Novellierung der ISO Sicht einer Zertifizierungsstelle

Transkript

1 GmbH Novellierung der ISO Sicht einer Zertifizierungsstelle Internet: Moltkestr Wuppertal Telefon: (0202) Telefax: (0202)

2 Inhalte Konsequenzen für den Zertifizierer Besonderheiten des Transition Audits Erfahrungen im Umgang mit der Normumstellung 2

3 Timo Noll Informatikkaufmann Lead Auditor ISO Lizenzierter Auditteamleiter für ISO Audits auf der Basis von IT-GS Lead Auditor IDW PS 880 Lead Auditor IDW PS 330/331 Beim ULD anerkannter Mitarbeiter der Prüfstelle UIMCert GmbH 3

4 UIMCert GmbH Schulung/Weiterbildung Tools u. Organisationsmittel Auditierung Zertifizierung IT-Sicherheit Wissenschaftliche Projekte Datenschutz 4

5 Konsequenzen für den Zertifizierer Nachweis über Qualifikation der Auditoren Änderung der Akkreditierung nach ISO 27001:2013 Umstellung auf ISO 27006:2011 und ISO 17021:2011 => Konsequenzen für die Auditees 5

6 Qualifikation der Auditoren Die Zertifizierungsstelle muss die Kompetenz der Auditoren sicherstellen: Ermittlung von Schulungsbedarf der Auditoren Bereitstellung von Ressourcen zur Aus-/Weiterbildung oder Bereitstellung des Zugangs dazu Aber: Auch die Auditoren haben die Pflicht, ihr Wissen und ihre Fähigkeiten im Bereich der Informationssicherheit und der Auditierung fortlaufend aktuell zu halten. 6

7 Änderung der Akkreditierung Antrag an die DAkkS (Deutsche Akkreditierungsstelle GmbH ) zur Akkreditierungsänderung auf ISO 27001:2013 Formeller Antrag Umstellungsplan mit Verzeichnis erteilter Zertifikate gem. ISO 27001:2005 Liste der zugelassenen ISMS-Auditoren Nachweise der Schulungen zur ISO/IEC 27001:2013 7

8 Konsequenzen für die Auditees Bildung des Auditteams: Berücksichtigung von integrierten oder gemeinschaftlichen Audits Berücksichtigung bereits durchgeführter Audits der Auditoren beim Auditee Risikoorientierte Ermittlung der Auditdauer (Berücksichtigung der Produkte, Prozesse oder Tätigkeiten des Auditees) Zeit von Auditteammitgliedern, die nur zur Unterstützung teilnehmen, wird nicht gewertet (Fachexperten, Übersetzer/Dolmetscher, Beobachter, Trainees) Formelle detaillierte Forderung nach Eröffnungs- und Abschlussbesprechung einschließlich der Empfehlung bzgl. der Zertifizierung 8

9 Konsequenzen für die Auditees Hinzufügen der formalen Rollen Beobachter und Betreuer Verbesserungsmöglichkeiten dürfen aufgezeigt werden, wenn diese keine Nichtkonformitäten sind. Der Auditor darf keine Ursachen oder Lösungen von Nichtkonformitäten benennen / vorschlagen Analyse der Ursachen von Nichtkonformitäten durch den Auditee Verifizierung der Wirksamkeit der Korrekturmaßnahmen durch die Zert.-Stelle Ablehnung eines Antrags auf Zertifizierung durch die Zert.-Stelle muss begründet werden Bewertung der Leistungsfähigkeit des ISMS des Auditees in Bezug auf Gesetzestreue 9

10 Besonderheiten des Transition Audits Besondere Aspekte der Normumstellung Auditschwerpunkte aus Sicht des Zertifizierers Verständnis der Zertifizierungsstelle / wesentliche Unterschiede Freiheitsgrade des Auditees 10

11 Besondere Aspekte der Novellierung PDCA ist nicht mehr zwingend vorgeschrieben, es können auch andere Prozesse zur kontinuierlichen Verbesserung genutzt werden Anforderungen an das ISMS Umfeld und an den Scope werden stärker definiert. Die Anforderungen aller relevanten externen interested Parties bzw. interessierten Parteien müssen als Teil des ISMS beachtet werden Umsetzung des Annex A freiwillig (weiterhin Nachweis der Umsetzung der Anforderungen erforderlich) Eigenes Kapitel im Annex A zur Überwachung der Tätigkeiten von Lieferanten 11

