Informationen zur ISO/IEC 27001

Transkript

1 Informationen zur ISO/IEC ISO 9001-ISO/IEC ISO/IEC Anforderungen ISO/IEC Vernetzung mit der ISO PDCA-Modell Teil 1 6. PDCA-Modell Teil 2 7. Vorteile ISO/IEC Durchführung Auditierung/Zertifizierung 9. Besonderheiten für Automobilzulieferer 10. Preis-Zertifizierung 11. Zertifikat 12. Kontakt

2 ISO 9001 ISO/IEC QMZ Qualitätsmanagement-Zertifzierungsgesellschaft Zertifikat Die Qualitätsmanagement-Zertifizierungsgesellschaft bestätigt hiermit die ordnungsgemäße Erfüllung der Anforderungen an das QM-System der gem. ISO 9001:2000 Das Zertifikat ist gültig bis: Imagefaktor bis zu 3 Jahren Geltungsbereich: Entwicklung von Software und im Apparatebau Registriernummer: Warum Sie sich als ISO 9001 zertifiziertes Automobilzulieferungs -unternehmen mit der Zertifizierung Ihres IT-Sicherheitsmanagement -systems nach ISO/IEC zuzüglich Prototypenschutz beschäftigen sollten? Musterhausen,... GESCHÄFTSFÜHRUNG AUDITLEITER Akkreditiert von der TGA - Trägergemeinschaft für Akkreditierung GmbH Weil Sie wesentliche Voraussetzungen hierfür erfüllen und IT-Sicherheit wichtig für Ihre Unternehmensexistenz ist! IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer 2

3 ISO/IEC Was ist die ISO/IEC 27001? Die internationale Norm ISO/IEC 27001, "Information technology - Security techniques - Information security management systems - Requirements" spezifiziert die Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Hierbei sind sämtliche Arten von Organisationen (z. B. Handelsunternehmen, staatliche Organisationen, Non-Profitorganisationen usw.) Zielgruppen. Die Norm spezifiziert Anforderungen für die Implementierung von geeigneten Sicherheitsmechanismen, welche an die Gegebenheiten der einzelnen Organisationen adaptiert werden sollen. Sie wurde entworfen, um die Auswahl geeigneter Sicherheitsmechanismen zum Schutz sämtlicher IT-Assets sicherzustellen. Die ISO/IEC wurde aus dem britischen Standard BS entwickelt und als internationale Norm erstmals am 15. Oktober 2005 veröffentlicht. Der am 15. Juni 2005 veröffentlichte Leitfaden ISO/IEC 17799:2005, "Information technology - Security techniques - Code of practice for information security management", soll auch als Leitfaden ISO/IEC veröffentlicht werden. Einen Überblick über die gemachten Änderungen (von BS :2002 zu ISO/IEC 27001) finden Sie in unserer Synopsis BS :2002 zu ISO/IEC die den alten und neuen Standard gegenüberstellt. ISO/IEC international anerkannt unternehmerisch hoch relevant IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer 3

4 Anforderungen ISO/IEC Welche Anforderungen der ISO/IEC müssen Sie als zu zertifizierende Institution erfüllen, damit ein Zertifizierungsvorhaben erfolgsversprechend ist? In den unten stehenden Aufgaben sind auszugsweise Anforderungen (ISO/IEC Kapitel 4.1 General requirements, 4.2 Establishing and managing the ISMS, 4.3 Documentation requirements) an eine zu zertifizierende Institution genannt, die einer erfolgreichen Zertifizierung zugrunde liegen. Die zu zertifizierende Institution muss ein dokumentiertes ISMS im Hinblick auf alle organisationsbezogenen Geschäftsaktivitäten und risiken entwickeln. Zur Festlegung eines ISMS müssen folgende Schritte durchgeführt werden: Definition des Anwendungsbereichs des ISMS in der Institution Definition der Politik des ISMS Definition einer systematischen Vorgehensweise bei der Risikoeinschätzung Identifizierung und Bewertung von Risiken Identifikation und Evaluierung der Optionen für die Behandlung der Risiken Auswahl der Sicherheitsziele und Maßnahmen für die Behandlung der Risiken Erstellung einer Erklärung zur Anwendbarkeit der o. g. Sicherheitsziele und Maßnahmen Für die Dokumentation zum ISMS sind alle in der ISO/IEC 27001, unter Kapitel 4.3 Documentation requirements genannten Unterlagen, zu berücksichtigen. Diese Unterlagen müssen nach den Anforderungen der ISMS-Politik zur Verfügung gestellt werden. Des Weiteren müssen die von der ISMS geforderten Dokumente geschützt, gelenkt und kontrolliert werden. IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer 4

