Zertifizierung von IT-Standards Dozent Aykut Bader Datum 18. Oktober 2016 Ort Nürnberg
Akkreditierung & Zertifizierung Internationale Akkreditierungsforen (IAF) Nationale Akkreditierungsstellen (z.b. DAkkS, UKAS etc.) Akkreditierte Zertifizierungsstellen (FOX Certification und andere) gem. 17021, 17024, 27006 Quelle: Internet
Der Zertifizierungsablauf
Zertifikat = Zertifikat? Ist der Geltungsbereich wie gewünscht? Bezieht es sich auf das ganze Unternehmen? Auf welche(n) Standort(e) bezieht sich der Geltungsbereich? Bezieht sich der Geltungsbereich auf spezielle Services/Produkte? Der richtige Scope erspart unnötige Kosten! Ist die Zertifizierungsstelle akkreditiert? Welche Referenzen liegen in Ihrer Branche vor? Ist die Zertifizierungsstelle in Ihrer Branche bekannt? Wie reibungslos lief die Kommunikation in der Angebotsphase? Vergleichen Sie immer alle Kosten! Versteckte Kosten verteuern das Zertifikat unnötig (Gebühren, Fahrzeiten, zusätzliche Zertifikate etc.). Welche Vita kann der Auditor nachweisen?
Welche IT-Standards? Informationssicherheit ISO/IEC 27001 ISO/IEC 27002 ISO/IEC 27005 ISO/IEC 27019 ISO/IEC 27014 ISO/IEC 27018 ISO/IEC 15408 (CC) BSI-TR-03125 ISO/IEC TR 15443 ISO/IEC 29100 IT-Sicherheit ISO/IEC 15443 Identitäten ISO/IEC 24760 ISO/IEC 18045 ISO/IEC 21827 (SSE-CMM) ISO/IEC 24745 ISO/IEC 19784 ISO/IEC 30107 Gesetze/Vorschriften BDSG IT-SiG IDW PS 330/331 Biometrie ISO/IEC 19794 ISO/IEC 19785 ISO/IEC 29115 ISO/IEC 29191 ISO/IEC 29101 viele mehr DIN EN ISO 22301 ISO/IEC 20000 Quelle: BITKOM und Internet
Positive Erfahrungen Ein zertifiziertes Managementsystem? Auch für mein Unternehmen! Geregelte Haftung der obersten Leitung Erfüllung gesetzlicher und vertraglicher Anforderungen (IT-SiG, IT-SiK, GmbHG, KonTraG, HGB, TMG, MaRisk, BDSG, StGB, BGB, UrhG ) Haftungsfragen gegenüber Dritten Risikomanagement und Umgang mit Restrisiken Sicherheit folgt dem Business nicht umgekehrt! Schaffung einer Sicherheitskultur im Unternehmen Kosten senken durch Transparenz, Effizienz und Synergie mit bestehenden Standards Schutz vor Reputationsverlust oder Imageschäden Zugang in neue Märkte mit dem Zertifikat durch neutralen Nachweis Ihrer Leistungen
Ein typisches Beispiel für ISO/IEC 27001 Welche Kosten kommen auf mich zu? Der Aufwand orientiert sich u.a. an der Anzahl der MA im Scope (+ z.b. MA im Scope nach Vorgaben der BNetzA/DAkkS) der Anzahl der Standorte im Scope der Komplexität des ISMS (+ z.b. nach Vorgaben der BNetzA/DAkkS) bestehenden zertifizierten Managementsystemen (Synergieeffekte) Art, Komplexität und Technologie der Tätigkeit im Scope Ein Beispiel: ein Standort mit 120 MA und einfachen Tätigkeiten mit einer einfachen Server-Umgebung und einer Leitwarte (typisch Büro-Umgebungen) Kritische Anwendungen (Leitwarte, ERP, HR etc.) sind extern vergeben 12 PT gem. Tabelle nach ISO/IEC 27006 eventl. zulässige Reduktion um 30% = ca. 8,5 PT davon sind 6 PT vor Ort zu leisten (für Stufe 1 und Stufe 2) Etwa 3 PT pro Überwachungsaudits 14,5 PT für 3 Jahre
Stolpersteine Typische Stolpersteine, die wir bei der Zertifizierung vorfinden (ISO/IEC 27001) Unzureichende Dokumentation der Prozesse und der Technik Ermittlung & Darstellung Interessierte Parteien (4.2) Risikomanagement (Einbindung in das ERM, Follow-ups etc.) (6.1) Aufbau der SoA (6.1.3 d) Kompetenz, Sensibilisierung und Kommunikation (7.2, 7.3 und 7.4) Identifizierte Assets im Scope (A.8.1) Klassifizierung von Information (A.8.2) IS - Incident Management (A.16) IS Gewichtung im BCM-Programm (A.17) Bei Begehungen (Brandlasten oder Material im RZ oder in den Schränken, Schmutz, Wasser, unbeschriftete Geräte, Datenträger etc.)
Prüfpunkte im Audit Was sind typische Prüfpunkte im Audit (ISO/IEC 27001)? Risikomanagement und entsprechende Nachweise/Aufzeichnungen (6.1) Lenkung von Dokumenten und Aufzeichnungen (7.5.3) Richtlinien (Passwort, Zutrittskontrollen, Access-Management) Einbindung des ISMS in Unternehmensprozesse Interne Audits (Audit-Programm, techn. Prüfungen etc.) und Management Reviews (9.2/9.3) Nachweise über Verbesserungen des Managementsystems (10)
Pflichten? Rechte! Sie sind der Kunde! Bereiten Sie sich und das Team auf das Audit vor! Bestehen Sie auf die Einhaltung der Agenda! Holen Sie sich unmittelbar das Feedback des Auditors! Nehmen Sie die Abschlussgespräche ernst! Interne Audits sind wichtig. Beachten Sie daher die Anforderungen ganz besonders! (Unabhängigkeit und Qualifikation des Audit-Teams etc.). Orientieren Sie sich an Leitfäden wie z.b. DIN EN ISO 19011:2011-12
ISO Survey Ein paar Fakten aus 2015 1.519.952 weltweit ausgestellte Zertifikate in 2015 27.536 davon sind ISO/IEC 27001 Zertifikate (+20%) Top 10: Japan, UK, Indien, China, USA, Rumänien, Italien, Deutschland, Taipei, Spanien 994 davon wurden in Deutschland ausgestellt (ca. +55%)
FAZIT Die Zertifizierung bringt mehr Vorteile, als sie einen Mehraufwand bedeutet Lassen Sie sich zertifizieren Lassen Sie sich von der richtigen Zertifizierungsstelle zertifizieren
Schauen Sie doch mal vorbei Halle 12 / Stand 757 AUDITOREN GESUCHT
Vielen Dank für Ihre Aufmerksamkeit FOX Certification GmbH info@foxcertification.de Tel: 0800FOXCERT Steiermärker Straße 3-5 www.foxcertification.de Fax: +49 711/89660249 70469 Stuttgart