Zertifizierungsantrag prüfen Machbarkeit prüfen Unabhängigkeit prüfen Auditzeiten errechnen Angebot erstellen Vertragsabschluss zw. Kundenund Stelle Auditorenauswahl und Auditplanung Branche, Standorte, Scope, IT-Services Auditoren und Termine koordinieren Auditplan mit dem Kunden abstimmen ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 15/30

16 Überblick Zertifizierungszyklus Der Zertifizierungszyklus im Überblick (über 3 Jahre) Planung Vorbereitung Durchführung Berichterstattung & Nachbereitung Planung Vorbereitung Durchführung Berichterstattung & Nachbereitung Planung Test of Design Stage I Dokumenten 2-4 Wochen (max. 6 Mo.) Test of Effectiveness Stage II Compliance/ 4 Wochen Zertifizierungsentscheidung und Zertifikatsausstellung Audit Implementation Audit Audit Report Stage I + Audit Maßnahmenbericht Follow-up/ remediation Audit Report Stage II + Audit Maßnahmenbericht Follow-up/ remediation 6-12 Monate (üblich 12 Mo.) Planung Vorbereitung Durchführung Berichterstattung & Nachbereitung Überwachungs- Audit I ÜA Report I + Audit Maßnahmenbericht 6-12 Monate (üblich 12 Mo.) ÜA II ÜA Report II + Audit Maßnahmenbericht 6-12 Monate (üblich 12 Mo.) ÜA III (meist gibt es nur 2 ÜAs) 6-12 Monate (üblich 12 Mo.) ÜA Report III (falls notwendig) + Audit Maßnahmenbericht Rezertifizierungs Audit (beginnt wieder oben aber oft ohne Stage I, wieder gefolgt von ÜA I u. ÜA II) nach 3 Jahren ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 16/30

17 Scope Assets Gaps Readyness Definition Scope n Scope Plan Definition Assets Entwicklung Kontrollframework Do Gap Analyse Entwicklung fehlender Maßnahmen Check Readiness Check Kick-off Projekt mit den Entscheidungsträgern Festlegung der gesetzlichen Anforderungen / Rahmenbedingungen Definition des Scopes: WO: Regionale Ausrichtung WER: Org. Ausrichtung WAS: Welche Applikationen Erstellung des Assetverzeichnisses gegliedert nach: Informationen: Daten, Verträge, Dokumente Software: Applikationen, Systemsoftware Physische Assets: Server, Medien Grundversorgung: Klima, Strom, RZ Personal: Schüsselpersonal Mapping der laut Scope benötigten Anforderungen zur ISO Eliminierung redundanter Kontrollanforderungen Definition eines zentralen Templates zur Erfassung der Kontrollen Workshop zur Abstimmung der notwendigen Kontrollen Review der bestehenden Dokumentation (Dokumentenanalyse) Erhebung der bestehenden Kontrollen, Policies und Methoden im Rahmen von Interviews und Workshops Identifikation der Kontrolllücken und Erstellung eines Verbesserungsplans Dokumentation von bereits existierenden, aber nicht schriftlich vorhandenen Kontrollen Wiederverwertung von passenden Kontrollen Anpassung bzw. Neuentwicklung von fehlenden Kontrollen Training der Kontrollverantwortlichen Nach dem Go-Live wird eine Überprüfung auf Kontrolleinhaltung sowie Kontrolladaptierung durchgeführt Aufdecken von Schwachstellen Zusammenstellung der Verbesserungsmaßnahmen Kommunikation zu den wesentlichen Stakeholdern Definierter Scope Definierte Compliance Anforderungen Definierte wesentliche Assets des Unternehmens Templates Kontrollframework Abgestimmte Kontrollen Report Gap Analyse Plan zur Behebung Kontrollschwächen Dokumentierte Kontrollen Definierte Verantwortlichkeiten Schwachstellen- Analyse Verbesserungen ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 17/30