5 Vernetzung mit der ISO 9001 Wie können Sie Ihre ISO 9001-Erfahrungen für eine ISO/IEC Zertifizierung nutzen? Institutionen die nach ISO 9001 zertifiziert sind, haben einen hohen Nutzwert wenn sie sich gem. ISO/IEC zertifizieren lassen, da sie sich in einigen wesentlichen Punkten auf die vorhandenen Strukturen der ISO 9001 beziehen können. Die ISO/IEC spezifiziert die Anforderungen an ein ISMS (Information Security Management System). Die Norm ist mit anderen Management-Standards, wie der ISO 9001 harmonisiert. Dadurch ist es möglich, konsistente und integrierte Management-Systeme zu implementieren. Die ISO/IEC beinhaltet außerdem das Plan-Do-Check-Act Model (siehe Seite 10) als Teil des Management-System Ansatzes zur Entwicklung, Umsetzung und kontinuierlichen Verbesserung des ISMS. Die Anforderungen der ISO 9001 sind mit denen der ISO/IEC (siehe unter Forderungen ISO/IEC ) so harmonisiert, dass die Vorbereitung auf eine ISO/IEC Zertifizierung mit einen niedrigen Aufwand (kostensparend) durchgeführt werden kann. Folgende Beispiele der Anforderungen (Auszüge) der ISO 9001 und ISO/IEC 27001: ISO 9001 Die Institution muss die für das Qualitätsmanagementsystem erforderlichen Prozesse und ihre Anwendung in der gesamten Organisation erkennen, die erforderlichen Kriterien und Methoden festlegen, um das wirksame Durchführen und Lenken dieser Prozesse sicherzustellen, diese Prozesse überwachen, messen und analysieren, usw. ISO/IEC Die Institution muss Sicherheitsziele und Maßnahmen für die Behandlung der Risiken auswählen, den Risikobehandlungsplans formulieren, Überwachungsverfahren und andere Maßnahmen ausführen, das Restrisiko und ein akzeptables Risikoniveau überprüfen und geeignete Korrektur- und Vorbeugungsmaßnahmen ergreifen. IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer 5

6 PDCA-Modell Teil 1 Wirkt sich der Einsatz von PDCA-Modellen auf das Prozessdenken in Ihrer Institution positiv aus? Alle zertifizierte Institutionen gem. ISO 9001 arbeiten nach dem PDCA-Modell. Die Umsetzung des PDCA-Modells spiegelt auch die Prinzipien wieder, die in der OECD Guidelines (OECD Guidelines for the Security of Information Systems and Networks, 2002) zur Regelung der Sicherheit von Informationssystemen und Netzwerken beschrieben sind. Die ISO/IEC liefert ein robustes Modell, ähnlich dem der ISO In beiden enthalten ist die Risikoanalyse, Implementierung der Prinzipien der Richtlinien, Design und Implementierung von Sicherheit, Sicherheitsmanagement und Überprüfung. PDCA-Modell Mit der Arbeit des PDCA-Modells wird das qualitative Prozessdenken der Institutionen verbessert. Plan: Do: Aufbau des ISMS - Geltungsbereich festlegen - Risikoanalyse/-management - Festlegen von Si-Zielen und -Maßnahmen Betrieb des ISMS - Umsetzung des ISMS - Implementierung der technischen/organisatorischen Maßnahmen Plan Festlegen des ISMS Do Umsetzen und durchführen des ISMS Act Erhalten und verbessern des ISMS Check Überwachen und überprüfen des ISMS Check: Act: Prüfung des ISMS - Überwachung des ISMS - Regelmäßige Reviews - Bewertung der verbleibenden Risiken Verbesserung des ISMS - Bewertung der Erfüllung der Anforderungen - Ständige Verbesserung des ISMS - Korrigieren der Maßnahmen - Kommunizieren der Ergebnisse IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer 6

