Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

Transkript

1 , Hofäckerstr. 32, Zaberfeld Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen Das nachfolgend aufgeführte Unternehmen (im Folgenden Antragsteller genannt) beantragt die Zertifizierung eines ISMS gem. ISO/IEC 27001:2013: 1. Angaben zum Antragsteller: Firma: Branche: Vertreten durch: Ansprechpartner: Straße: PLZ/ Ort: Ggf. weitere Standorte gelistet als Anlage. 2. Kontaktdaten: Telefon : Telefax: Homepage: Seite 1 von 5

2 , Hofäckerstr. 32, Zaberfeld 3. Zertifizierungsart (zutreffendes ankreuzen) Der Antragsteller beantragt die Durchführung einer Erst-Zertifizierung Re-Zertifizierung des Siegels Nr.: 4. Gewünschter Geltungsbereich der Zertifizierung: 5. Wesentliche Aspekte der Prozesse und Tätigkeiten: Seite 2 von 5

3 , Hofäckerstr. 32, Zaberfeld 6. Allgemeine Informationen: Tätigkeiten im gewünschten Geltungsbereich (z. B. Vertrieb im Außendienst, Sekretariat, Produktion...) Spezifische rechtliche Verpflichtungen für den gewünschten Geltungsbereich (z. B. EnWG, TKG,...) Anzahl der Mitarbeiter im gewünschten Geltungsbereich Technische Ressourcen (z. B. Arbeitsplatzsysteme, Server, Cloud- Lösungen...) Funktionen und Beziehungen als Teil einer größeren Körperschaft (wenn relevant) Ausgegliederte Prozesse, die den gewünschten Geltungsbereich betreffen (z. B. Personalbuchhaltung durch Dienstleister, Wartung der Server,...) Wurden Beratungsleistungen zu Aufbau und Implementierung des ISMS in Anspruch genommen? Wenn Ja: Name des Beratungsunternehmens Name des/der beratenden Person/en Ort/Datum Unterschrift des Antragstellers Anlage: Fragebogen zum Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 Wird von der Zertifizierungsstelle ausgefüllt: Eingang: Anmerkungen: Antragsnummer: Angenommen: Ja Nein Seite 3 von 5

4 , Hofäckerstr. 32, Zaberfeld 7. Fragebogen zum Zertifizierungsantrag bitte zutreffende Bewertung ankreuzen (dient der Ermittlung erforderlicher Audittage Antrag kann nur mit ausgefülltem Fragebogen bearbeitet werden): Faktor Kriterium Gering Mittel Hoch 1a Anzahl sensibler oder vertraulicher Informationen 1b Anforderungen an die Verfügbarkeit 1. Komplexität des 1c Anzahl kritische Vermögenswerte ISMS 1d Geschäftsprozesse mit Schnittstellen zu anderen Geschäftseinheiten 2. Art des Geschäfts 2a regulatorische und rechtliche Anforderungen im Geltungsbereich des ISMS 2b Risiko im Rahmen der Geschäftstätigkeit 3a ISMS ist vollständig umgesetzt 3. bereits 3b Management-System-Komponenten existieren nachgewiesene und sind umgesetzt Leistungsfähigkeit des 3c Kontinuierlicher Verbesserungsprozess ist ISMS implementiert 4. Ausmaß und 4a Anzahl der unterschiedlichen IT-Plattformen Vielfältigkeit der 4b Anzahl getrennter Netzwerke genutzten 4c Anzahl der Schlüsselanwendungen Technologie 5. Ausmaß der 5a Anzahl externer Dienstleister und Lieferanten Auslagerungen und 5b Abhängigkeit von Dienstleistern oder Lieferanten Vereinbarungen mit dritten Parteien 5c Auswirkungen auf wichtige Geschäftsaktivitäten 6a Verwendung von standardisierten Software- Plattformen 6. Software- 6b Anteil kundenspezifische Software Entwicklung 6c Entwicklungsaktivitäten (intern oder durch Dienstleister) 7. Anzahl der Standorte sowie 7a Anforderungen an die Verfügbarkeit (z.b.: 24/7 Service) Anzahl der Ausweich- Standorte (i. S. 7b alternative Ausweichstandorte (i.s. Disaster Recovery) Disaster Recovery) 7c Anzahl Rechenzentren 8. Überwachungsoder Re- Zertifizierungsaudit (nur, wenn relevant): Menge und Ausmaß von Änderungen, die für das ISMS relevant sind 8a Änderungen seit dem letzten Rezertifizierungsaudit Ort/Datum Unterschrift des Antragstellers Seite 4 von 5

5 , Hofäckerstr. 32, Zaberfeld Erläuterungen: 1a 1b 1c 1d 2a 2b 3a 3b 3c 4a 4c 5a 5b 5c 6a 6c 7a 7b 7c 8a Informationen i. S. Gesundheitsdaten, persönliche Daten gem. Bundesdatenschutzgesetz, Versicherungsdaten, Bankdaten u. ä. Informationen im Geltungsbereich des ISMS, die in einem bestimmten Umfang/Dauer zur Verfügung stehen müssen Kritische Vermögenswerte im Geltungsbereich des ISMS mit hohem Schutzbedarf (s. Risiko- Management, Inventar) Abläufe im Unternehmen sind ggf. bereichsübergreifend, z. B. liegen in unterschiedlichen Verantwortlichkeiten Berücksichtigung besonderer gesetzlicher Vorgaben (Telekommunikation, Gesundheitswesen, Energieversorger u. a.) Grad der Gefährdung des Geschäfts, wenn die Informationen im Geltungsbereich des ISMS nicht zur Verfügung stehen, ungewollt verändert werden oder an unberechtigte Dritte gelangen Das ISMS ist bereits zertifiziert (nur bei Überwachungs- oder Re-Zertifizierungsaudit) bzw. der komplette Zyklus ist bereits durchlaufen (inkl. interne Audits und Managementbewertung) und entsprechende Nachweise liegen vor Die Komponenten des Managementsystems gem. ISO 27001:2013 (Normtext) Verbesserungspotenzial ist identifiziert und wird umgesetzt Angaben der IT Dienstleister, die im Geltungsbereich des ISMS tätig sind (z. B. Wartung, Entsorgung, Software-Entwicklung, Rechenzentrum usw.) Ggf. Ausweichmöglichkeiten auf andere Dienstleister vorhanden Auswirkungen bei Ausfall oder Fehlleistung eines Dienstleisters auf das Geschäft Angaben der IT Gefährdungen des Standorts (durch Umweltbedingungen wie mögliches Hochwasser u. ä.) Geschäftstätigkeit kann ausgelagert werden Auch externe Rechenzentren Nicht relevant bei Erst-Zertifizierung Seite 5 von 5