: Normung und Standards Version 2
Andreas Teuscher Compliance Auditor / Konzern DSB MBA Fokus Risk Managment (CISA, CGEIT, CRISC, ISO 27001 LA) Tel: +49.7681.202.5286 Email: andreas.teuscher@sick.de We lead worldwide with local competencies. Wir führen weltweit und bauen auf Kompetenzen vor Ort. We act with the long-term future in mind. Wir denken und handeln nachhaltig. We create superior customer benefit. Wir schaffen überlegenen Kundennutzen.
Wozu Normung Reden wir eigentlich von dem Selben? : Als Normung wird der Prozess bezeichnet, der zur Entstehung von Normen führt. : Die Normenreihe DIN 820 legt alle Aspekte der Normungsarbeit fest und bezeichnet Normung als die planmäßige, durch die interessierten Kreise gemeinschaftlich durchgeführte Vereinheitlichung von materiellen und immateriellen Gegenständen zum Nutzen der Allgemeinheit. : Sie dient der Sicherheit von Menschen und Sachen, sowie der Qualitätsverbesserung in allen Lebensbereichen. : Man könnte Normen als die Sprache der Wirtschaft bezeichnen. Eine Norm ist ein den Stand der Technik widerspiegelndes Dokument, welches in festgelegten Prozessen innerhalb einer Normungsorganisation entstanden ist. : Die genaue Definition des Begriffes Norm findet sich in der DIN EN 45020: "Dokument, das mit Konsens erstellt und von einer anerkannten Institution angenommen wurde und das für die allgemeine und wiederkehrende Anwendung Regeln, Leitlinien oder Merkmale für Tätigkeiten oder deren Ergebnisse festlegt ( )." Quelle: Deutsches Institut für Normung e.v. : SICK AG : öffentlich mit Zustimmung 3
Weitergabe von Dokumenten DIN 820-4:2000-01, Abschnitt 7 (Auszug) : Beratungen sind nicht öffentlich. : Sitzungsberichte, Beratungsunterlagen und insbesondere Norm-Vorlagen sind nur für den zuständigen Mitarbeiterkreis bestimmt. : Mitarbeiter dürfen jedoch die Stelle, die Sie autorisiert hat zur Meinungsbildung und zur Förderung des Normenvorhabens intern unterrichten. Quelle: Deutsches Institut für Normung e.v. : SICK AG : öffentlich mit Zustimmung 4
ISO/IEC JTC 1/SC 27 50 Nationen unter einem Dach Quelle: Deutsches Institut für Normung e.v. : SICK AG : öffentlich mit Zustimmung 5
Der DIN NIA-27 IT-Sicherheitsverfahren Arbeitsstruktur (Working Groups) Quelle: Deutsches Institut für Normung e.v. : SICK AG : öffentlich mit Zustimmung 6
Die ISMS Normenfamilie Übersicht der Standards Quelle: ISO27000 : SICK AG : öffentlich mit Zustimmung 7
Corporate Governance Der Strukturvorschlag ISO Business pressures Business needs Corporate Governance Of ICT Evaluate Direct Monitor : Die sechs Prinzipien 1. Verankern von Verantwortlichkeit für IT 2. Strategische IT-Ausrichtung zur Unterstützung von aktuellen und zukünftigen Geschäftszielen 3. Beschaffung von IT-Resourcen 4. Sicherstellen der Performance 5. Konformität der angebotenen Services mit Gesetzen und Standards 6. Sicherstellen, das IT das respektvolle Verhalten untereinander unterstützt (Regeln & Umgang) plans policies ICT Projects propoposals Performance conformance ICT Operations Business processes Quelle: ISO : SICK AG : öffentlich mit Zustimmung 8 8
Projektstatus für Dokumente Vom Beginn bis zur Publikation : Stage Action : Preliminary Study Period /Preliminary Work Item (PWI) : Proposal New work item Proposal (NP) : Preparation Working Draft (WD) : Commitee Committee Draft (CD) / Final CD : Enquiry Draft international Standard (DIS) / Final DIS : Publication Internation Standard (IS) Quelle: Deutsches Institut für Normung e.v. : SICK AG : öffentlich mit Zustimmung 9
Arbeitsumfang der WG1 Road Map Quelle:ISO / IEC JTC 1 /SC 27 : SICK AG : öffentlich mit Zustimmung 10
Öffentliche Websites Weblinks zu ISO Aktivitäten Webseite des SC 27: http://www.jtc1sc27.din.de/en - SC 27 Business Plan: http://www.jtc1sc27.din.de/sbe/bp > - SC 27 Programme of Work: http://www.jtc1sc27.din.de/sbe/pow - WG 1: http://www.jtc1sc27.din.de/sixcms_upload/media/3031/wg1_pow_may2009.pdf - WG 2: http://www.jtc1sc27.din.de/sixcms_upload/media/3031/wg3_pow_oct2008.57571.pdf - WG 3: http://www.jtc1sc27.din.de/sixcms_upload/media/3031/wg3_pow_may2009.pdf - WG 4: http://www.jtc1sc27.din.de/sixcms_upload/media/3031/wg4_pow_may2009.pdf - WG 5: http://www.jtc1sc27.din.de/sixcms_upload/media/3031/wg5_pow_may2009.pdf : SC 27 Programme of Work: http://www.jtc1sc27.din.de/sbe/pow > : Membership: http://www.jtc1sc27.din.de/sbe/members > : Bezugsquellen für ISO Standards - http://www.iso.org - http://www.beuth.de : Bitkom Kompass der IT-Sicherheitsstandards - http://www.bitkom.de : SICK AG : öffentlich mit Zustimmung 11
Organisatorisches zu FG Übersicht FG Leiter Herr Teuscher FG Stellvertreter Herr Anspach :Leitet die Fachgruppe :Hält die Verbindung zur ISO/DIN :Berichtet an den ISACA Vorstand :Verantwortlich für das Protokoll :Kümmert sich um CPE Anerkennung :Stimmt Publikationen mit dem German Chapter ab :Vertritt die FG nach Außen IDW PS 330 DIN ISO/IEC 27001 Referenztabelle & Praxisleitfaden Compliance & Berührungspunkte zu IT-Risiko Management Standards Nominierung z.b. ISO 27014, 27007 etc. ISACA international, ISO Liaison Subcommittee : SICK AG : öffentlich mit Zustimmung 12