Novellierung der ISO Sicht einer Zertifizierungsstelle

Ähnliche Dokumente
Novellierung der ISO Sicht einer Zertifizierungsstelle

Neuerungen und Anpassungen rund um ISO/IEC 27001:2013

Aktuelles zu den Revisionen der ISO 9001:2015 & ISO 14001: 2015

Änderungen ISO 27001: 2013

ISO/IEC Neue Version, neue Konzepte. Quo Vadis ISMS?

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

Eine ISO-Norm für Wissensmanagement?

ISO Reference Model

Darstellung und Anwendung der Assessmentergebnisse

ISO Reference Model

Sustainability Balanced Scorecard as a Framework for Eco-Efficiency Analysis

Trends und Entwicklungen in der Normung und in Österreich Vom Qualitätsmanagement bis zum Integrierten Management Axel Dick

ISO 9001: Einleitung. 1 Anwendungsbereich. 2 Normative Verweisungen. 4 Qualitätsmanagementsystem. 4.1 Allgemeine Anforderungen

Übersicht. Normung von Software in der Medizin. Vorstellung der DKE. Vorstellung der Normungsgremien. Normen im Bereich Software.

Software EMEA Performance Tour Juni, Berlin

Auditprogramm für die Zertifizierung. von Qualitätsmanagementsystemen. in Apotheken

Matrixzertifizierung von Unternehmen mit mehreren Standorten/ Niederlassungen.

IT Risk Management. Digicomp Hacking Day, Umberto Annino

IBM Demokratischere Haushalte, bessere Steuerung, fundierte Entscheidungen? Was leisten das neue kommunale Finanzwesen und Business Intelligence?

Aktuelles zur Revision der ISO 9001:2015

IT Governance im Zusammenspiel mit IT Audit

ISO 27001: ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

Qualitätsmanagement - Kundenzufriedenheit Leitfaden für die Behandlung von Reklamationen in Organisationen

Informationsveranstaltung von InnovaKom. Revision der ISO 9001 aus Zertifizierersicht. 27. August 2015, Paderborn

Ratiodata IT-Lösungen & Services GmbH Gustav-Stresemann-Weg 29 D Münster mit den Standorten gemäß Anlage.

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO

Brancheninfotag Revision der ISO 9001 Änderungen und Auswirkungen

ISO/IEC 27001/2. Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe

Anforderungen zum Auditoren-Pool. für das

VdS Cyber-Security der Brandschutz des 21. Jahrhunderts. Cyber-Security für kleine und mittlere Unternehmen (KMU)

Notfallmanagement Forum 2011 Nürnberg,

Cloud Architektur Workshop

COBIT. Proseminar IT Kennzahlen und Softwaremetriken Erik Muttersbach

Einführung eines ISMS nach ISO 27001:2013

ISO 9001:2015 Designen und Umsetzen

Sicherheit um jeden Preis? Bietet die zertifizierte Sicherheit garantierte Sicherheit?

Zertifizierung gemäß ISO/IEC 27001

Integrale Sanierungsentscheidungen - gemeinsame Betrachtung der Straße und aller Leitungsträger -

Zukunftsfähiges Qualitätsmanagement Normrevision ISO 9001:2015. DQS Workshop am 10. Juli 2014 Ihr Moderator: Bernd Flormann

ISO mit oder ohne BSI-Grundschutz? Oliver Müller

Normerfüllung in der Praxis am Beispiel "Tool Qualification" Dr. Anne Kramer, sepp.med gmbh

Ways and methods to secure customer satisfaction at the example of a building subcontractor

PEFC SCHWEIZ NORMATIVES DOKUMENT ND 003. Anforderungen zur Zertifizierung auf Ebene eines Betriebes

Know-How für die Medizintechnik

Anforderungen, KEFs und Nutzen der Software- Prozessverbesserung

Universität Basel WWZ HS 14. V6. Prüfungsvorbereitung und -planung

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

Neue Ansätze zur Bewertung von Informationssicherheitsrisiken in Unternehmen

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS :2006

How to develop and improve the functioning of the audit committee The Auditor s View

Die neue DIN EN ISO 9001:2015. Struktur-Inhalt-Änderungen

HIR Method & Tools for Fit Gap analysis

ISO und IEC Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

ISO/IEC & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO Auditor, CIS Wien

ZERTIFIKAT. IFS Food (Version 6, April 2014) DQS CFS GmbH. Brigitte Flachmeyer. DQS CFS GmbH. Hiermit bestätigt die Zertifizierungsstelle

Support Technologies based on Bi-Modal Network Analysis. H. Ulrich Hoppe. Virtuelles Arbeiten und Lernen in projektartigen Netzwerken

Softwareentwicklung nach der ISO9001?