18 Der Weg zur Zertifizierung ISO/IEC Pre-Assessment Im Rahmen der GAP Analyse werden Anforderungen von ISO bzw. Annex A den vorhandenen Maßnahmen im Unternehmen gegenübergestellt. Das ISO Pre-Assessment dient zur Identifikation von vorhandenen Dokumenten sowie der Gegenüberstellung von geforderten Inhalten aus ISO bzw. Annex A. Im Rahmen der Zertifizierung wird zunächst die Reife des Managementsystems (Dokumentenaudit) und danach die Umsetzung im Rahmen des Implementierungsaudits geprüft. Stage 1: Dokumentenaudit Stage 2: Zertifizierungsaudit- Interviews und Besichtigung Durchführung von Surveillance Audits im Abstand von 6-12 Monaten ISO GAP- Analyse und Coaching ISO Pre- Assessment Zertifizierung Identifikation von vorhandenen Prozessen Reifegradanalyse Readiness Check Analyse der Umsetzung in der Organisation Prüfung der Organisation gegen ISO auf Basis der Akkreditierungsrichtlinie ISO Erteilung des Zertifikats Regelmäßige Surveillance-Audits ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 18/30

19 Auditphase und Reporting Die Zertifizierungsstelle entsendet Auditoren und ggf. zusätzliche Experten und Übersetzer/Dolmetscher um beim Kunden vor Ort die Wirksamkeit des ISMS sicherzustellen. Dokumentenaudit (bei Rezertifizierung verkürzt) Dokumentation des ISMS prüfen Umfang/Standorte/Systeme kennenlernen Vollständigkeit und Compliece Auditbericht Planung Umsetzungsaudit Umsetzungsaudit Überprüfung der Umsetzung vor Ort Abweichungen dokumentieren Maßnahmen und Termine abnehmen Auditbericht verfassen Empfehlung zur Zertifizierung Überwachungsaudit (fallweise auch außerplanmäßige Audits aus besonderen Anlass) Überprüfung von Observations und Feststellungen früherer Audits sowie Überwachung des zertifizierten ISMS Auditbericht Maßnahmenumsetzungen gemäß vereinbarter Fristen überprüfen ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 19/30

20 Methodik 2-teiliges Audit: Stage 1: Dokumentenaudit (Test of Design) Stage 2: Implimentierungsaudit - Interviews und Besichtigung (Test of Effectiveness) Ergebnisse aus Stage 1 Audit als Basis f. Auditplanung Stage II Interviews Mitarbeiter Überprüfung von Dokumenten Vorgangsweisen Grundsätze Beobachtungen Unternehmensbesichtigung Spezielle Bereiche, Tätigkeiten Daten und Aufzeichnung Überwachung von Aufzeichnungen Verstehen des Wirkungsgrades des Managementsystems ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 20/30

21 Auditplanung Ziele und Merkmale des Audits Auditor Ressourcen Informationen zum Unternehmen (Größe, Branche, Prozesse, Systeme) Ausmaß des Audits und von ISMS (Scope) Planung Vorbereitung Durchführung Bericht und Follow-up Team mit relevanten Fähigkeiten (Branchenkenntnis, Sprachen, Technologien) Dauer des Audit Wer? Wann? Wo? ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 21/30

22 Auditvorbereitung Beschaffung und Überprüfung von Dokumenten bezüglich Grundsätzen Inventaranlagen Liste von Regelungen und Verfahren Aufzeichnungen von Risikoauswertung Organisatorisches Schema zur Sicherheit Planung Vorbereitung Durchführung Bericht und Follow-up Vorgangsweise Checkliste Informationen zum Team Kommunikation mit Kunden ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 22/30

23 Auditdurchführung Kommunikation zwischen Kunden und Auditoren Interviews Beobachtung Überprüfung der Kontrollen Analyse der Aufzeichnung Objektives Beweismaterial Planung Vorbereitung Durchführung Bericht und Follow-up Ergebnisse basierend auf objektivem Beweismaterial Identifizierung von Bereichen, die nicht mit den Richtlinien übereinstimmen und risikogefährdet sind Möglichkeiten zur Verbesserung ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 23/30