7 PDCA-Modell Teil 2 Eine Präzisierung des zuvor genannten PDCA-Modells zu folgenden Phasen: (ISO/IEC PDCA-Modell) PLAN 6 Schritte des Risikomanagements 1. Risikoidentifikation 2. Risikobewertung 3. Identifikation und Bewertung der Möglichkeiten, mit Risiken umzugehen 4. Auswahl von Maßnahmenzielen und Maßnahmen 5. Erstellen eines Eignungsberichts 6. Managementfreigabe DO Umsetzung der Planung 1. Management der Planumsetzung 2. Ressourcenmanagement 3. Zeitmanagement 4. Schulungsmanagement Abb. 1 Kroll, Heinz-Werner Engel, Brüssel CHECK Überwachung und Überprüfung des ISMS 1. Überwachung Kontrolle des laufenden Betriebs des ISMS 2. Überprüfung Kontrolle der Effektivität des ISMS im Rahmen eines Reviews 3. Restrisiko Kontrolle des verbleibenden und akzeptierten Restrisikos, regelmäßig ACT 1. Phase der Verbesserung 2. Rückkopplung zur Planung IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer 7

8 Vorteile ISO/IEC Aufgepasst Welche Vorteile entstehen für Sie in der Innen- und Außenwirkung? Vorteile ISO/IEC Innenwirkung Intensive Beschäftigung mit dem IT-Sicherheitssystem durch eigene Mitarbeiter und Dritte Erhöhung der IT-Sicherheit des Gesamtsystems oder wesentlicher Teile Möglichkeit, sich auf besonders sicherheitssensitive Teile des Gesamtsystems zu konzentrieren Erhöhung des Imagewerts in Sachen IT-Sicherheit bei Mitarbeitern Kostenlenkungseffekte im Sinne von Kosteneinsatzoptimierung Vorteile ISO/IEC Außenwirkung Erhalt eines publicity-wirksamen Zeugnisses über die IT-Sicherheitsqualität Erhöhung des Imagewerts in Sachen IT-Sicherheit bei externen Bezugsgruppen Erlös- und Gewinnzuwächse durch Vertrauenserhöhung bei umsatzrelevanten Bezugsgruppen Nachweis gegenüber wichtiger Abnehmer aus dem Automobilbereich ISO/IEC Nebeneffekte Motivationswirkungen auf die Mitarbeiter Förderung des Bewusstseins, dass ihre eigenen Daten im Unternehmensinformationssystem sicher und geschützt sind Positive Auswirkungen auf den gesamten Datenschutz (auch im Sinne des personenbezogenen Datenschutzes), da effizienter Datenschutz nur aus sicheren Systemen erwächst IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer 8