Ausbildungsordnung für den EFA European Financial Advisor (in der Fassung vom )

Developing the business case for investing in corporate health and workplace partnership indicators and instruments Input

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

Anforderungskatalog - Begutachtung von Zertifizierungsstellen (BBAB)

LGA InterCert GmbH Nürnberg. Exzellente Patientenschulung. (c) Fachreferent Gesundheitswesen Martin Ossenbrink

IT-Grundschutz-Tag. Synergien zwischen IT- Grundschutz und ISO Berlin, Holger Bley. HiSolutions AG, Berlin

ISIS12 Tipps und Tricks

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Performance Measurement als Element der Governance von öffentlichen Verwaltungen

Sicherheit / Sicherung - unterschiedliche Begriffsbestimmung, gemeinsame Fachaspekte

Erfahrungen der. DQS GmbH. bei der Zertifizierung von Medizinprodukteherstellern

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT

Wie agil kann Business Analyse sein?

Dokumentation (ISO 26514) Prof. Sissi Closs Donnerstag,, 5. November 2009

BCM Schnellcheck. Referent Jürgen Vischer

Revision der ISO 9001:2015 und ISO 14001:2015

Prüfkatalog nach ISO/IEC 27001

Delegieren von IT- Sicherheitsaufgaben

ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau. secunomic GmbH

Know-How für die Medizintechnik

Dokument Nr. 528.dw. Ohne Klassifizierung. Begutachtete Stelle: Kontaktperson der Stelle:

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit

Zertifikate: Nutzen für wen?

Europäische Konformitätsbewertungsverfahren für Messgeräte

Deutsche Übersetzung des IAF Dokumentes IAF MD 4:2008

Prozessmanagement-Summit Definierte Standardprozesse als Grundlage für erfolgreiche Service Level Agreements

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Qualitätssicherungssystemen (QS-Systemen) - Auszug

ITIL & TOGAF die Doppelspitze für IT Governance

Lizenzmanagement auf Basis DBA Feature Usage Statistics?

Best Practise in England. Osnabrücker Baubetriebstage Yvette Etcell LLB Business Development & HR

Was geht Qualitätsmanagement/ Qualitätsicherung die Physiotherapeutenan? Beispiel einer zertifizierten Abteilung

Wer? Wie? Was? Reporting-Trends in Österreich

aqpa Vereinstreffen 15. Okt. 2014, Wien

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH BRC (GLOBAL STANDARD-FOOD)

Aktualisierung der ISO/IEC (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen

Aktuelle Informationen zur Revision der ISO 14001:2015 Umwelt Forum Saar Franz-Josef-Röder-Straße 9, Saarbrücken

Leitfaden für einen erfolgreichen Übergang von ISO 9001:2008 zu ISO 9001:2015

Leistungsbeschreibung Zertifizierung BCMS, ISMS, SMS

Transkript:

GmbH Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Inhalte Konsequenzen für den Zertifizierer Besonderheiten des Transition Audits Erfahrungen im Umgang mit der Normumstellung 2

Timo Noll Informatikkaufmann Lead Auditor ISO 27001 Lizenzierter Auditteamleiter für ISO 27001 Audits auf der Basis von IT-GS Lead Auditor IDW PS 880 Lead Auditor IDW PS 330/331 Beim ULD anerkannter Mitarbeiter der Prüfstelle UIMCert GmbH 3

UIMCert GmbH Schulung/Weiterbildung Tools u. Organisationsmittel Auditierung Zertifizierung IT-Sicherheit Wissenschaftliche Projekte Datenschutz 4

Konsequenzen für den Zertifizierer Nachweis über Qualifikation der Auditoren Änderung der Akkreditierung nach ISO 27001:2013 Umstellung auf ISO 27006:2011 und ISO 17021:2011 => Konsequenzen für die Auditees 5

