Management von Informationssystemen. Zertifizierungen für sichere Systeme und Prozesse

Transkript

1 Management von Informationssystemen Zertifizierungen für sichere Systeme und Prozesse

2 Informationssicherheits-Managementsystem (ISMS) ISO Wertvolle Informationen schützen Informationen sind Werte, deren Verlust, unbefugte Veröffentlichung oder Manipulation sei es durch Fehler, höhere Gewalt oder Vorsatz zu schweren juristischen und finanziellen Folgen sowie Imageschäden führen kann. Darum ist der verantwortungsbewusste Umgang mit ihnen wichtiger denn je Vertraulichkeit, Verfügbarkeit und Integrität sind dabei die zentralen Aspekte. Um Risiken entgegenzuwirken, empfiehlt sich die Einführung und Etablierung eines umfassenden Informationssicherheits-Managementsystems (ISMS). Informationssicherheits-Managementsystem Die Anforderungen an Aufbau, Betrieb und kontinuierliche Verbesserung eines dokumentierten ISMS definiert die international anerkannte Norm ISO Mit einem ISO Zertifikat von TÜV NORD CERT kann ein Unternehmen die Wirksamkeit seines Informationsmanagementsystems objektiv und glaubwürdig nachweisen. Im Rahmen eines integrierten Managementsystems bietet TÜV NORD CERT die Zertifizierung nach ISO auch zusammen mit einer Zertifizierung nach ISO 9001, ISO und ISO an. Vorteile der Zertifizierung nach ISO Die Zertifizierung ist für alle Organisationen und Unternehmen aus sämtlichen Branchen sinnvoll und nützlich. Die Zertifizierung bietet vielfältige Vorteile auf unterschiedlichen Ebenen: Schwachstellen beim Umgang mit Informationen werden durch die externe Überprüfung aufgedeckt Sicherheitsbewusstsein wird bei Mitarbeitern und Führungskräften vermittelt Die Verfügbarkeit von IT-Systemen und -Prozessen wird hinterfragt Risiken werden durch hohes Sicherheitsniveau und Einhaltung von Gesetzen minimiert Die Zertifizierung des ISMS durch eine anerkannte Zertifizierungsstelle schafft Vertrauen in der eigenen Organisation sowie bei Kunden, Partnern und Investoren Das ISMS wird kontinuierlich verbessert Zertifizierung gemäß ISO auch auf Basis BSI-Grundschutz Die TÜV NORD GROUP zertifiziert ein ISMS nach ISO gemäß internationaler Akkreditierung oder führt Audits nach ISO auf Basis der IT-Grundschutz-Richtlinien des BSI (Bundesamt für Sicherheit in der Informationstechnik) durch. Unsere Experten sind für beide Verfahren anerkannt und verfügen selbstverständlich über die Zulassung als ISO-9001-Auditoren. Im Rahmen der Auditierung werden Daten- und Informationssicherheit geprüft. Unter anderem werden folgende Sachverhalte hinterfragt: Ist sichergestellt, dass nur Berechtigte Zugang zu Informationen haben? Stimmen die Voraussetzungen dafür, dass Informationen genau, vollständig und richtig verarbeitet werden? Können autorisierte Nutzer auf Informationen und Systeme zugreifen, wenn diese benötigt werden? Ist die Echtheit von Informationen über deren gesamten Lebenszyklus hinweg erkennbar? Wir möchten Sie detailliert informieren Von uns bekommen Sie kompetente Unterstützung bei Ihren Informationsmanagementaktivitäten, wobei auch eine Integration in bereits bestehende Managementsysteme möglich ist. Die Norm ISO verfolgt einen technischen sowie einen organisatorischen Ansatz. Neben dem PDCA-Zyklus des Plan-Do-Check-Act sind hier auch technische Themen wie z. B. physikalische und personelle Sicherheit, Sicherheitsvorfälle, Zugangsschutz, Vorgehen im Notfall und Risikomanagement relevant. Anders als die Norm ISO 9001 stehen im Anhang zur Norm ISO präzise Forderungen, die genau zu erfüllen sind. Damit beinhaltet diese Norm einen ganzheitlichen Ansatz und bietet den Anwendern einen hohen Nutzen. Wir bieten Ihnen folgende Dienstleistungen im Rahmen der Zertifzierung: Gapanalyse Scoping-Workshop zur Festlegung des Geltungsbereichs Voraudit als Vorabbewertung der Zertifizierungsfähigkeit Ihres Systems Zertifizierung, auch als integrierte Zertifizierung mit ISO , ISO oder ISO 9001 ISO Alles unter Kontrolle: Sicherheit von Geschäftsinformationen zu jeder Zeit