9 Durchführung Auditierung/Zertifizierung Wie sieht der Zertifizierungsablauf aus? Initialaudit Erstzertifizierung Das Zertifikat hat in der Regel eine Laufzeit von 3 Jahren Betreuungsaudit/Periodische Audits (jährlich) Durch halbjährliche bzw. jährliche Betreuungsbesuche wird das Zertifikat aufrechterhalten. Hierbei werden Teilbereiche der zu zertifizierende Institution auditiert Wiederholungsaudit Rezertifizierung Nach 3 Jahren erfolgt die Zertifikatserneuerung. Hierbei wird das gesamte System erneut geprüft Die zu zertifizierende Institution muss ein dokumentiertes ISMS im Hinblick auf alle organisationsbezogenen Geschäftsaktivitäten und risiken entwickeln. Vorgehensweise Auditierung und Zertifizierung Informationsgespräch Angebot Phase 1: Voruntersuchung Angebotserweiterung Zur Festlegung eines ISMS müssen folgende Schritte durchgeführt werden: Definition des Anwendungsbereichs des ISMS in der Institution Definition der Politik des ISMS Definition einer systematischen Vorgehensweise bei der Risikoeinschätzung Identifizierung und Bewertung von Risiken Identifikation und Evaluierung der Optionen für die Behandlung der Risiken Auswahl der Sicherheitsziele und Maßnahmen für die Behandlung der Risiken Erstellung einer Erklärung zur Anwendbarkeit der o. g. Sicherheitsziele und Maßnahmen Voruntersuchung: Risiken Schutzbedarf Status Maßnahmen ggf. Netzwerktests Bewertung/Kurzbericht Ggf. Verbesserung des Informationssicherheitsmanagements ja Zertifizierung erfolgversprechend? Angebot/Vertrag Audit Auditbericht Optimierung des Datensicherheitsprozesses durch die Organisation nein Phase 2: Audit Toolkit ISO Zertifizierung Diese Schritte sind in Übereinstimmung mit den Forderungen nach Prototypenschutz. ja Audit erfolgreich? nein Zertifikat Phase 3: Zertifizierung Überwachung Phase 4: Follow UP IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer

10 Besonderheiten für Automobilzulieferer Tipp zur Erstellung eines Statement of Applicability - Feststellung/Erklärung zur Anwendbarkeit der Norm ISO/IEC i Vorstellungen der Norm zur Anwendbarkeitserklärung Das Statement of Applicability/Feststellung/Erklärung zur Anwendbarkeit wird in der Norm wie folgt definiert: 1.1 Verfassen einer Feststellung/Erklärung zur Anwendbarkeit Eine Feststellung/Erklärung zur Anwendbarkeit, die die folgenden Inhalte hat, soll entwickelt werden: 1. Die IT-Sicherheitszielsetzungen und die eingesetzten Maßnahmen gem g sowie die Gründe für ihre Auswahl 2. Die IT-Sicherheitszielsetzungen und die umgesetzten Maßnahmen gem e sowie 3. Den Ausschluss von IT-Sicherheitszielsetzungen und eingesetzten Maßnahmen gem Anhang A und die Begründung für ihren Ausschluss 2 Vorgehensweise zur Erstellung eines Statement of Applicability Feststellung/Erklärung zur Anwendbarkeit Aus dem Text der Norm lassen sich im Prinzip folgende Schritte ableiten: 4. Es sind Sicherheitszielsetzungen zu entwickeln, die durch die Geschäftsleitung zu verabschieden sind, damit sie als Grundlage der weiteren Arbeit dienen können 5. Aufgrund dieser Zielsetzungen sind Maßnahmen zu entwickeln, die eingesetzt werden sollen 6. Diese Maßnahmen sind in Bezug auf ihre Auswahl zu begründen. Hierbei sind die festgestellten Risiken mit in Betracht zu ziehen. 7. Aus dem Katalog der Maßnahmen, die insgesamt zur Verfügung stehen, sind des Weiteren diejenigen darzustellen, die aufgrund einer bewussten Entscheidung nicht eingesetzt wurden 8. Das Nichteinsetzen dieser Maßnahmen ist zu begründen. Hierbei sind die festgestellten Risiken mit in Betracht zu ziehen. 9. Es ist durch eine Überprüfung festzustellen, dass die vom Einsatz ausgeschlossenen Maßnahmen nicht unabsichtlich ausgelassen wurden Wenn die aus der Norm abgeleitete Vorgehensweise zur Erstellung des Statement of Applicability/Feststellung/Erklärung zur Anwendbarkeit als Grundlage dienen soll und gleichzeitig die Aussage der Norm "Die Feststellung/Erklärung zur Anwendbarkeit stellt eine Zusammenfassung von Entscheidungen zur Risikobehandlung dar." rationell und praktikabel umgesetzt werden soll, sind die folgenden Möglichkeiten zur Abfassung eines Statement möglich: 1. Es wird ein zusammenfassendes Statement of Applicability/Feststellung/Erklärung zur Anwendbarkeit gegeben, welches die Entscheidungen zur Risikobehandlung, dem Einsetzen und Nicht-Einsetzen von Maßnahmen auf einer vergleichsweise abstrakten Ebene zusammenfasst und hiermit eine grobe Darstellung der getroffenen Entscheidungen im Hinblick auf die Übereinstimmung zwischen den Kriterien der Norm und dem IT-Sicherheitsmanagement der Institution gibt. 2. Es wird ein zusammenfassendes Statement of Applicability/Feststellung/Erklärung zur Anwendbarkeit gegeben, welches die Entscheidungen zur Risikobehandlung, dem Einsetzen und Nicht-Einsetzen von Maßnahmen in einer detaillierten Zusammenstellung, die die Strukturen der Controls nach Kapiteln abhandelt. Hierbei wird zu jedem Kapitel ein separates Teilstatement abgegeben so dass auf einer höheren Ebene bereits erkennbar ist, welche der von der i Grundlage der Ausarbeitung ist die Norm INTERNATIONAL STANDARD ISO/IEC 27001, First edition, IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer

11 Besonderheiten für Automobilzulieferer Norm vorgegebenen Kapitel aufgrund ihrer hohen Relevanz tiefergehend abgearbeitet wurden und welche aufgrund einer möglicherweise geringeren Relevanz oberflächlicher behandelt wurden. 3. Das abgegebene Statement of Applicability/Feststellung/Erklärung zur Anwendbarkeit basiert auf einer Botttom-up-abstrahierenden Vorgehensweise und setzt auf den einzelnen Maßnahmen auf, wie sie in den Unterkapiteln des Anhangs zur Norm strukturiert vorgegeben werden. Um hierbei den Charakter der zusammenfassenden Übersicht nicht zu verlieren, muss von den Einzelmaßnahmen deutlich abstrahiert werden. Das so formulierte Statement ist insbesondere durch die Abstraktionsleistung gekennzeichnet, die hierbei vorgenommen werden muss. (Vgl. hierzu die in der Originalausarbeitung (kostenpflichtig) gegebenen Beispiele) IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer

12 Besonderheiten für Automobilzulieferer Tipp zur Erstellung einer Scope-Defnition bei der Anwendung der Norm ISO/IEC i Die Norm sagt hierzu: a) Define the scope and boundaries of the ISMS in terms of the characteristics of the business, the organization, its location, assets and technology, and including details of and justification for any exclusions from the scope (see 1.2). Es sind der Bereich/Umfang und die Grenzen des ISMS mit den typischen charakteristischen Merkmalen des Unternehmens, seiner Organisation, seiner Lokation, seinen Anlage- /Vermögenswerten und Technologien zu benennen/beschreiben, einschließlich der Details von und der Rechtfertigung für eine Ausschließung/Nichtbehandlung von Einheiten in Bezug auf das betreffende ISMS. Dies bedeutet, dass bei der Scope-Definition zu benennen sind: 1. Umfang und Grenzen des ISMS, insbesondere Abgrenzungen zu benachbarten Systemen mit den entsprechenden Schnittstellen hierzu, 2. die charakteristischen Merkmale des Unternehmens generell, soweit sie für das ISMS von Bedeutung sind, 3. die charakteristischen Merkmale seiner Organisation mit Schwerpunkt auf die IT-Organisation, 4. die charakteristischen Merkmale seiner Lokalitäten, wobei hier insbesondere auch die Lokalitäten von Niederlassungen, Tochterfirmen u. ä. zu berücksichtigen sind, wenn sie in das Scope einbezogen werden sollen, 5. die Anlage-/Vermögenswerte, vor allem im Hinblick auf die Informationstechnologie sowie. 6. Ebenso wie im Statement of Applicability sind auch hier Begründungen für diejenigen Einheiten zu liefern, die zwar im Prinzip zu dem System gehören, aber von der Scope-Bestimmung auszuschliessen sind/ausgeschlossen werden sollen. Hierbei ist ausdrücklich festzuhalten, dass auch abgrenzbare Teile eines ISMS Scopes sein können. Anwendungsbereich (Beispiel: Zentrales Informationssystem der Muster Firma, darunter fällt die gesamte Organisation des Unternehmens, inklusive der Projektsysteme, der Testumgebung sowie des Produktionsbetriebs unter Berücksichtigung der Prüfstände und der Außenstellen.) i Grundlage der Ausarbeitung ist die Norm INTERNATIONAL STANDARD ISO/IEC 27001, First edition, IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer

13 Besonderheiten für Automobilzulieferer Tipps zur Gewährleistung der Produktsicherheit in der deutschen Automobilindustrie i in Ergänzung der Anforderungen der ISO Die Rahmenanforderungen sagen hierzu: 1 Allgemeines: Die Entwicklung oder der Testbetrieb von Prototypen oder Fahrzeugkomponenten sowie der Aufbau von Designmodellen erfordern einen besonderen Schutz des Designs und der Innovationen. In den Prozessen ist insbesondere darauf zu achten, dass die Risiken analysiert, wirkungsvolle Schutzmaßnahmen durchgeführt und die Wirksamkeit der Schutzmaßnahmen überprüft werden. Dazu sind geeignete Verfahren anzuwenden. Die Unternehmen haben sicherzustellen, dass die der Geheimhaltung unterliegenden Prototypen sowie die sich in der Entwicklung befindlichen Konzepte sicher in unterschiedlichen Umgebungen entwickelt und getestet werden können. Um diesen Anforderungen zu genügen, sind geeignete technische, organisatorische sowie sensibilisierende Maßnahmen notwendig. Die Zertifizierung des Prototypenschutzes in Ergänzung zur ISO umfasst drei Säulen, wobei der Schwerpunkt ganz klar auf die ersten beiden Punkte zu legen ist. 1. Strategische und organisatorische Kriterien des Informationsschutzes Gebiete: Verfügbarkeit, Vertraulichkeit, Integrität 2. Technische Kriterien der IT-Systeme Gebiete: Verfügbarkeit, Vertraulichkeit, Integrität 3. Klassische Sicherheitsaspekte: Hauptgebiet: Prototypenschutz In Anlehnung an die Rahmenanforderungen bedeutet dies, dass unter anderem folgende Gebiete inklusive deren Strategie, Verantwortung, Organisation und Ressourcenplanung beachtet werden müssen: 1. Um den Schutz von Prototypen zu gewährleisten, müssen die Managementprozesse bei OEMs und Entwicklungspartnern sicher sein und/oder ggf. angepasst werden. 2. Für die jeweiligen Prüfstände muss von den Unternehmen ein Sicherheitsverantwortlicher benannt werden sowie ein Schutzkonzept erstellt werden. Darüber hinaus muss ein Alarmierungs- und Notfallplan entwickelt werden. Die Konzepte sind schriftlich zu definieren und zu dokumentieren. 3. Zutrittskontrollen zu Räumen mit IT-Geräten, auf welchen Prototypendaten gelagert oder entwickelt werden, sind einzurichten bzw. zu kontrollieren. Es ist außerdem darauf zu achten, dass IT-Geräte ausreichend zugangsgesichert sind. 4. Beim Einsatz von IT-Geräten ist strikt auf die Einhaltung der jeweiligen IT- Sicherheitsrichtlinien zu achten, die schriftlich dokumentiert sein müssen. 5. Es sind allgemeine Bestimmungen und Reglungen zu treffen, um eine unberechtigtes Fotografieren, Kopieren oder Entfernen schutzbedürftiger Objekte zu verhindern. 6. Bei einem notwendigen Transport von Prototypen muss sichergestellt werden, dass diese vor unberechtigter Einsicht, Fotografie sowie Zugriff ausreichend geschützt sind. 7. Die Verantwortlichen müssen dafür Sorge tragen, dass die Mitarbeiter regelmäßig und/oder bei Veränderungen der Schutzmaßnahmen im Hinblick auf den richtigen Umgang mit Prototypen und schützenswerten Daten geschult werden. Diese Rahmenanforderungen zum Prototypenschutz werden ausdrücklich als spezifische Ergänzung zu den Anforderungen der ISO formuliert. i Grundlage der Ausarbeitung sind die Rahmenanforderungen zur Produktsicherheit in der deutschen Automobilindustrie (Prototypenschutz), Version 1.0, IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer

14 Preis - Zertifizierung Was kostet eine Zertifizierung? Im Gegensatz zu Zertifizierungen z. B. nach ISO 9001 lassen sich die Kosten für eine Zertifizierung der IT-Sicherheit nicht bzw. nur sehr schwer allgemeingültig beziffern. Sie sind im konkreten Fall von folgenden Gegebenheiten/Einflussgrößen abhängig: 1. Strukturen der Institution (regionale Distribution, Anzahl der Niederlassungen und/oder Organisationseinheiten, Verteilung der Systeme) 2. Gesamt-Komplexität des IT-Systems (Anzahl und Art der Subsysteme und ihre Vernetzung) 3. Konkret zu zertifizierende Teile des gesamten Systems (Scopes) 4. Bei mehreren Teilen: Unterschiedlichkeit der einzelnen Teile und ihr Verhältnis zueinander (Konnektivität, Schnittstellen, Übergabepunkte) 5. Qualität der Dokumentation 6. Notwendigkeit zur Durchführung von sogenannten Funktionalitätsprüfungen zur Ergänzung der Dokumentation 7. Qualität der Umsetzung 8. Qualität und Umfang der Audit-Vorbereitungen Aufgrund der unterschiedlichen Ausprägung dieser Kosteneinflussfaktoren kann eine seriöse Preisschätzung für eine Zertifizierung nur auf der Basis einer groben Kenntnis der Einflussgrößen vorgenommen werden. Bitte fordern Sie bei einem konkreten Zertifizierungsvorhaben unser Angebot an. UIMCert GmbH Moltkestr Wuppertal Tel.: (02 02) Fax: (02 02) certification@uimcert.de Internet: IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer

15 Zertifikat Unternehmens- und Informations-Management Certification. R UIMCert GmbH Zertifikat D ie U IM C e r t - U n te r n e h m e n s - u n d In fo r m a tio n s -M a n a g e m e n t C e r tif ic a tio n b e s tä tig t h ie rm it d ie o rd n u n g s g e m ä ß e E rfü llu n g d e r A n fo rd e ru n g e n a n d a s IT-S y s te m d e r Muster Firma Muster Straße Muster Ort gem. ISO/ IEC 27001:2005 zuzüglich Prototypenschutz Das Zertifikat ist gültig bis: Tag.Monat.Jahr Geltungsbereich:... Registriernummer:... UIMCert GmbH - Moltkestr Wuppertal WUPPERTAL, Tag.Monat.Jahr GESCHÄFTSFÜHRUNG AUDITLEITER Akkreditiert von der TGA - Trägergemeinschaft für Akkreditierung GmbH TGA-ZM IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer 15

16 Kontakt UIMCert GMBH Moltkestraße Wuppertal Tel.: Fax: Internet: IT-Sicherheitsmanagement nach ISO/IEC für Automobilzulieferer 16