12 Besondere Aspekte der Novellierung Risikoansatz geändert, es muss ein Risk-Owner definiert werden; Risiken sind in Bezug auf Vertraulichkeit, Verfügbarkeit und Integrität zu identifizieren. => In Anlehnung an die Risikomanagementstandards ISO und ISO Incident Management wird nun weiter gefasst, das Normkapitel Nichtkonformität deckt nicht nur Zwischenfälle und den Umgang mit solche ab, sondern auch alle andere Arten von Normabweichungen. Es gibt nun ein eigenes Kapitel zum Thema Überwachung und Effizienz des ISMS. Ein Unternehmen muss nun die Effizienz der umgesetzten Controls identifizieren, beschreiben und dokumentieren, KPIs müssen entwickelt werden. 12

13 Auditschwerpunkte aus Zertifizierersicht Umfeld der Organisation Risik management Incident management Informationssicherheit im BCM Umgang mit Dienstleistern/Lieferanten Measurement 13

14 Verständnis der Zertifizierungsstelle Auditoren sollten besonders auf Umgang der Auditees mit der Normumstellung eingehen Begutachtung des (geregelten) Verfahrens zur Umstellung u. U. Diskussion der Scope-Definition Beleuchtung der ISMS-Änderungen, bspw.: PDCA Definition der Objectives und Controls Risk management Incident Management BCM 14

15 Änderung der Freiheitsgrade der Auditees Erhöhung der Freiheitsgrade + PDCA Zyklus + Umgang mit Annex A Verringerung der Freiheitsgrade Scope-Definition (Änderungen marginal) Risk management Performance evaluation 15

16 Delta-Audit oder integriertes Transition Audit? Delta-Audit: Eigenständiges Audit zur Prüfung der neuen Normforderungen Transition Audit: Im Rahmen eines regulären Audits werden die Anforderungen der ISO 27001:2013 geprüft, besonderes Augenmerk auf neue Normforderungen Vorteile Delta-Audit: Freiere Zeitwahl beim Delta Audit Umstellung kann u. U. später erfolgen Nachteil: insgesamt aufwändiger, da 2 Audits durchgeführt werden müssen 16

17 Erfahrungen mit Auditees Kenntnis über Normumstellung Keine genaue Vorstellung über Inhalte/ Änderungen Häufig kein gesichertes Wissen über Umstellungszeiten vorhanden Umstellungswunsch: Transition Audit im Rahmen von Überwachungs- /Rezertifizierungsaudit Umstellung zum spätmöglichsten Zeitpunkt 17

18 Übergangszeiten; Konsequenzen für Auditees Ab 1. Oktober 2014 nur noch Erst- und Re-Zertifizierung gem. ISO 27001:2013 Überwachungsaudits nach 27001:2005 bei bestehenden Zertifikaten bis 09/2015 noch möglich Umstellung auf ISO 27001:2013 muss bis 30. September 2015 erfolgen, ab 01. Oktober 2015 ist die alte Norm ungültig 18

19 Konsequenzen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. ISO 27001: Festlegen des ISMS Definition des Anwendungsbereiches und der Grenzen des ISMS, unter Berücksichtigung der Eigenschaften des Geschäfts, der Organisation, ihres Standortes, ihrer Werte (Assets) und ihrer Technologie, einschließlich der Details über und Rechtfertigung von jeglichen Ausschlüssen aus dem Anwendungsbereich. ISO 27001:2013 (Scope-Definition) 4.3 Geltungsbereich des ISMS Die Organisation muss die Grenzen und die Anwendbarkeit des ISMS und damit seinen Geltungsbereich festlegen. Bei der Festlegung des Geltungsbereichs muss die Organisation folgendes berücksichtigen: a) die in 4.1 genannten externen und internen Angelegenheiten; b) die in 4.2 genannten Anforderungen; und c) Schnittstellen und Abhängigkeitsverhältnisse zwischen Tätigkeiten, die von der Organisation selbst durchgeführt werden, und Tätigkeiten anderer Organisationen. Der Geltungsbereich muss als dokumentierte Information verfügbar sein. 19

