GmbH Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de
Inhalte Konsequenzen für den Zertifizierer Besonderheiten des Transition Audits Erfahrungen im Umgang mit der Normumstellung 2
Timo Noll Informatikkaufmann Lead Auditor ISO 27001 Lizenzierter Auditteamleiter für ISO 27001 Audits auf der Basis von IT-GS Lead Auditor IDW PS 880 Lead Auditor IDW PS 330/331 Beim ULD anerkannter Mitarbeiter der Prüfstelle UIMCert GmbH 3
UIMCert GmbH Schulung/Weiterbildung Tools u. Organisationsmittel Auditierung Zertifizierung IT-Sicherheit Wissenschaftliche Projekte Datenschutz 4
Konsequenzen für den Zertifizierer Nachweis über Qualifikation der Auditoren Änderung der Akkreditierung nach ISO 27001:2013 Umstellung auf ISO 27006:2011 und ISO 17021:2011 => Konsequenzen für die Auditees 5
Qualifikation der Auditoren Die Zertifizierungsstelle muss die Kompetenz der Auditoren sicherstellen: Ermittlung von Schulungsbedarf der Auditoren Bereitstellung von Ressourcen zur Aus-/Weiterbildung oder Bereitstellung des Zugangs dazu Aber: Auch die Auditoren haben die Pflicht, ihr Wissen und ihre Fähigkeiten im Bereich der Informationssicherheit und der Auditierung fortlaufend aktuell zu halten. 6
Änderung der Akkreditierung Antrag an die DAkkS (Deutsche Akkreditierungsstelle GmbH ) zur Akkreditierungsänderung auf ISO 27001:2013 Formeller Antrag Umstellungsplan mit Verzeichnis erteilter Zertifikate gem. ISO 27001:2005 Liste der zugelassenen ISMS-Auditoren Nachweise der Schulungen zur ISO/IEC 27001:2013 7
Konsequenzen für die Auditees Bildung des Auditteams: Berücksichtigung von integrierten oder gemeinschaftlichen Audits Berücksichtigung bereits durchgeführter Audits der Auditoren beim Auditee Risikoorientierte Ermittlung der Auditdauer (Berücksichtigung der Produkte, Prozesse oder Tätigkeiten des Auditees) Zeit von Auditteammitgliedern, die nur zur Unterstützung teilnehmen, wird nicht gewertet (Fachexperten, Übersetzer/Dolmetscher, Beobachter, Trainees) Formelle detaillierte Forderung nach Eröffnungs- und Abschlussbesprechung einschließlich der Empfehlung bzgl. der Zertifizierung 8
Konsequenzen für die Auditees Hinzufügen der formalen Rollen Beobachter und Betreuer Verbesserungsmöglichkeiten dürfen aufgezeigt werden, wenn diese keine Nichtkonformitäten sind. Der Auditor darf keine Ursachen oder Lösungen von Nichtkonformitäten benennen / vorschlagen Analyse der Ursachen von Nichtkonformitäten durch den Auditee Verifizierung der Wirksamkeit der Korrekturmaßnahmen durch die Zert.-Stelle Ablehnung eines Antrags auf Zertifizierung durch die Zert.-Stelle muss begründet werden Bewertung der Leistungsfähigkeit des ISMS des Auditees in Bezug auf Gesetzestreue 9
Besonderheiten des Transition Audits Besondere Aspekte der Normumstellung Auditschwerpunkte aus Sicht des Zertifizierers Verständnis der Zertifizierungsstelle / wesentliche Unterschiede Freiheitsgrade des Auditees 10
Besondere Aspekte der Novellierung PDCA ist nicht mehr zwingend vorgeschrieben, es können auch andere Prozesse zur kontinuierlichen Verbesserung genutzt werden Anforderungen an das ISMS Umfeld und an den Scope werden stärker definiert. Die Anforderungen aller relevanten externen interested Parties bzw. interessierten Parteien müssen als Teil des ISMS beachtet werden Umsetzung des Annex A freiwillig (weiterhin Nachweis der Umsetzung der Anforderungen erforderlich) Eigenes Kapitel im Annex A zur Überwachung der Tätigkeiten von Lieferanten 11
Besondere Aspekte der Novellierung Risikoansatz geändert, es muss ein Risk-Owner definiert werden; Risiken sind in Bezug auf Vertraulichkeit, Verfügbarkeit und Integrität zu identifizieren. => In Anlehnung an die Risikomanagementstandards ISO 27005 und ISO 31000 Incident Management wird nun weiter gefasst, das Normkapitel Nichtkonformität deckt nicht nur Zwischenfälle und den Umgang mit solche ab, sondern auch alle andere Arten von Normabweichungen. Es gibt nun ein eigenes Kapitel zum Thema Überwachung und Effizienz des ISMS. Ein Unternehmen muss nun die Effizienz der umgesetzten Controls identifizieren, beschreiben und dokumentieren, KPIs müssen entwickelt werden. 12
Auditschwerpunkte aus Zertifizierersicht Umfeld der Organisation Risik management Incident management Informationssicherheit im BCM Umgang mit Dienstleistern/Lieferanten Measurement 13