3 Informationssicherheits-Managementsystem (ISMS) ISO Wir unterstützen Sie auch in der Vorbereitungsphase zur Zertifizierung Bei der Gapanalyse verschafft sich der Auditor vor Ort einen Überblick darüber, was bereits umgesetzt ist und was noch fehlt. Sie erfolgt unabhängig vom Zeitpunkt der Zertifizierung und kann jederzeit beauftragt werden. Ein Kurzbericht dokumentiert den Status des Unternehmens bezüglich Umsetzung der Normforderungen der ISO Im Scoping-Workshop wird der Geltungsbereich des ISMS festgelegt. Da der Geltungsbereich sich nach den Wertschöpfungsprozessen und den Informationssträngen richtet und nicht unbedingt nach Organisations einheiten, wird dieser Vorgang in der Praxis oft besser mit der Hilfestellung unserer erfahrenen Experten bewältigt. Der Scoping- Workshop dauert in der Regel einen Tag. Das Voraudit ist die Generalprobe für die Erstzertifizierung. Je nach Größe der Firma wird ein ein- bis mehrtägiges Audit mit Stichproben aus Organisationseinheiten und relevanten Themen durchgeführt. Auf dem Weg zur ersten Zertifizierung hilft es den Mitarbeitern, das Audit besser kennenzulernen. So werden Abweichungen und Verbesserungspotenziale aufgedeckt und können noch nachgebessert werden, ohne dass die Ergebnisse den finalen Auditbericht beeinflussen. Zu den Phasen der Zertifizierung für alle Standards beachten Sie bitte die Grafik auf der Rückseite dieses Prospektes. Dabei dienen Gapanalyse, Scoping-Workshop und Voraudit der Unterstützung in der Vorbereitungsphase. Sprechen Sie mit uns, damit wir Ihnen Antworten auf alle offenen Fragen geben können. Gerne senden wir Ihnen im nächsten Schritt ein konkretes Angebot. Wählen Sie dafür den direkten Dialog über unsere kostenlose Service-Hotline: Zertifizierungen von TÜV NORD CERT Bestmögliche Performance Informationsmanagement mit seiner Informationstechnologie ist zentraler Bestandteil faktisch aller Geschäftsprozesse und stellt deshalb hohe Anforderungen an die Qualität von IT-Prozessen, die Erfüllung von Service Level Agreements und die Kontinuität der Geschäftsabläufe. Daten sind besonders zu sichern, Infrastruktur, Prozesse und Software dürfen keine Sicherheitslücken aufweisen. TÜV NORD CERT bietet in diesem Zusammenhang die Bewertung und Zerti fizierung von Informationsmanagement, IT-Service-Management und Risiko management von Organisationen gemäß ISO 27001, ISO und ISO an. TÜV NORD CERT ist bei der Deutschen Akkreditierungsstelle (DAkkS) für die internationalen Standards ISO und ISO akkreditiert. Unsere Zertifizierung nach ISO ist durch die APMG International zugelassen, den Standardeigner und Akkreditierer dieser Norm. In der TÜV NORD GROUP werden darüber hinaus Schulungen und weitere Dienste angeboten. Alle Standards folgen dem PDCA-Zyklus der ISO 9001 und bieten damit eine weitreichende Kompatibilität untereinander. Eine kombinierte Zertifizierung bietet den Unternehmen einen ganzheitlichen Ansatz zur Ausrichtung und Steuerung ihrer Organisation. ISO 27001: Sichern, Schützen und Aufrechterhalten von wertvollen Informationen ISO : Best Practice im IT-Service-Management für Zuverlässigkeit und Kosteneffizienz ISO 22301: Unbedingte Geschäftskontinuität auch bei schwerer Betriebsstörung ISO 9001: Qualität und Kundenorientierung als Basis jedes Unternehmens Know-how, Unabhängigkeit und Neutralität führen zum Erfolg TÜV NORD CERT ist ein international anerkannter und zuverlässiger Partner für Prüf- und Zertifizierungsdienstleistungen. Unsere Sachverständigen und Auditoren verfügen über fundiertes Wissen, qualifizieren sich stetig weiter und arbeiten in Festanstellung bei TÜV NORD CERT. Hierdurch sind Unabhängigkeit und Neutralität sowie Kontinuität in der Betreuung unserer Kunden gewährleistet. Der Vorteil für Sie liegt auf der Hand: Unsere Auditoren begleiten und unterstützen verlässlich und ehrlich die Entwicklung Ihres Unternehmens und geben Ihnen ein objektives Feedback. ISO 9001 Zeichen setzen durch dokumentierte Leistungsfähigkeit für Qualität und Kundennähe