20 Konsequenzen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. ISO 27001: g) Auswahl der Maßnahmen für die Risikobehandlung Die Maßnahmenziele und Maßnahmen in Anhang A, die geeignet sind, die identifizierten Anforderungen abzudecken, müssen als Teil dieses Prozesses ausgewählt werden. Die in Anhang A angegebenen Maßnahmenziele und Maßnahmen sind nicht erschöpfend, und zusätzliche Maßnahmenziele und Maßnahmen dürfen ebenfalls ausgewählt werden. ISO 27001: b) Festlegen aller Maßnahmen, die zur lmplementierung der gewählten Optionen für die Sicherheitsrisikobehandlung erforderlich sind; ANMERKUNG: Organisationen können Maßnahmen nach Bedarf gestalten oder vorgefertigte Maßnahmen aus einer beliebigen Quelle wählen. c) Vergleich der nach b) festgelegten Maßnahmen mit den Maßnahmen in Anhang A und Vergewisserung, dass keine erforderlichen Kontrollmaßnahmen ausgelassen wurden; ANMERKUNG 1: [ ] Anwender dieser Internationalen Norm werden für die Sicherstellung, dass keine wichtigen Maßnahmen übersehen wurden, auf Anhang A verwiesen. ANMERKUNG 2 [ ] Die Liste der Maßnahmenziele und Maßnahmen in Anhang A ist nicht erschöpfend; u. U. sind weitere Maßnahmenziele und Maßnahmen erforderlich. 20

21 Konsequenzen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. ISO 27001:2005 Anhang A (normativ) Als Teil des in beschriebenen ISMS-Prozesses müssen Maßnahmenziele und Maßnahmen aus diesen Tabellen gewählt werden. ISO 27001:2013 Anhang A (normativ) Die Auswahl von Maßnahmenzielen und Maßnahmen aus diesen Tabellen stellt einen Teil des ISMprozesses nach Abschnitt (Risikobehandlung) dar. 21

22 Konsequenzen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. ISO 27001: d) Umsetzen und Durchführen des ISMS Definition eines Maßes für die Wirksamkeit der ausgewählten Maßnahmen oder Maßnahmengruppen; außerdem muss festgelegt werden, wie diese Maße benutzt werden können, um die Wirksamkeit der Maßnahmen einzuschätzen, und um dabei vergleichbare und reproduzierbare Resultate zu erhalten. ANMERKUNG Das Messen der Wirksamkeit von Maßnahmen ermöglicht es Managern und Personal, zu bestimmen, wie gut die Maßnahmen die vorgesehenen Maßnahmenziele erreichen. ISO 27001: Überwachung, Messung, Analyse und Auswertung Die Organisation muss die Leistung und die Wirksamkeit des ISMS auswerten. a) Was b) Wie c) Wann d) Wer e) [ ] f) [ ] ANMERKUNG Die ausgewählten Verfahren sollten zu vergleichbaren und reproduzierbaren Ergebnissen führen, die als aussagekräftig zu betrachten sind. 22

23 Delta-Betrachtung ISO 27001:2005 -> ISO 27001:2013 Quelle: BSIgroup.com Transition Guide ISO 27001:2005 <-> ISO 27001:

24 Interpretation von Neuerungen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. Context of the organization (4.1) Festlegung der interessierten Beteiligten, die für das ISMS relevant sind Festlegung der Anforderungen (gesetzliche und regulatorische Anforderungen, vertragliche Verpflichtungen) der interessierten Beteiligten an das ISMS Ermittlung der internen und externen Angelegenheiten 24

25 Interpretation von Neuerungen Das Bild kann zurzeit nicht angezeigt werden. Monitoring, Measurement, Analysis and Evaluation (9.1) => Wie kann man ein solche Leistungsbewertung überhaupt aufbauen und durchführen? Festlegung aller Items, die überwacht und gemessen werden sollen. (Inklusive Prozessen und Controls) Festlegung aller Methoden für die Überwachung, das Messen, das Analysieren und das Bewerten Festlegung wann die Überwachung und das Messen stattfinden soll Festlegung wer die Überwachung und das Messen durchführen soll Festlegung wann die Ergebnisse analysiert und bewerten werden sollen Festlegung wer die Ergebnisse analysieren und bewerten soll 25

26 ISO/IEC ISMS Umfeld der Organisation Context of the organisation Verstehen der Organisation und deren Umfeld Verstehen der Bedürfnisse und Erwartungen der interessierten Dritten Festlegung des Anwendungsbereichs des ISMS 26

27 4 Context of the organization Das Bild kann zurzeit nicht angezeigt werden. 4.1 Understanding the organization and its context The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system. NOTE: Determining these issues refers to establishing the external and internal context of the organization considered in Clause of ISO

28 4 Context of the organization Das Bild kann zurzeit nicht angezeigt werden. 4.2 Understanding the needs and expectations of interested parties The organization shall determine: a) interested parties that are relevant to the information security management system; and b) the requirements of these interested parties relevant to information security. NOTE: The requirements of interested parties may include legal and regulatory requirements and contractual obligations. 28