Qualifikation der Auditoren Die Zertifizierungsstelle muss die Kompetenz der Auditoren sicherstellen: Ermittlung von Schulungsbedarf der Auditoren Bereitstellung von Ressourcen zur Aus-/Weiterbildung oder Bereitstellung des Zugangs dazu Aber: Auch die Auditoren haben die Pflicht, ihr Wissen und ihre Fähigkeiten im Bereich der Informationssicherheit und der Auditierung fortlaufend aktuell zu halten. 6

Änderung der Akkreditierung Antrag an die DAkkS (Deutsche Akkreditierungsstelle GmbH ) zur Akkreditierungsänderung auf ISO 27001:2013 Formeller Antrag Umstellungsplan mit Verzeichnis erteilter Zertifikate gem. ISO 27001:2005 Liste der zugelassenen ISMS-Auditoren Nachweise der Schulungen zur ISO/IEC 27001:2013 7

Konsequenzen für die Auditees Bildung des Auditteams: Berücksichtigung von integrierten oder gemeinschaftlichen Audits Berücksichtigung bereits durchgeführter Audits der Auditoren beim Auditee Risikoorientierte Ermittlung der Auditdauer (Berücksichtigung der Produkte, Prozesse oder Tätigkeiten des Auditees) Zeit von Auditteammitgliedern, die nur zur Unterstützung teilnehmen, wird nicht gewertet (Fachexperten, Übersetzer/Dolmetscher, Beobachter, Trainees) Formelle detaillierte Forderung nach Eröffnungs- und Abschlussbesprechung einschließlich der Empfehlung bzgl. der Zertifizierung 8

Konsequenzen für die Auditees Hinzufügen der formalen Rollen Beobachter und Betreuer Verbesserungsmöglichkeiten dürfen aufgezeigt werden, wenn diese keine Nichtkonformitäten sind. Der Auditor darf keine Ursachen oder Lösungen von Nichtkonformitäten benennen / vorschlagen Analyse der Ursachen von Nichtkonformitäten durch den Auditee Verifizierung der Wirksamkeit der Korrekturmaßnahmen durch die Zert.-Stelle Ablehnung eines Antrags auf Zertifizierung durch die Zert.-Stelle muss begründet werden Bewertung der Leistungsfähigkeit des ISMS des Auditees in Bezug auf Gesetzestreue 9

Besonderheiten des Transition Audits Besondere Aspekte der Normumstellung Auditschwerpunkte aus Sicht des Zertifizierers Verständnis der Zertifizierungsstelle / wesentliche Unterschiede Freiheitsgrade des Auditees 10

Besondere Aspekte der Novellierung PDCA ist nicht mehr zwingend vorgeschrieben, es können auch andere Prozesse zur kontinuierlichen Verbesserung genutzt werden Anforderungen an das ISMS Umfeld und an den Scope werden stärker definiert. Die Anforderungen aller relevanten externen interested Parties bzw. interessierten Parteien müssen als Teil des ISMS beachtet werden Umsetzung des Annex A freiwillig (weiterhin Nachweis der Umsetzung der Anforderungen erforderlich) Eigenes Kapitel im Annex A zur Überwachung der Tätigkeiten von Lieferanten 11

Besondere Aspekte der Novellierung Risikoansatz geändert, es muss ein Risk-Owner definiert werden; Risiken sind in Bezug auf Vertraulichkeit, Verfügbarkeit und Integrität zu identifizieren. => In Anlehnung an die Risikomanagementstandards ISO 27005 und ISO 31000 Incident Management wird nun weiter gefasst, das Normkapitel Nichtkonformität deckt nicht nur Zwischenfälle und den Umgang mit solche ab, sondern auch alle andere Arten von Normabweichungen. Es gibt nun ein eigenes Kapitel zum Thema Überwachung und Effizienz des ISMS. Ein Unternehmen muss nun die Effizienz der umgesetzten Controls identifizieren, beschreiben und dokumentieren, KPIs müssen entwickelt werden. 12

Auditschwerpunkte aus Zertifizierersicht Umfeld der Organisation Risik management Incident management Informationssicherheit im BCM Umgang mit Dienstleistern/Lieferanten Measurement 13

Verständnis der Zertifizierungsstelle Auditoren sollten besonders auf Umgang der Auditees mit der Normumstellung eingehen Begutachtung des (geregelten) Verfahrens zur Umstellung u. U. Diskussion der Scope-Definition Beleuchtung der ISMS-Änderungen, bspw.: PDCA Definition der Objectives und Controls Risk management Incident Management BCM 14

