Bruno Tenhagen. Zertifizierung nach ISO/IEC 27001

Transkript

1 Bruno Tenhagen Zertifizierung nach ISO/IEC 27001

2 Übersicht über die Arbeitshilfen auditplan.doc Muster-Auditplan Das Klammersymbol im Text verweist auf die entsprechende Datei im Anhang. Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie. Detaillierte bibliografische Daten sind im Internet über abrufbar. ISBN by TÜV Media GmbH, TÜV Rheinland Group, TÜV, TUEV und TUV sind eingetragene Marken der TÜV Rheinland Group. Eine Nutzung und Verwendung bedarf der vorherigen Zustimmung durch das Unternehmen. Gesamtherstellung: TÜV Media GmbH, Köln 2014 Den Inhalt dieses E-Books finden Sie auch in dem Handbuch Information Security Management, TÜV Media GmbH, Köln. Die Inhalte dieses E-Books wurden von Autor und Verlag nach bestem Wissen und Gewissen erarbeitet und zusammengestellt. Eine rechtliche Gewähr für die Richtigkeit der einzelnen Angaben kann jedoch nicht übernommen werden. Gleiches gilt auch für Websites, auf die über Hyperlinks verwiesen wird. Es wird betont, dass wir keinerlei Einfluss auf die Inhalte und Formulierungen der verlinkten Seiten haben und auch keine Verantwortung für sie übernehmen. Grundsätzlich gelten die Wortlaute der Gesetzestexte und Richtlinien sowie die einschlägige Rechtssprechung.

3 Zertifizierung nach ISO/IEC Die internationalen Normen ISO/IEC und ISO/IEC liegen seit 2013 in einer neuen Version vor. Was ist neu, was hat sich geändert? Antworten finden Sie hier. Die Standards definieren die Anforderungen an ein leistungsfähiges Managementsystem für Informationssicherheit. Die Zertifizierung gemäß ISO/IEC garantiert einen wirksamen Schutz der Unternehmensinformationen vor Bedrohungen unterschiedlichster Natur und bescheinigt dem zertifizierten Unternehmen einen systematischen Sicherheitsprozess. Dieses E-Book vermittelt die notwendigen Schritte zur Vorbereitung, Durchführung und Aufrechterhaltung einer Unternehmenszertifizierung nach ISO/IEC 27001:2013 Arbeitshilfe: Muster-Auditplan ( auditplan.doc) Autor: Bruno Tenhagen Bruno.Tenhagen@de.tuv.com Dieses E-Book erläutert die Inhalte der internationalen Standards ISO/IEC 27001:2013 [1] und ISO/IEC 27002: 2013 [2]. Sie erfahren, wie die Prozesse und Maßnahmen für Informationssicherheit in einer Organisation normkonform und zertifizierbar im Sinne eines Informationssicher heits- Managementsystems (ISMS) gestaltet werden können. Da seit Oktober 2013 die Standards in einer überarbeiteten Version erschienen sind, wird hier auch auf die Änderungen eingegangen. Ziel des ISMS Ziel eines nach diesen Standards modellierten ISMS ist es, ein optimal angepasstes Sicherheitsniveau zu erreichen, das den Sicherheitsanforderungen der Geschäftsprozesse in Ihrer Organisation genügt. D. h., Sie sollen angemessene Maßnahmen zum Schutz ihrer Unternehmensinformation ergreifen nicht zu viel und nicht zu wenig. Allein Ihr spezifischer Schutzbedarf entscheidet über den Umfang Ihrer Anstrengungen. TÜV Media GmbH Seite 1

4 Durch die Zertifizierung auf der Basis dieser international bekannten und anerkannten Standards wird die Grundlage für die vertrauensvolle Zusammenarbeit zwischen unterschiedlichen Organisationen geschaffen. So wird es z. B. möglich, wechselseitig die Organisationssicherheit unter Geschäftspartnern einzuschätzen. Die Anwendung der Standards hilft Ihnen somit, einen objektiven Maßstab zu finden, die Situation der Informationssicherheit zu bewerten und kontinuierlich und systematisch zu verbessern. Nicht zuletzt können so auch die eigenen Anstrengungen zur Verbesserung der Informationssicherheit nach innen oder außen demonstriert werden. Auch sind z. B. konzerninterne Vergleiche möglich. Unabhängige Audits und eine Zerti - fizierung nach der Implementierung des Systems erbringen den objektiven Nachweis der normkonformen Implemen - tierung. Viele Kunden haben sich schon das eine oder andere Lieferantenaudit erspart, weil sie auf eine ISO/IEC Zertifizierung verweisen konnten. Die folgende systematische Beschreibung des Informationssicherheits-Manage - ment systems nach ISO/IEC zeigt auch die für eine Zertifizierung notwendigen Schritte auf. 1 Entwicklung des Standards Die ISO/IEC 27001:2013 basiert ursprünglich auf dem britischen Standard BS :2002. Aufgrund der starken internationalen Nachfrage wurde der britische Standard durch die International Standards Organization (ISO) übernommen, mehrfach überarbeitet und im Oktober 2013 in der aktuellen Fassung veröffentlicht. Der Vorgänger, die ISO/ IEC 27001:2005 war interessanterweise volle acht Jahre gültig, was sicher für den Standard spricht. Die jetzt vorliegende, jüngste Überarbeitung führte zu einigen wichtigen Änderungen. Zwar wurde die Informationssicherheit nicht TÜV Media GmbH Seite 2

5 neu erfunden; dennoch sind die Änderungen so mannigfaltig, dass es sich durchaus lohnt, einmal systematisch das Neuland zu erkunden. Die ISO/IEC enthält in einem Anhang A einen Katalog von generischen Maßnahmen, die Sie für Ihr ISMS nach Bedarf auswählen können die sog. Controls. Wie die ISO/IEC ist auch die ISO/IEC im Oktober 2013 neu erschienen. Dieser Leitfaden zum Management von Informationssicherheit wurde im Jahre 1995 erstmals veröffentlicht, damals noch als BS 7799 Teil 1. Die BS 7799 Teil 2 mit dem Titel Spezifikation für Managementsysteme für Informationssicherheit folgte dann Beide Teile wurden in Großbritannien 1999 noch einmal überarbeitet, bevor der erste Teil im Dezember 2000 unverändert als ISO/IEC erschien. Im Juli 2007 erschien schließlich ein Corrigendum, das nichts anderes als die Umbenennung von ISO/IEC in ISO/IEC beinhaltete. Es hat sich also nur die Nummer geändert. Im Oktober 2013 erschienen schließlich ISO/IEC und ISO/IEC in vollständig neu überarbeiteter Form. Historie Hier die vollständige Historie der Standards: Feb BS Feb BS Apr BS :1999 und BS :1999 Dez ISO/IEC 17799:2000 Sep BS :2002 Jun ISO/IEC 17799:2005 Okt ISO/IEC 27001:2005 TÜV Media GmbH Seite 3