Verständnis der Zertifizierungsstelle Auditoren sollten besonders auf Umgang der Auditees mit der Normumstellung eingehen Begutachtung des (geregelten) Verfahrens zur Umstellung u. U. Diskussion der Scope-Definition Beleuchtung der ISMS-Änderungen, bspw.: PDCA Definition der Objectives und Controls Risk management Incident Management BCM 14
Änderung der Freiheitsgrade der Auditees Erhöhung der Freiheitsgrade + PDCA Zyklus + Umgang mit Annex A Verringerung der Freiheitsgrade Scope-Definition (Änderungen marginal) Risk management Performance evaluation 15
Delta-Audit oder integriertes Transition Audit? Delta-Audit: Eigenständiges Audit zur Prüfung der neuen Normforderungen Transition Audit: Im Rahmen eines regulären Audits werden die Anforderungen der ISO 27001:2013 geprüft, besonderes Augenmerk auf neue Normforderungen Vorteile Delta-Audit: Freiere Zeitwahl beim Delta Audit Umstellung kann u. U. später erfolgen Nachteil: insgesamt aufwändiger, da 2 Audits durchgeführt werden müssen 16
Erfahrungen mit Auditees Kenntnis über Normumstellung Keine genaue Vorstellung über Inhalte/ Änderungen Häufig kein gesichertes Wissen über Umstellungszeiten vorhanden Umstellungswunsch: Transition Audit im Rahmen von Überwachungs- /Rezertifizierungsaudit Umstellung zum spätmöglichsten Zeitpunkt 17
Übergangszeiten; Konsequenzen für Auditees Ab 1. Oktober 2014 nur noch Erst- und Re-Zertifizierung gem. ISO 27001:2013 Überwachungsaudits nach 27001:2005 bei bestehenden Zertifikaten bis 09/2015 noch möglich Umstellung auf ISO 27001:2013 muss bis 30. September 2015 erfolgen, ab 01. Oktober 2015 ist die alte Norm ungültig 18
Konsequenzen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. ISO 27001:2005 4.2.1 Festlegen des ISMS Definition des Anwendungsbereiches und der Grenzen des ISMS, unter Berücksichtigung der Eigenschaften des Geschäfts, der Organisation, ihres Standortes, ihrer Werte (Assets) und ihrer Technologie, einschließlich der Details über und Rechtfertigung von jeglichen Ausschlüssen aus dem Anwendungsbereich. ISO 27001:2013 (Scope-Definition) 4.3 Geltungsbereich des ISMS Die Organisation muss die Grenzen und die Anwendbarkeit des ISMS und damit seinen Geltungsbereich festlegen. Bei der Festlegung des Geltungsbereichs muss die Organisation folgendes berücksichtigen: a) die in 4.1 genannten externen und internen Angelegenheiten; b) die in 4.2 genannten Anforderungen; und c) Schnittstellen und Abhängigkeitsverhältnisse zwischen Tätigkeiten, die von der Organisation selbst durchgeführt werden, und Tätigkeiten anderer Organisationen. Der Geltungsbereich muss als dokumentierte Information verfügbar sein. 19
Konsequenzen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. ISO 27001:2005 4.2.1 g) Auswahl der Maßnahmen für die Risikobehandlung Die Maßnahmenziele und Maßnahmen in Anhang A, die geeignet sind, die identifizierten Anforderungen abzudecken, müssen als Teil dieses Prozesses ausgewählt werden. Die in Anhang A angegebenen Maßnahmenziele und Maßnahmen sind nicht erschöpfend, und zusätzliche Maßnahmenziele und Maßnahmen dürfen ebenfalls ausgewählt werden. ISO 27001:2013 6.1.3 b) Festlegen aller Maßnahmen, die zur lmplementierung der gewählten Optionen für die Sicherheitsrisikobehandlung erforderlich sind; ANMERKUNG: Organisationen können Maßnahmen nach Bedarf gestalten oder vorgefertigte Maßnahmen aus einer beliebigen Quelle wählen. c) Vergleich der nach 6.1.3 b) festgelegten Maßnahmen mit den Maßnahmen in Anhang A und Vergewisserung, dass keine erforderlichen Kontrollmaßnahmen ausgelassen wurden; ANMERKUNG 1: [ ] Anwender dieser Internationalen Norm werden für die Sicherstellung, dass keine wichtigen Maßnahmen übersehen wurden, auf Anhang A verwiesen. ANMERKUNG 2 [ ] Die Liste der Maßnahmenziele und Maßnahmen in Anhang A ist nicht erschöpfend; u. U. sind weitere Maßnahmenziele und Maßnahmen erforderlich. 20
Konsequenzen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. ISO 27001:2005 Anhang A (normativ) Als Teil des in 4.2.1 beschriebenen ISMS-Prozesses müssen Maßnahmenziele und Maßnahmen aus diesen Tabellen gewählt werden. ISO 27001:2013 Anhang A (normativ) Die Auswahl von Maßnahmenzielen und Maßnahmen aus diesen Tabellen stellt einen Teil des ISMprozesses nach Abschnitt 6.1.3 (Risikobehandlung) dar. 21