Änderung der Freiheitsgrade der Auditees Erhöhung der Freiheitsgrade + PDCA Zyklus + Umgang mit Annex A Verringerung der Freiheitsgrade Scope-Definition (Änderungen marginal) Risk management Performance evaluation 15

Delta-Audit oder integriertes Transition Audit? Delta-Audit: Eigenständiges Audit zur Prüfung der neuen Normforderungen Transition Audit: Im Rahmen eines regulären Audits werden die Anforderungen der ISO 27001:2013 geprüft, besonderes Augenmerk auf neue Normforderungen Vorteile Delta-Audit: Freiere Zeitwahl beim Delta Audit Umstellung kann u. U. später erfolgen Nachteil: insgesamt aufwändiger, da 2 Audits durchgeführt werden müssen 16

Erfahrungen mit Auditees Kenntnis über Normumstellung Keine genaue Vorstellung über Inhalte/ Änderungen Häufig kein gesichertes Wissen über Umstellungszeiten vorhanden Umstellungswunsch: Transition Audit im Rahmen von Überwachungs- /Rezertifizierungsaudit Umstellung zum spätmöglichsten Zeitpunkt 17

Übergangszeiten; Konsequenzen für Auditees Ab 1. Oktober 2014 nur noch Erst- und Re-Zertifizierung gem. ISO 27001:2013 Überwachungsaudits nach 27001:2005 bei bestehenden Zertifikaten bis 09/2015 noch möglich Umstellung auf ISO 27001:2013 muss bis 30. September 2015 erfolgen, ab 01. Oktober 2015 ist die alte Norm ungültig 18

Konsequenzen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. ISO 27001:2005 4.2.1 Festlegen des ISMS Definition des Anwendungsbereiches und der Grenzen des ISMS, unter Berücksichtigung der Eigenschaften des Geschäfts, der Organisation, ihres Standortes, ihrer Werte (Assets) und ihrer Technologie, einschließlich der Details über und Rechtfertigung von jeglichen Ausschlüssen aus dem Anwendungsbereich. ISO 27001:2013 (Scope-Definition) 4.3 Geltungsbereich des ISMS Die Organisation muss die Grenzen und die Anwendbarkeit des ISMS und damit seinen Geltungsbereich festlegen. Bei der Festlegung des Geltungsbereichs muss die Organisation folgendes berücksichtigen: a) die in 4.1 genannten externen und internen Angelegenheiten; b) die in 4.2 genannten Anforderungen; und c) Schnittstellen und Abhängigkeitsverhältnisse zwischen Tätigkeiten, die von der Organisation selbst durchgeführt werden, und Tätigkeiten anderer Organisationen. Der Geltungsbereich muss als dokumentierte Information verfügbar sein. 19

Konsequenzen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. ISO 27001:2005 4.2.1 g) Auswahl der Maßnahmen für die Risikobehandlung Die Maßnahmenziele und Maßnahmen in Anhang A, die geeignet sind, die identifizierten Anforderungen abzudecken, müssen als Teil dieses Prozesses ausgewählt werden. Die in Anhang A angegebenen Maßnahmenziele und Maßnahmen sind nicht erschöpfend, und zusätzliche Maßnahmenziele und Maßnahmen dürfen ebenfalls ausgewählt werden. ISO 27001:2013 6.1.3 b) Festlegen aller Maßnahmen, die zur lmplementierung der gewählten Optionen für die Sicherheitsrisikobehandlung erforderlich sind; ANMERKUNG: Organisationen können Maßnahmen nach Bedarf gestalten oder vorgefertigte Maßnahmen aus einer beliebigen Quelle wählen. c) Vergleich der nach 6.1.3 b) festgelegten Maßnahmen mit den Maßnahmen in Anhang A und Vergewisserung, dass keine erforderlichen Kontrollmaßnahmen ausgelassen wurden; ANMERKUNG 1: [ ] Anwender dieser Internationalen Norm werden für die Sicherstellung, dass keine wichtigen Maßnahmen übersehen wurden, auf Anhang A verwiesen. ANMERKUNG 2 [ ] Die Liste der Maßnahmenziele und Maßnahmen in Anhang A ist nicht erschöpfend; u. U. sind weitere Maßnahmenziele und Maßnahmen erforderlich. 20