24 Bericht und Follow-up Ausmaß Methodologie Ergebnisse Schlussfolgerung Planung Vorbereitung Durchführung Bericht und Follow-up Aufnahme als Eingangsbasis für zukünftige Audits Abschluss von Abweichung, Empfehlungen etc. ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 24/30

25 Behandlung von Abweichungen Auditor erkennt Auditor dokumentiert Auditor klassifiziert und gibt aus Auditor bewirkt Abschluss Unternehmen untersucht und misst Auditor überprüft Wirksamkeit Unternehmen findet Ursachen Unternehmen führt Bedingung und Leistungen durch Auditor bestätigt Bedingungen & Leistung Unternehmen bestimmt Bedingungen & Leistung 2-4 Wochen bis max. 6 Monate ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 25/30

26 Zertifizierungsentscheidung Die Zertifizierungsstelle erhält von den Auditoren den/die Auditbericht/e Zertifizierungsentscheidungen: Erteilung/Erweiterung/Einschränkung/Aussetzung/Aberkennung des Zertifikats u.a. wegen Änderungen im Scope mehr/weniger Standorte schwerwiegende Mängel im ISMS Übernahmen, Wechsel des Geschäftsfelden Entscheidungsgrundlagen dazu: Auditberichte (von planmäßigen und außerordentlichen Audits) Beobachtungen, Beschwerden Einsprüche des Kunden Input des Unabhängigkeitsausschusses ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 26/30

27 Überwachungsaufgaben Nach erfolgreicher Zertifizierung bzw. bei allen bestehenden aufrechten Zertifizierungen: Überwachungsaufgaben der Zertifizierungsstelle Überwachung der aktuell zertifizierten Kunden (öffentlicher Auftritt, Dokumente, Beobachtungen und Beschwerden) bei Änderungen: event. Überwachungsaudit od. Rezertifizierungsaudit notwendig bei Zweifel an Effektivität des ISMS: event. außerordentliches Audit mögliche Folgen: Einschränkung/Aussetzung/Aberkennung des Zertifikats bzw. Neuausstellung/Entzug des Zertifikates und ggf. Änderung in der Liste der zertifizierten Kunden ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 27/30

28 Änderungen der Zertifizierung Änderungen im Scope (Erweiterungen oder Einschränkungen) neue bzw. zusätzliche/weniger Standorte zusätzliche/weniger Prozesse/Services innerhalb des Scopes mehr/weniger Personen/gruppen innerhalb des Scopes Folgen daraus: event. Erweiterungsaudit durchführen und dann Zertifikat anpassen Einschränkung bzw. Erweiterung des Zertifikates Änderungen im Firmen/Organisationswortlaut bzw. Gesellschaftsform Neuausstellung des Zertifikats (falls sich sonst substanziell nichts am Scope geändert hat) Änderungen im Verzeichnis darstellen (Website) ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 28/30

29 Mögliche Problem mögliche sonstige Probleme Beschwerden gegen Zertifikatsinhaber durch Dritte Zweifel an Wirksamkeit des Managementsystems durch Überwachungsergebnisse vorzeitige Vertragsauflösung (Insolvenzverfahren, Kündigung, etc.) sonstige Probleme (z.b.: Gerichtsverfahren, Zahlungsverzug, Interessenskonflikte, Machbarkeitshindernisse) mögliche Folgen Einschränkung, Aussetzung, Aberkennung des Zertifikates Einspruch des Kunden gegen Entscheidungen der Zertifizierungsstelle Schlichtungsverfahren bzw. Eskalation an Unabhängigkeitsausschuss od. Akkreditierungsstelle (Akkreditierung Austria im BMFWF) ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 29/30

30 Kontakt Wolfgang Resch Österreichische Computer Gesellschaft (OCG) Wollzeile 1, 1010 Wien T: M: resch@ocg.at bzw. ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 30/30