29 4 Context of the organization Das Bild kann zurzeit nicht angezeigt werden. 4.3 Determining the scope of the information security management system The organization shall determine the boundaries and applicability of the information security management system to establish its scope. When determining this scope, the organization shall consider: a) the external and internal issues referred to in 4.1; b) the requirements referred to in 4.2; and c) interfaces and dependencies between activities performed by the organisation, and those that are performed by other organisations. The scope shall be available as documented information. 29

30 ISO/IEC ISMS Managementrahmen Performance evaluation Die Organisation soll: die Leistungsfähigkeit und die Effektivität des ISMS beurteilen interne Audits in geplanten regelmäßigen Abständen durchführen durch das Top-Management das ISMS bewerten lassen 30

31 9 Performance Evaluation Das Bild kann zurzeit nicht angezeigt werden. 9.1 Monitoring, measurement, analysis and evaluation The organization shall evaluate the information security performance and the effectiveness of the information security management system. The organization shall determine: a) what needs to be monitored and measured, including information security processes and controls; b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results; 31

32 9 Performance Evaluation Das Bild kann zurzeit nicht angezeigt werden. c) when the monitoring and measuring shall be performed; d) who shall monitor and measure; e) when the results from monitoring and measurement shall be analyzed and evaluated; and f) who shall analyse and evaluate these results. The organization shall retain appropriate documented information as evidence of the monitoring and measurement results. 32

33 Kapitel 14: Systemplanung, -entwicklung und -wartung 14.2 Sicherheit in Entwicklungs- und Unterstützungsprozessen Ziel: Entwurf und Implementierung von Informationssicherheit in Informationssystemen Leitlinien zur sicheren Entwicklung Änderungskontrollverfahren Technische Kontrolle von Anwendungen nach Betriebssystemwechsel Einschränkungen von Änderungen an Softwarepaketen Sicherheitsrichtlinien für die Systementwicklung Sichere Entwicklungsumgebung ausgelagerte Softwareentwicklung Sicherheitstests Akzeptanztests ISO/IEC 27002:

34 Kapitel 15: Lieferantenbeziehungen 15.1 Informationssicherheit bei Lieferantenbeziehungen Ziel: Schutz der organisationseigenen Werte auf die Lieferanten zugreifen können Informationssicherheitsleitlinie für Lieferantenbeziehungen Adressieren von Sicherheit in Vereinbarungen mit Lieferanten Informations- und Kommunikationstechnologie in der Lieferkette 15.2 Verwaltung der Dienstleistungserbringung von Lieferanten Ziel: Aufrechterhaltung des vereinbarten Informationssicherheits- und Dienstleistungsniveaus im Einklang mit den Lieferantenvereinbarungen Überwachung und Bewertung der Dienstleistungen Management von Änderungen an Dienstleistungen der Lieferanten ISO/IEC 27002:

35 Kapitel 17: Informationssicherheitsaspekte im BCM 17.1 Fortbestand der Informationssicherheit Ziel: Der Fortbestand der Informationssicherheit soll in den Prozess der Sicherstellung der Fortführung des Geschäftsbetriebs (BCM) integriert sein Planen des Fortbestands der Informationssicherheit Implementierung des Fortbestands der Informationssicherheit Sicherstellung, Bewertung und Neubewertung des Fortbestands der Informationssicherheit 17.2 Redundanzen Ziel: Sicherstellung der Verfügbarkeit von Datenverarbeitungseinrichtungen Verfügbarkeit von Datenverarbeitungseinrichtungen ISO/IEC 27002:

36 ISO (Draft) Das Bild kann zurzeit nicht angezeigt werden Understanding the organization and its context Before starting the design and implementation of the framework for managing risk, it is important to understand both the internal and external context of the organization since these can influence significantly the design of the framework. Aspects of the organization s external context include, but not limited to: the cultural, political, legal, regulatory, financial, technological, economic, natural and competitive environment, whether international, national, regional or local; key drivers and trends having impact on the objectives of the organization; and perceptions and values of external stakeholders. 36

37 ISO (Draft) Das Bild kann zurzeit nicht angezeigt werden Understanding the organization and its context Aspects of the organization s internal context include, but not limited to: the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes, systems and technologies); information systems, information flows, and decision making processes (both formal and informal); internal stakeholders; policies, objectives, and the strategies that are in place to achieve them; perceptions, values and culture; standards and reference models adopted by the organization; and structures (e.g. governance, roles and accountabilities). 37