Konsequenzen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. ISO 27001:2005 4.2.2 d) Umsetzen und Durchführen des ISMS Definition eines Maßes für die Wirksamkeit der ausgewählten Maßnahmen oder Maßnahmengruppen; außerdem muss festgelegt werden, wie diese Maße benutzt werden können, um die Wirksamkeit der Maßnahmen einzuschätzen, und um dabei vergleichbare und reproduzierbare Resultate zu erhalten. ANMERKUNG Das Messen der Wirksamkeit von Maßnahmen ermöglicht es Managern und Personal, zu bestimmen, wie gut die Maßnahmen die vorgesehenen Maßnahmenziele erreichen. ISO 27001:2013 9.1 Überwachung, Messung, Analyse und Auswertung Die Organisation muss die Leistung und die Wirksamkeit des ISMS auswerten. a) Was b) Wie c) Wann d) Wer e) [ ] f) [ ] ANMERKUNG Die ausgewählten Verfahren sollten zu vergleichbaren und reproduzierbaren Ergebnissen führen, die als aussagekräftig zu betrachten sind. 22
Delta-Betrachtung ISO 27001:2005 -> ISO 27001:2013 Quelle: BSIgroup.com http://www.bsigroup.com/documents/iso-27001/resources/bsi-iso27001-mapping-guide-uk-en.pdf Transition Guide ISO 27001:2005 <-> ISO 27001:2013 http://www.bsigroup.com/localfiles/en-gb/iso-iec-27001/resources/bsi-iso27001-transition-guide-uk-en-pdf.pdf 23
Interpretation von Neuerungen (Diskussion) Das Bild kann zurzeit nicht angezeigt werden. Context of the organization (4.1) Festlegung der interessierten Beteiligten, die für das ISMS relevant sind Festlegung der Anforderungen (gesetzliche und regulatorische Anforderungen, vertragliche Verpflichtungen) der interessierten Beteiligten an das ISMS Ermittlung der internen und externen Angelegenheiten 24
Interpretation von Neuerungen Das Bild kann zurzeit nicht angezeigt werden. Monitoring, Measurement, Analysis and Evaluation (9.1) => Wie kann man ein solche Leistungsbewertung überhaupt aufbauen und durchführen? Festlegung aller Items, die überwacht und gemessen werden sollen. (Inklusive Prozessen und Controls) Festlegung aller Methoden für die Überwachung, das Messen, das Analysieren und das Bewerten Festlegung wann die Überwachung und das Messen stattfinden soll Festlegung wer die Überwachung und das Messen durchführen soll Festlegung wann die Ergebnisse analysiert und bewerten werden sollen Festlegung wer die Ergebnisse analysieren und bewerten soll 25
ISO/IEC 27001 - ISMS Umfeld der Organisation Context of the organisation Verstehen der Organisation und deren Umfeld Verstehen der Bedürfnisse und Erwartungen der interessierten Dritten Festlegung des Anwendungsbereichs des ISMS 26
4 Context of the organization Das Bild kann zurzeit nicht angezeigt werden. 4.1 Understanding the organization and its context The organization shall determine external and internal issues that are relevant to its purpose and that affect its ability to achieve the intended outcome(s) of its information security management system. NOTE: Determining these issues refers to establishing the external and internal context of the organization considered in Clause 5.3.1 of ISO 31000. 27
4 Context of the organization Das Bild kann zurzeit nicht angezeigt werden. 4.2 Understanding the needs and expectations of interested parties The organization shall determine: a) interested parties that are relevant to the information security management system; and b) the requirements of these interested parties relevant to information security. NOTE: The requirements of interested parties may include legal and regulatory requirements and contractual obligations. 28
4 Context of the organization Das Bild kann zurzeit nicht angezeigt werden. 4.3 Determining the scope of the information security management system The organization shall determine the boundaries and applicability of the information security management system to establish its scope. When determining this scope, the organization shall consider: a) the external and internal issues referred to in 4.1; b) the requirements referred to in 4.2; and c) interfaces and dependencies between activities performed by the organisation, and those that are performed by other organisations. The scope shall be available as documented information. 29
ISO/IEC 27001 - ISMS Managementrahmen Performance evaluation Die Organisation soll: die Leistungsfähigkeit und die Effektivität des ISMS beurteilen interne Audits in geplanten regelmäßigen Abständen durchführen durch das Top-Management das ISMS bewerten lassen 30