4 IT-Service-Managementsystem ISO Der Standard für Zuverlässigkeit und Effizienz im IT-Service-Management Leistungsfähige und verfügbare IT-Service-Managementprozesse im Dienst interner und externer Kunden spielen eine wichtige Rolle bei der Unterstützung von Geschäftsabläufen in Unternehmen und Organisationen: Sie ermög lichen bessere Lenkung und Kontrolle, steigern die Effizienz und bieten Chancen zur kontinuierlichen Verbesserung. Als integrativer Bestandteil vieler Arbeitsprozesse beeinflusst Informationstechnik die Wirtschaftlichkeit von Unternehmen maßgeblich ein entscheidender Grund, warum sich vor allem interne IT-Abteilungen und externe Anbieter von IT-Dienstleistungen mit der ISO aktiv auseinandersetzen. kontinuierliche Verbesserung der IT-Services durch erprobte Prozesse und Methoden Vorbeugung von Fehlern und Ausfällen Verbesserung des Ressourceneinsatzes und Steigerung der Produktivität im Kerngeschäft Erhöhung der Kundenzufriedenheit Steigerung der Transparenz innerhalb der Organisation Die zusätzliche Zertifizierung nach ISO ist eine ideale Ergänzung zum Service-Management. Mit leistungsstarken IT-Services punkten Ein reibungsloses IT-Service-Management ist eines der wesentlichen Kriterien für Leistungs- und Wettbewerbsfähigkeit. Es trägt maßgeblich zur Erschließung neuer Kundengruppen und Märkte bei. Umso wichtiger ist es, IT-Services stets verfügbar zu haben. So gilt es, ein Höchstmaß an Zuverlässigkeit, Funktionalität und Sicherheit zu erbringen und dies auch durch eine neutrale externe Begutachtung nachzuweisen. Vorteile der Zertifizierung nach ISO Eine Zertifizierung durch TÜV NORD CERT unterstützt bei der Systematisierung der IT-Serviceprozesse und erhöht die Sensibilität für effizientes Service-Management. Auch mögliche Schwächen lassen sich so einfacher identifizieren und beheben. Die Norm ISO bietet eine Anleitung zur Standardisierung von IT-Dienstleistungen, die zu erheblichen Qualitäts-und Kostenverbesserungen führen kann. Dabei verfolgt die Norm Grundsätze des Qualitätsmanagements ebenso wie Prozessoptimierung, Standardisierung und eine Ausrichtung der Prozesse nach ITIL. Durch den Nachweis der normierten, an ITIL orientierten Vorgehensweise steigt das Vertrauen interner und externer Kunden. Die IT Infrastructure Library (ITIL) ist eine Sammlung von Best Practices. Sie beschreibt die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse, die Aufbauorganisation und die notwendigen Werkzeuge. Die ITIL orientiert sich an dem durch den IT-Betrieb zu erbringenden wirtschaftlichen Mehrwert für den Kunden. Im Ergebnis sorgt die Verbesserung von Prozessen für Zuverlässigkeit und Kosteneffizienz bei der Erbringung von IT-Services. Wir möchten Sie detailliert informieren Von uns bekommen Sie kompetente Unterstützung bei Ihren Informationsmanagementaktivitäten, wobei auch eine Integration in bereits bestehende Managementsysteme möglich ist. Sprechen Sie mit uns, damit wir Ihnen Antworten auf Ihre konkreten Fragen geben können. Wählen Sie dafür den direkten Dialog über unsere kostenlose Service-Hotline: Damit sind viele weitere Vorteile verbunden: IT-Prozesse sind wirkungsvoller und effizienter gestaltet Nachweis der Leistungsfähigkeit zur Erbringung kundenspezifischer IT-Services (Service Level Agreements) ISO So lässt sich Qualität beweisen: hervorragendes und effizientes IT-Service-Management

