Zertifizierung von IT-Standards

Transkript

1 Zertifizierung von IT-Standards Dozent Aykut Bader Datum 18. Oktober 2016 Ort Nürnberg

2 Akkreditierung & Zertifizierung Internationale Akkreditierungsforen (IAF) Nationale Akkreditierungsstellen (z.b. DAkkS, UKAS etc.) Akkreditierte Zertifizierungsstellen (FOX Certification und andere) gem , 17024, Quelle: Internet

3 Der Zertifizierungsablauf

4 Zertifikat = Zertifikat? Ist der Geltungsbereich wie gewünscht? Bezieht es sich auf das ganze Unternehmen? Auf welche(n) Standort(e) bezieht sich der Geltungsbereich? Bezieht sich der Geltungsbereich auf spezielle Services/Produkte? Der richtige Scope erspart unnötige Kosten! Ist die Zertifizierungsstelle akkreditiert? Welche Referenzen liegen in Ihrer Branche vor? Ist die Zertifizierungsstelle in Ihrer Branche bekannt? Wie reibungslos lief die Kommunikation in der Angebotsphase? Vergleichen Sie immer alle Kosten! Versteckte Kosten verteuern das Zertifikat unnötig (Gebühren, Fahrzeiten, zusätzliche Zertifikate etc.). Welche Vita kann der Auditor nachweisen?

5 Welche IT-Standards? Informationssicherheit ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC (CC) BSI-TR ISO/IEC TR ISO/IEC IT-Sicherheit ISO/IEC Identitäten ISO/IEC ISO/IEC ISO/IEC (SSE-CMM) ISO/IEC ISO/IEC ISO/IEC Gesetze/Vorschriften BDSG IT-SiG IDW PS 330/331 Biometrie ISO/IEC ISO/IEC ISO/IEC ISO/IEC ISO/IEC viele mehr DIN EN ISO ISO/IEC Quelle: BITKOM und Internet

6 Positive Erfahrungen Ein zertifiziertes Managementsystem? Auch für mein Unternehmen! Geregelte Haftung der obersten Leitung Erfüllung gesetzlicher und vertraglicher Anforderungen (IT-SiG, IT-SiK, GmbHG, KonTraG, HGB, TMG, MaRisk, BDSG, StGB, BGB, UrhG ) Haftungsfragen gegenüber Dritten Risikomanagement und Umgang mit Restrisiken Sicherheit folgt dem Business nicht umgekehrt! Schaffung einer Sicherheitskultur im Unternehmen Kosten senken durch Transparenz, Effizienz und Synergie mit bestehenden Standards Schutz vor Reputationsverlust oder Imageschäden Zugang in neue Märkte mit dem Zertifikat durch neutralen Nachweis Ihrer Leistungen

7 Ein typisches Beispiel für ISO/IEC Welche Kosten kommen auf mich zu? Der Aufwand orientiert sich u.a. an der Anzahl der MA im Scope (+ z.b. MA im Scope nach Vorgaben der BNetzA/DAkkS) der Anzahl der Standorte im Scope der Komplexität des ISMS (+ z.b. nach Vorgaben der BNetzA/DAkkS) bestehenden zertifizierten Managementsystemen (Synergieeffekte) Art, Komplexität und Technologie der Tätigkeit im Scope Ein Beispiel: ein Standort mit 120 MA und einfachen Tätigkeiten mit einer einfachen Server-Umgebung und einer Leitwarte (typisch Büro-Umgebungen) Kritische Anwendungen (Leitwarte, ERP, HR etc.) sind extern vergeben 12 PT gem. Tabelle nach ISO/IEC eventl. zulässige Reduktion um 30% = ca. 8,5 PT davon sind 6 PT vor Ort zu leisten (für Stufe 1 und Stufe 2) Etwa 3 PT pro Überwachungsaudits 14,5 PT für 3 Jahre

8 Stolpersteine Typische Stolpersteine, die wir bei der Zertifizierung vorfinden (ISO/IEC 27001) Unzureichende Dokumentation der Prozesse und der Technik Ermittlung & Darstellung Interessierte Parteien (4.2) Risikomanagement (Einbindung in das ERM, Follow-ups etc.) (6.1) Aufbau der SoA (6.1.3 d) Kompetenz, Sensibilisierung und Kommunikation (7.2, 7.3 und 7.4) Identifizierte Assets im Scope (A.8.1) Klassifizierung von Information (A.8.2) IS - Incident Management (A.16) IS Gewichtung im BCM-Programm (A.17) Bei Begehungen (Brandlasten oder Material im RZ oder in den Schränken, Schmutz, Wasser, unbeschriftete Geräte, Datenträger etc.)

9 Prüfpunkte im Audit Was sind typische Prüfpunkte im Audit (ISO/IEC 27001)? Risikomanagement und entsprechende Nachweise/Aufzeichnungen (6.1) Lenkung von Dokumenten und Aufzeichnungen (7.5.3) Richtlinien (Passwort, Zutrittskontrollen, Access-Management) Einbindung des ISMS in Unternehmensprozesse Interne Audits (Audit-Programm, techn. Prüfungen etc.) und Management Reviews (9.2/9.3) Nachweise über Verbesserungen des Managementsystems (10)

10 Pflichten? Rechte! Sie sind der Kunde! Bereiten Sie sich und das Team auf das Audit vor! Bestehen Sie auf die Einhaltung der Agenda! Holen Sie sich unmittelbar das Feedback des Auditors! Nehmen Sie die Abschlussgespräche ernst! Interne Audits sind wichtig. Beachten Sie daher die Anforderungen ganz besonders! (Unabhängigkeit und Qualifikation des Audit-Teams etc.). Orientieren Sie sich an Leitfäden wie z.b. DIN EN ISO 19011:

11 ISO Survey Ein paar Fakten aus weltweit ausgestellte Zertifikate in davon sind ISO/IEC Zertifikate (+20%) Top 10: Japan, UK, Indien, China, USA, Rumänien, Italien, Deutschland, Taipei, Spanien 994 davon wurden in Deutschland ausgestellt (ca. +55%)

12 FAZIT Die Zertifizierung bringt mehr Vorteile, als sie einen Mehraufwand bedeutet Lassen Sie sich zertifizieren Lassen Sie sich von der richtigen Zertifizierungsstelle zertifizieren

13 Schauen Sie doch mal vorbei Halle 12 / Stand 757 AUDITOREN GESUCHT

14 Vielen Dank für Ihre Aufmerksamkeit FOX Certification GmbH Tel: 0800FOXCERT Steiermärker Straße Fax: / Stuttgart