Konsequenzen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. ISO 27001:2005 Anhang A (normativ) Als Teil des in 4.2.1 beschriebenen ISMS-Prozesses müssen Maßnahmenziele und Maßnahmen aus diesen Tabellen gewählt werden. ISO 27001:2013 Anhang A (normativ) Die Auswahl von Maßnahmenzielen und Maßnahmen aus diesen Tabellen stellt einen Teil des ISMprozesses nach Abschnitt 6.1.3 (Risikobehandlung) dar. 21

Konsequenzen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. ISO 27001:2005 4.2.2 d) Umsetzen und Durchführen des ISMS Definition eines Maßes für die Wirksamkeit der ausgewählten Maßnahmen oder Maßnahmengruppen; außerdem muss festgelegt werden, wie diese Maße benutzt werden können, um die Wirksamkeit der Maßnahmen einzuschätzen, und um dabei vergleichbare und reproduzierbare Resultate zu erhalten. ANMERKUNG Das Messen der Wirksamkeit von Maßnahmen ermöglicht es Managern und Personal, zu bestimmen, wie gut die Maßnahmen die vorgesehenen Maßnahmenziele erreichen. ISO 27001:2013 9.1 Überwachung, Messung, Analyse und Auswertung Die Organisation muss die Leistung und die Wirksamkeit des ISMS auswerten. a) Was b) Wie c) Wann d) Wer e) [ ] f) [ ] ANMERKUNG Die ausgewählten Verfahren sollten zu vergleichbaren und reproduzierbaren Ergebnissen führen, die als aussagekräftig zu betrachten sind. 22

Delta-Betrachtung ISO 27001:2005 -> ISO 27001:2013 Quelle: BSIgroup.com http://www.bsigroup.com/documents/iso-27001/resources/bsi-iso27001-mapping-guide-uk-en.pdf Transition Guide ISO 27001:2005 <-> ISO 27001:2013 http://www.bsigroup.com/localfiles/en-gb/iso-iec-27001/resources/bsi-iso27001-transition-guide-uk-en-pdf.pdf 23

Interpretation von Neuerungen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. Context of the organization (4.1) Festlegung der interessierten Beteiligten, die für das ISMS relevant sind Festlegung der Anforderungen (gesetzliche und regulatorische Anforderungen, vertragliche Verpflichtungen) der interessierten Beteiligten an das ISMS Ermittlung der internen und externen Angelegenheiten 24

Interpretation von Neuerungen Das Bild kann zurzeit nicht angezeigt werden. Monitoring, Measurement, Analysis and Evaluation (9.1) => Wie kann man ein solche Leistungsbewertung überhaupt aufbauen und durchführen? Festlegung aller Items, die überwacht und gemessen werden sollen. (Inklusive Prozessen und Controls) Festlegung aller Methoden für die Überwachung, das Messen, das Analysieren und das Bewerten Festlegung wann die Überwachung und das Messen stattfinden soll Festlegung wer die Überwachung und das Messen durchführen soll Festlegung wann die Ergebnisse analysiert und bewerten werden sollen Festlegung wer die Ergebnisse analysieren und bewerten soll 25

ISO/IEC 27001 - ISMS Umfeld der Organisation Context of the organisation Verstehen der Organisation und deren Umfeld Verstehen der Bedürfnisse und Erwartungen der interessierten Dritten Festlegung des Anwendungsbereichs des ISMS 26

4 Context of the organization Das Bild kann zurzeit nicht angezeigt werden. 4.1 Understanding the organization and its context The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system. NOTE: Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.3.1 of ISO 31000. 27

4 Context of the organization Das Bild kann zurzeit nicht angezeigt werden. 4.2 Understanding the needs and expectations of interested parties The organization shall determine: a) interested parties that are relevant to the information security management system; and b) the requirements of these interested parties relevant to information security. NOTE: The requirements of interested parties may include legal and regulatory requirements and contractual obligations. 28

4 Context of the organization Das Bild kann zurzeit nicht angezeigt werden. 4.3 Determining the scope of the information security management system The organization shall determine the boundaries and applicability of the information security management system to establish its scope. When determining this scope, the organization shall consider: a) the external and internal issues referred to in 4.1; b) the requirements referred to in 4.2; and c) interfaces and dependencies between activities performed by the organisation, and those that are performed by other organisations. The scope shall be available as documented information. 29