5 Business Continuity Management (BCM) ISO Zuverlässige Geschäftskontinuität auch bei schwerer Betriebsstörung Unvorhersehbare Ereignisse können die Geschäftsprozesse eines Unternehmens empfindlich stören. Das gilt nicht nur für die Standorte des eigenen Unternehmens, sondern auch für alle unternehmenskritischen Lieferanten und Dienstleister eines Unternehmens. Globalisierung und Internationalisierung mit Outsourcing, Outtasking und der Einbindung zahlreicher Partner rund um den Globus führen zu komplexeren Situationen und damit zu steigenden Anforderungen an das Risikomanagement. Hauptgründe für die zunehmende Anfälligkeit für Störungen in modernen Geschäftsprozessen sind unter anderem: Naturkatastrophen und höhere Gewalt wie Überschwemmungen, Sturm oder Erdbeben Stromausfälle und Brände, die zu Störungen der Infrastruktur führen gesellschaftliche Verwerfungen wie Unruhen und politische Umbrüche, lokale und globale gesundheitliche Aspekte wie Epidemien oder Pandemien personelle oder materielle Verluste durch Anschläge oder Unfälle kriminelle Aktivitäten, Irrtum, Fehler oder Vorsatz Für den besonderen Fall gewappnet Oberstes Ziel des Business Continuity Management (BCM) ist der unbedingte Fortbestand einer Geschäftstätigkeit bei unvorhersehbaren negativen Ereignissen. Darüber hinaus sollen hohe finanzielle wie auch immaterielle Verluste oder gar der Konkurs abgewendet werden. Ein BCM ist unverzichtbar, um solche Unternehmensschäden zu minimieren und effektive Vorkehrungen für den Fall gravierender Störungen treffen zu können. Es entwickelt risikoorientierte Szenarien und regelt nach einer störungsbedingten Unterbrechung die Wiederaufnahme des regulären Betriebs in kürzestmöglicher Zeit die mittelfristige Wiederherstellung des Geschäftsbetriebes TÜV NORD CERT prüft im Audit die Ist-Situation, ermittelt Verbesserungspotenziale und Abweichungen. Werden die Anforderungen des Standards erfüllt, kann das Zertifikat erteilt werden. Unternehmen erhalten damit von neutralen Experten eine unabhängige, qualifizierte Aussage zur Belastbarkeit ihrer Notfallpläne und der Prozesse zur Wiederherstellung des Geschäftsbetriebs. Vorteile der Zertifizierung nach ISO Sie bietet nicht nur dem Unternehmen selbst, sondern auch dessen Kunden und Geschäftspartnern Vorteile und Nutzen: Bestätigung der Fähigkeit zur Geschäftskontinuität auch unter widrigen Umständen Unterstützung Ihrer Positionierung als verlässlicher Lieferant und Transparenz für Kunden mit hohen Sicherheitsforderungen Anstöße durch externe Experten für Ihren kontinuierlichen Verbesserungsprozess Reduzierung von Haftungsrisiken sowie Vertrauensbildung gegenüber Ihren Partnern stärkeres Sicherheitsbewusstsein im Unternehmen Wir möchten Sie detailliert informieren Von uns bekommen Sie kompetente Unterstützung bei Ihren Informationsmanagementaktivitäten, wobei auch eine Integration in bereits bestehende Managementsysteme möglich ist. Sprechen Sie mit uns, damit wir Ihnen Antworten auf alle offenen Fragen geben können. Gerne erstellen wir Ihnen im nächsten Schritt ein individuelles Angebot. Wählen Sie dafür den direkten Dialog über unsere kostenlose Service- Hotline: ISO Gut vorbereitet auf das Unvorhersehbare: Kontinuität des Geschäftsbetriebs bei Notfällen und in Krisen

6 Der Weg zum Zertifikat VORBEREITUNGSPHASE ZERTIFIZIERUNGSPHASE Angebotserstellung durch TÜV NORD CERT Scoping-Workshop/Prüfung des Geltungsbereichs/optional Voraudit/Vorbewertung optional Auditorenqualifikation im offenen Seminar Beauftragung von TÜV NORD CERT zur Zertifizierung Stufe-1-Audit: Feststellung der Zertifizierfähigkeit, Auditplanung Stufe-2-Audit: Zertifizierungsaudit Freigabe des Zertifizierungsprozesses durch die Zertifizierungsstelle Erteilung des Zertifikats, Gültigkeit: 3 Jahre, jährliche Überwachungsaudits Nach 3 Jahren Re zertifizierungsaudit Partner für Ihr Informationsmanagement TÜV NORD CERT und die TÜV NORD GROUP sind neutrale Experten für den Bereich Informationsmanagement mit all seinen Facetten und begleiten Sie lösungsorientiert bei Ihren betrieblichen Herausforderungen. Durch die Präsenz mit nationalen und internationalen Standorten steht ein Netz von Experten und Auditoren nach deutschen Qualifikationskriterien weltweit zur Verfügung. Dabei reicht der ganzheitliche Ansatz für die Dienstleistung vom Training über Scoping-Workshops und Pre-Assessments bis hin zum Zertifikat. Wir freuen uns auf das Gespräch mit Ihnen Wenn Sie Fragen zu den Inhalten dieser Broschüre haben oder eine Beratung zu einer Zertifizierung wünschen, wenden Sie sich bitte an unsere Fachgruppe Informationsmanagement unter der nachstehenden Adresse. Informationstechnologie_446.htm TÜV NORD CERT GmbH Langemarckstraße Essen Tel.: (kostenlose Service-Hotline) Fax: info.tncert@tuev-nord.de Weitere Informationen und eine Übersicht aller Standorte finden Sie unter /13