9 Performance Evaluation Das Bild kann zurzeit nicht angezeigt werden. 9.1 Monitoring, measurement, analysis and evaluation The organization shall evaluate the information security performance and the effectiveness of the information security management system. The organization shall determine: a) what needs to be monitored and measured, including information security processes and controls; b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results; 31
9 Performance Evaluation Das Bild kann zurzeit nicht angezeigt werden. c) when the monitoring and measuring shall be performed; d) who shall monitor and measure; e) when the results from monitoring and measurement shall be analyzed and evaluated; and f) who shall analyse and evaluate these results. The organization shall retain appropriate documented information as evidence of the monitoring and measurement results. 32
Kapitel 14: Systemplanung, -entwicklung und -wartung 14.2 Sicherheit in Entwicklungs- und Unterstützungsprozessen Ziel: Entwurf und Implementierung von Informationssicherheit in Informationssystemen 14.2.1 Leitlinien zur sicheren Entwicklung 14.2.2 Änderungskontrollverfahren 14.2.3 Technische Kontrolle von Anwendungen nach Betriebssystemwechsel 14.2.4 Einschränkungen von Änderungen an Softwarepaketen 14.2.5 Sicherheitsrichtlinien für die Systementwicklung 14.2.6 Sichere Entwicklungsumgebung 14.2.7 ausgelagerte Softwareentwicklung 14.2.8 Sicherheitstests 14.2.9 Akzeptanztests ISO/IEC 27002:2013 33
Kapitel 15: Lieferantenbeziehungen 15.1 Informationssicherheit bei Lieferantenbeziehungen Ziel: Schutz der organisationseigenen Werte auf die Lieferanten zugreifen können 15.1.1 Informationssicherheitsleitlinie für Lieferantenbeziehungen 15.1.2 Adressieren von Sicherheit in Vereinbarungen mit Lieferanten 15.1.3 Informations- und Kommunikationstechnologie in der Lieferkette 15.2 Verwaltung der Dienstleistungserbringung von Lieferanten Ziel: Aufrechterhaltung des vereinbarten Informationssicherheits- und Dienstleistungsniveaus im Einklang mit den Lieferantenvereinbarungen 15.2.1 Überwachung und Bewertung der Dienstleistungen 15.2.2 Management von Änderungen an Dienstleistungen der Lieferanten ISO/IEC 27002:2013 34
Kapitel 17: Informationssicherheitsaspekte im BCM 17.1 Fortbestand der Informationssicherheit Ziel: Der Fortbestand der Informationssicherheit soll in den Prozess der Sicherstellung der Fortführung des Geschäftsbetriebs (BCM) integriert sein. 17.1.1 Planen des Fortbestands der Informationssicherheit 17.1.2 Implementierung des Fortbestands der Informationssicherheit 17.1.3 Sicherstellung, Bewertung und Neubewertung des Fortbestands der Informationssicherheit 17.2 Redundanzen Ziel: Sicherstellung der Verfügbarkeit von Datenverarbeitungseinrichtungen 17.2.1 Verfügbarkeit von Datenverarbeitungseinrichtungen ISO/IEC 27002:2013 35
ISO 31000 5.3.1 (Draft) Das Bild kann zurzeit nicht angezeigt werden. 5.3.1 Understanding the organization and its context Before starting the design and implementation of the framework for managing risk, it is important to understand both the internal and external context of the organization since these can influence significantly the design of the framework. Aspects of the organization s external context include, but not limited to: the cultural, political, legal, regulatory, financial, technological, economic, natural and competitive environment, whether international, national, regional or local; key drivers and trends having impact on the objectives of the organization; and perceptions and values of external stakeholders. 36
ISO 31000 5.3.1 (Draft) Das Bild kann zurzeit nicht angezeigt werden. 5.3.1 Understanding the organization and its context Aspects of the organization s internal context include, but not limited to: the capabilities, understood in terms of resources and knowledge (e.g. capital, time, people, processes, systems and technologies); information systems, information flows, and decision making processes (both formal and informal); internal stakeholders; policies, objectives, and the strategies that are in place to achieve them; perceptions, values and culture; standards and reference models adopted by the organization; and structures (e.g. governance, roles and accountabilities). 37