SerNet. Praxisbericht: Überwachungsaudit nach dem neuen Zertifizierungsschema. Alexander Koderman. SerNet GmbH

Transkript

1 Praxisbericht: Überwachungsaudit nach dem neuen Zertifizierungsschema Seite 1 / Service Network GmbH Alexander Koderman GmbH

2 Überwachungsaudit BSI Auditierungsschema: erteiltes Zertifikat ist mit jährlichen Überwachungsaudits verbunden muss von einem lizenzierten Auditor durchgeführt werden Bericht wird vom BSI geprüft hat einen deutlich geringeren Umfang als das Erst-Zertifizierungsaudit Seite 2 / Service Network GmbH

3 Seite 3 / Service Network GmbH Quelle: A.Kniesel, Wikimedia Commons

4 Seite 4 / Service Network GmbH Quelle: BSI Zertifizierungsschema V 1.0

5 Grundlagen - Organisation Fortschreibung der Referenzdokumente Zusammenstellung der Änderungen Angebot / Auftrag Auditor Einholen Unabhängigkeitserklärung Terminplanung (Fristen!) Unabhängigkeitserklärung: 1 Monat Prüfung: 9 Monate nach Zertifikatserteilung Bericht: 10 Monate nach Zertifikatserteilung Abweichungen / Nachforderungen / Nachfragen Seite 5 / Service Network GmbH

6 Seite 6 / Service Network GmbH Quelle: BSI Auditierungsschema V 1.0

7 Grundlagen - Auditor Ermittlung des Deltas im Informationsverbund Festlegung der zu prüfenden Teilaspekte Auswahl eines Baustein-Zielobjekts Liste der Abweichungen aus dem letzten Audit Terminplanung, Ansprache der Interviewpartner Festlegung der zu auditierenden Standorte -> Prüfplan Seite 7 / Service Network GmbH

8 Audit-Durchführung Prüfpunkte: Änderungen am Informationsverbund Wirksamkeit des ISMS Verbesserung und Aufrechterhaltung der IS Behebung der Abweichungen und Empfehlungen Prüfung des ausgewählten Bausteins Restrisiken gem. Referenzdokument A.7 Berichterstellung Abgabe / Redaktion / Nachbesserungen Seite 8 / Service Network GmbH

9 Aufwand Aktualisierung aller Referenzdokumente (24) mit Änderungsnachweisen Berücksichtigung von Änderungen: Grundschutzkataloge: wird bemerkt Auditierungsschema: evtl. neue Dokumente (A.7) Beispiel Umfang: A.2 Strukturanalyse 120 Seiten (+ Netzplan) A.3 Modellierung 100 Seiten A.6 Risikoanalyse 170 Seiten A.7 Risikobehandlung 300 Seiten A.4 BSC Seiten Seite 9 / Service Network GmbH

10 Anzeigepflicht wesentliche Änderungen müssen dem BSI gemeldet werden! unaufgefordert sobald sie eintreten formloses Schreiben an das BSI nicht erst zum Überwachungsaudit! Seite 10 / Service Network GmbH

11 Aufwand - Audit Prüfaspekte zu Änderungen je Schicht 5 Stichproben (inzwischen 4): Objekte Auditbericht Kap 2.4: Liste Kap. 4.2: detaillierte Dokumentation mit Feststellung, Prüfmethoden und Beschreibung ( ca Seiten) Prüfung eines Bausteins inkl. aller Maßnahmen Dokumentationsprüfung vor-ort Prüfung: Umsetzungsstatus, Feststellung im Detail mit Nachweisen, Prüfmethoden, Interviewpartner (ca. 10 Seiten) Seite 11 / Service Network GmbH

12 Aufwand - Audit Wirksamkeit des ISMS keine Bausteine, aber Prüfaspekte (Vorlage) 5 Schichten, insg. 29 Themen mit Beispielen Beispiele sind zu prüfen, ergibt max. 92 Prüfpunkte Auswahl von 2-3 Beispielen je Thema Dokumentation: Prüfthema, Schicht, Zielobjekt, Standort, Auditor, Interviewpartner, Prüfmethoden, Feststellungen, Nachweise (ca. 20 Seiten) tw. Redundanzen zu Bausteinprüfung / Ref.dok. grundsätzliche Probleme bei übergeordneten Aspekten unwahrscheinlich Seite 12 / Service Network GmbH

13 Aufwand - Audit Prüfung der Abweichungen und Empfehlungen geringfügige / schwerwiegende Abweichungen Empfehlungen sind nicht bindend (Aud.schema) Dokumentation mit Zielobjekt, Standort, Prüfmethode, Feststellung, Behebung, Nachweisen Liste der Nachweise: insg. 4-5 Seiten Umfang natürlich abhängig von Zahl der Abweichungen (i.d.r Seiten) Prüfung der Risikobehandlung auf Maßnahmenebene Stichprobe Dokumentation: s.o. Seite 13 / Service Network GmbH

14 Weitere Rahmenbedingungen Anzeigepflicht nicht erfüllt, Auditor informiert Zertifikat kann zurückgezogen werden! Wechsel des Audit-Teams muss ebenfalls angezeigt werden Dokumente: nicht Druckdatum sondern Datum der letzten inhaltlichen Änderung vermerken keine erneute vor-ort Prüfung von Nachbesserungen vorgesehen -> nächstes Audit Seite 14 / Service Network GmbH

15 Danke für Ihre Aufmerksamkeit! GmbH Bahnhofsallee 1b Schützenstr Göttingen Berlin Tel: Fax: Seite 15 / Service Network GmbH