ISO/IEC 27001 - ISMS Managementrahmen Performance evaluation Die Organisation soll: die Leistungsfähigkeit und die Effektivität des ISMS beurteilen interne Audits in geplanten regelmäßigen Abständen durchführen durch das Top-Management das ISMS bewerten lassen 30

9 Performance Evaluation Das Bild kann zurzeit nicht angezeigt werden. 9.1 Monitoring, measurement, analysis and evaluation The organization shall evaluate the information security performance and the effectiveness of the information security management system. The organization shall determine: a) what needs to be monitored and measured, including information security processes and controls; b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results; 31

9 Performance Evaluation Das Bild kann zurzeit nicht angezeigt werden. c) when the monitoring and measuring shall be performed; d) who shall monitor and measure; e) when the results from monitoring and measurement shall be analyzed and evaluated; and f) who shall analyse and evaluate these results. The organization shall retain appropriate documented information as evidence of the monitoring and measurement results. 32

Kapitel 14: Systemplanung, -entwicklung und -wartung 14.2 Sicherheit in Entwicklungs- und Unterstützungsprozessen Ziel: Entwurf und Implementierung von Informationssicherheit in Informationssystemen 14.2.1 Leitlinien zur sicheren Entwicklung 14.2.2 Änderungskontrollverfahren 14.2.3 Technische Kontrolle von Anwendungen nach Betriebssystemwechsel 14.2.4 Einschränkungen von Änderungen an Softwarepaketen 14.2.5 Sicherheitsrichtlinien für die Systementwicklung 14.2.6 Sichere Entwicklungsumgebung 14.2.7 ausgelagerte Softwareentwicklung 14.2.8 Sicherheitstests 14.2.9 Akzeptanztests ISO/IEC 27002:2013 33

Kapitel 15: Lieferantenbeziehungen 15.1 Informationssicherheit bei Lieferantenbeziehungen Ziel: Schutz der organisationseigenen Werte auf die Lieferanten zugreifen können 15.1.1 Informationssicherheitsleitlinie für Lieferantenbeziehungen 15.1.2 Adressieren von Sicherheit in Vereinbarungen mit Lieferanten 15.1.3 Informations- und Kommunikationstechnologie in der Lieferkette 15.2 Verwaltung der Dienstleistungserbringung von Lieferanten Ziel: Aufrechterhaltung des vereinbarten Informationssicherheits- und Dienstleistungsniveaus im Einklang mit den Lieferantenvereinbarungen 15.2.1 Überwachung und Bewertung der Dienstleistungen 15.2.2 Management von Änderungen an Dienstleistungen der Lieferanten ISO/IEC 27002:2013 34

Kapitel 17: Informationssicherheitsaspekte im BCM 17.1 Fortbestand der Informationssicherheit Ziel: Der Fortbestand der Informationssicherheit soll in den Prozess der Sicherstellung der Fortführung des Geschäftsbetriebs (BCM) integriert sein. 17.1.1 Planen des Fortbestands der Informationssicherheit 17.1.2 Implementierung des Fortbestands der Informationssicherheit 17.1.3 Sicherstellung, Bewertung und Neubewertung des Fortbestands der Informationssicherheit 17.2 Redundanzen Ziel: Sicherstellung der Verfügbarkeit von Datenverarbeitungseinrichtungen 17.2.1 Verfügbarkeit von Datenverarbeitungseinrichtungen ISO/IEC 27002:2013 35

ISO 31000 5.3.1 (Draft) Das Bild kann zurzeit nicht angezeigt werden. 5.3.1 Understanding the organization and its context Before starting the design and implementation of the framework for managing risk, it is important to understand both the internal and external context of the organization since these can influence significantly the design of the framework. Aspects of the organization s external context include, but not limited to: the cultural, political, legal, regulatory, financial, technological, economic, natural and competitive environment, whether international, national, regional or local; key drivers and trends having impact on the objectives of the organization; and perceptions and values of external stakeholders. 36

ISO 31000 5.3.1 (Draft) Das Bild kann zurzeit nicht angezeigt werden. 5.3.1 Understanding the organization and its context Aspects of the organization s internal context include, but not limited to: the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes, systems and technologies); information systems, information flows, and decision making processes (both formal and informal); internal stakeholders; policies, objectives, and the strategies that are in place to achieve them; perceptions, values and culture; standards and reference models adopted by the organization; and structures (e.g. governance, roles and accountabilities). 37

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback