VdS Quick-Audit für Cyber-Security

Ähnliche Dokumente
VdS Quick-Audit für Cyber-Security

VdS Quick-Audit für Cyber-Security

Zertifizierung der Informationssicherheit in kleinen und mittleren Unternehmen (KMU)

Zertifizierung der Informationssicherheit in kleinen und mittleren Unternehmen (KMU)

PEFC SCHWEIZ NORMATIVES DOKUMENT ND 003. Anforderungen zur Zertifizierung auf Ebene eines Betriebes

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH BRC (GLOBAL STANDARD-FOOD)

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel

VdS Cyber-Security der Brandschutz des 21. Jahrhunderts. Cyber-Security für kleine und mittlere Unternehmen (KMU)

VdS VdS-Richtlinien für mechanische Sicherungseinrichtungen. Schließanlagen. Anforderungen und Prüfmethoden. VdS 2386 : (03)

Beratungsvertrag. (Muster) zwischen. - nachfolgend Auftraggeber genannt - und. - nachfolgend Auftragnehmer genannt - Inhaltsverzeichnis

VdS-Richtlinien für die Zertifizierung von Qualitätsmanagementsystemen

Willst du mit mir wohnen?

Allgemeine Geschäftsbedingungen AGB

Dienstleistungsvertrag

Auditierung und Zertifizierung in der Pharmakovigilanz DQS-Systemaudits des Pharmakovigilanz-Systems

ALLGEMEINE GESCHÄFTSBEDINGUNGEN für Dienstleistungen der Firma Iris Weinmann Consulting. Mittelstadtstr Rottweil Steuernummer DE

Allgemeine Geschäftsbedingungen. für Dienstleistungen der Firma. MS Reinigung & Handel. Stefan Münst. Ginsterweg 11.

2.3 Gegenstand der Tätigkeit ist immer die vereinbarte Dienstleistung und nicht die Herbeiführung eines wirtschaftlichen Erfolges.

Matrixzertifizierung von Unternehmen mit mehreren Standorten/ Niederlassungen.

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

Zertifizierung von Arbeits- und Gesundheitsschutz-Managementsystemen

Energieversorgungseinrichtungen

Allgemeine Geschäftsbedingungen für Coaching und Organisationsberatung von RK COE Beraterkreis e.u. 1. Geltungsbereich, Vertragsgegenstand

ALLGEMEINE GESCHÄFTSBEDINGUNGEN der Salzburger Land Tourismus GmbH als Auftragnehmerin ihrer Business-Partner

Dienstvertrag. zwischen. Muster GmbH. Sackgasse 7, Glückstadt. Vertreten durch den Geschäftsführer (im folgenden Auftraggeber) und der

Audit-Bericht ISO 9001 Firma: MB Dokutec GmbH & Co. KG Kundennummer: Auftragsnummer:

Gütesiegel Interkulturell orientierte Einrichtung

Dateiverweis: P:\Qualitätsmanagement\QMS_TUI\Vorschrift_Interne Audits\Vorschrift_Interne_Audits_ doc Erstellt/Geprüft

Leistungsbeschreibung Zertifizierung BCMS, ISMS, SMS

Test GmbH Test Hamburg Hamburg

Anforderungen zum Auditoren-Pool. für das

Auditprogramm für die Zertifizierung. von Qualitätsmanagementsystemen. in Apotheken

QS 1 QS-Initialisierung. QS 3 Ergebnisprüfung vorbereiten. QS 4 Ergebnis prüfen. Prüfprotokoll. QS 5 Durchführungsentscheidung

SecureSign Hinzufügen und Einrichten eines weiteren mobilen Gerätes (Smartphone/Tablet)

DVWO Dachverband der Weiterbildungsorganisationen e.v.

Vertragsbedingungen über die Mittagessensversorgung der Essensteilnehmer an der Leine-Schule in Neustadt a. Rbge.

Wir investieren. Sie profitieren. Allgemeine Auftragsbedingungen für die betriebswirtschaftliche Beratung der S-UBG

Allgemeine Geschäftsbedingungen

Prüfordnung. für die Güteprüfungen bei Dienstleistern für die betriebsärztliche Betreuung

Maintenance & Re-Zertifizierung

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

Anmeldung zum Teacher Training American Yoga Alliance +300

Ergänzende Anforderungen für alle Länder außer Deutschland und Polen

Zertifizierung von Sicherungsdienstleistern

AVE Verfahren Erst-Zertifizierung

Qualitätszeichen Baden-Württemberg Gesicherte Qualität mit Herkunftsangabe

Vertrag. zwischen. AOK Bayern Die Gesundheitskasse Carl-Wery-Str München (im Folgenden AOK genannt) und

Vermittlung eines Sachverständigen

Antrag auf individuelle Anerkennung von Vorleistungen für den Studiengang Management im Gesundheitswesen (MIG)

GEHEIMHALTUNGSVEREINBARUNG

Konzept FROMARTE Lebensmittelsicherheit

Erfahrungen der. DQS GmbH. bei der Zertifizierung von Medizinprodukteherstellern

Richtlinie für Verfahren für interne Datenschutz-Audits

Besteuerung gemeinnütziger Vereine im Bereich der Ertragsteuern (Körperschaftsteuer, Gewerbesteuer)

Erläuterungen zur. Prüfung des Verbraucherdarlehensgeschäftes nach. Umsetzung der Wohnimmobilienkreditrichtlinie

Verschwiegenheitsvereinbarung. zwischen. Muster VC Aktiengesellschaft vertreten durch den Vorstand Fred Mustermann. und. Firma xy. und.

Bericht zur Abgabe amtlicher Veröffentlichungen an Bibliotheken

Rainer Schultes. Zertifizierung von Organisationen mit mehreren Standorten (Multi-Site-Zertifizierung) - Leseprobe -

2.3 Änderungen und Ergänzungen des Vertrages bedürfen der Schriftlichkeit.

Erläuterungen zum Formular

Gutachtliche Stellungnahme vom 20. Juli 2010

Sicherstellung der vertraglichen Grundsätze, insbesondere der HSSE-Vorgaben

Allgemeine Geschäftsbedingungen (AGB) für die Hundebetreuung

MUSTER Alle Angaben zu Personen sind fiktiv. VERTRAG ZUR GEWÄHRUNG EINES AUSBILDUNGSDARLEHENS. zwischen. Vorname Nachname Strasse Hausnummer PLZ Ort

Land Berlin (Sondervermögen Immobilien des Landes Berlin) c/o BIM Berliner Immobilienmanagement GmbH Warschauer Str. 41/42

Antrag zur Mitgliedschaft bei den heartleaders

GmbH-Geschäftsführer (TÜV )

Erstes Gesetz zur Änderung des Bundesfernstraßenmautgesetzes

Richtlinien zur Abrechnung

SES Durchführung von Audits vor Ort

V E R T R A G. über die Abrechnung der Gebührenforderung der Ärzte im Rahmen von Jugendarbeitsschutzuntersuchungen

Anforderungskatalog - Begutachtung von Zertifizierungsstellen (BBAB)

DER VERTRAG: KLARE ABMACHUNGEN SIND DIE BESTE BASIS FÜR EINE GUTE ZUSAMMENARBEIT.

Dok.-Nr.: Seite 1 von 6

Eskalationsstufenmodell Lieferant Containment beim Lieferant

Anmeldemodalitäten und Voraussetzungen zur Prüfung zum ISTQB Certified Tester, Advanced Level nach Syllabus 2007

Antrag auf Erteilung eines ISO Zertifikats auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Bewertungssystem Nachhaltiges Bauen (BNB) Außenanlagen von Bundesliegenschaften

Zertifizierung gemäß ISO/IEC 27001

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel

Allgemeine Einkaufsbedingungen für Planung, Überwachung und gutachterliche Tätigkeiten. der E.ON Energie 01/2002

Allgemeine Geschäftsbedingungen von Die Haushaltshelden

Lenkung der QM-Dokumentation

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH GMP (GMP + ZERTIFIZIERUNGSSYSTEM DES GMP + INTERNATIONAL)

Vertrag über die Miete einer Lizenz für die Software Profi cash

Hinweise und Allgemeine Geschäftsbedingungen

EVB-IT Überlassungsvertrag Typ A (Langfassung ohne Pflege)Seite 1 von 5 Vertragsnummer/Kennung Auftraggeber Vertragsnummer/Kennung Auftragnehmer

Überweisen mit Bankkarte und PIN.

Hinweise für die Zertifizierung und Überwachung von Managementsystemen bei Firmen mit Niederlassungen

Eingang: Lagerauftrag mit Vermerk Ware eingetroffen

Allgemeine Geschäftsbedingungen (AGB)

LINDA-Kooperationsvertrag NEUKUNDE

2) Profildaten ausfüllen alle Felder, die mit einem Sternchen gekennzeichnet sind, sind Pflichtfelder.

Anlage 3. Antrag zur Anerkennung von Praxisnetzen nach 87b Abs. 4 SGB V

TR03 Two-in-One. TR03 Two-in-One. TR01 + TR02 in Kombination als Kompakttraining

Selbstbewertung Fremdbewertung Chancen, Risiken und Nebenwirkungen von Zertifizierungen QEP-Aktuell

Die geänderten Anforderungen an die Gefährdungsbeurteilung nach der Änderung der BetrSichV

Transkript:

VdS-Richtlinien für die Informationssicherheit VdS 3474 Verfahren VdS 3474 : 2017-10 (03)

Herausgeber und Verlag: VdS Schadenverhütung GmbH Amsterdamer Str. 172-174 D-50735 Köln Telefon: (0221) 77 66 0; Fax: (0221) 77 66 341 Copyright by VdS Schadenverhütung GmbH. Alle Rechte vorbehalten.

VdS 3474 : 2017-10 (03) VdS-Richtlinien für die Informationssicherheit Verfahren Die vorliegende Publikation ist unverbindlich. Anwender können im Einzelfall auch andere Sicherheitsvorkehrungen akzeptieren und anwenden, die den vorliegenden Richtlinien nicht entsprechen. Inhalt 1 Allgemeines... 4 1.1 Geltungsbereich... 4 1.2 Gültigkeit... 4 2 Definitionen... 5 3 Normative Verweisungen... 5 4 Zertifizierungsverfahren... 5 4.1 Vorarbeiten... 5 4.2 Auftrag... 6 4.3 Auditierung... 6 4.3.1 Allgemeines... 6 4.3.2 Termin- und Auditplanung... 6 4.3.3 Audit... 7 4.3.4 Korrekturmaßnahmen... 7 4.3.5 Testat... 7 4.4 Gültigkeit des Verfahrens... 7 4.4.1 Gültigkeit... 7 4.4.2 Wiederholung des Verfahrens... 7 5 6 Werbung... 7 Gebühren... 8 7 Sonstiges... 8 7.1 Allgemeine Geschäftsbedingungen... 8 7.2 Nebenabreden... 8 Anhang A Auftrag... 10 Anhang B Einverständniserklärung... 11 3

VdS 3474 : 2017-10 (03) 1 Allgemeines 1.1 Geltungsbereich VdS Schadenverhütung (nachstehend VdS genannt) bietet KMU und sonstigen Parteien (z. B. Versicherungsunternehmen) nach Beauftragung ein unabhängiges und unparteiliches Verfahren zur Überprüfung durch Selbstauskunft getroffener Aussagen zur Informationssicherheit an. Aufträge gemäß VdS 3474 werden in der Reihenfolge ihres Eingangs bearbeitet. Eine Bevorteilung einzelner Auftraggeber erfolgt nicht. Im Rahmen des Bestätigungsverfahrens werden keine Beratungen durchgeführt. Bild 1-1: Bestätigungsverfahren, idealer Ablauf Das Bestätigungsverfahren besteht im Wesentlichen aus den im Folgenden beschriebenen Schritten. 1.2 Gültigkeit Diese Richtlinien gelten ab dem 01.10.2017. Sie ersetzten die Richtlinien mit Stand 2015-11 (02). 4

VdS 3474 : 2017-10 (03) 2 Definitionen Es gelten die in den Richtlinien VdS 3473 sowie die im Folgenden genannten Definitionen. Audit: Systematischer, unabhängiger, dokumentierter Prozess zur Erlangung von Aufzeichnungen, Darlegungen von Fakten oder anderen relevanten Informationen und deren objektiver Begutachtung, um zu ermitteln, inwieweit festgelegte Anforderungen erfüllt sind Anmerkung: Die Ermittlung, inwieweit festgelegte Anforderungen erfüllt sind, kann im Audit oder im Nachgang zum Audit, durch den Kunden, den Auditor oder einen Dritten erfolgen. Auditor: Person mit hinreichenden persönlichen Eigenschaften und der Kompetenz, ein Audit durchzuführen KMU: kleine und mittlere Unternehmen Quick-Check (Quick-Check für Cyber-Security): Online bereitgestellte Plattform, um strukturierte und definierte Aussagen zum Zustand der Informationssicherheit des den Quick-Check bearbeitenden Unternehmens zu machen Anmerkung: Zugriff auf den Quick-Check erfolgt unter www.vds-quick-check.de. Testat: Bestätigung der Übereinstimmung der Aussagen des Auftraggebers zum Quick- Check mit den Gegebenheiten vor Ort zum Zeitpunkt der Begutachtung Unternehmen: privatwirtschaftliche oder öffentliche, üblicherweise eigenständige Organisationseinheit oder Körperschaft und Anstalten des öffentlichen Rechts 3 Normative Verweisungen Diese Richtlinien enthalten datierte und undatierte Verweise auf andere Regelwerke. Die Verweise erfolgen in den entsprechenden Abschnitten, die Titel werden im Folgenden aufgeführt. Änderungen oder Ergänzungen datierter Regelwerke gelten nur, wenn sie durch Änderung dieser Richtlinien bekannt gegeben werden. Von undatierten Regelwerken gilt die jeweils letzte Fassung. VdS 3177 VdS 3473 AGB der VdS Schadenverhütung GmbH für die Erbringung von Prüf- und Zertifizierungsdienstleistungen Cyber-Security für kleine und mittlere Unternehmen (KMU), Anforderungen 4 Zertifizierungsverfahren 4.1 Vorarbeiten Ein Unternehmen, für das ein Testat gemäß VdS 3474 abgegeben werden soll, muss vor der Beauftragung den Quick-Check für Cyber-Security durchführen. Der Zugang zum Quick-Check ist kostenfrei (www.vds-quick-check.de) möglich. 5

VdS 3474 : 2017-10 (03) 4.2 Auftrag Das Verfahren kann nur schriftlich unter Verwendung des beiliegenden Vordrucks (Anhang A/B) bei VdS beauftragt werden. Die Beauftragung kann durch: das Unternehmen direkt (Anhang A) einen Dritten (Anhang A und B) erfolgen. Die Abwicklung des Schriftverkehrs und die Auditierung erfolgen in deutscher oder englischer Sprache. Nur vollständig ausgefüllte Aufträge können bearbeitet werden. Nach Eingang der Unterlagen wird dem Auftraggeber zeitnah eine Eingangsbestätigung übersandt. Nach positiver Prüfung der Unterlagen auf Vollständigkeit wird dem Auftraggeber eine Auftragsbestätigung übersandt. Anmerkung: Die Auftragsbestätigung kann die Eingangsbestätigung beinhalten. Die Ergebnisse des Quick-Checks müssen dem Auftrag beigefügt werden (siehe Abschnitt 4.1). Erfolgt die Beauftragung durch einen Dritten (z. B. Versicherungsunternehmen), so ist dem Auftrag (Anhang A) die schriftliche Einverständniserklärung des zu überprüfenden Unternehmens (Anhang B) beizulegen. In Ausnahmefällen können einzelne Informationen nachgeliefert werden. VdS ist berechtigt, weitere Unterlagen oder Erläuterungen zum Auftrag anzufordern. Wird das Verfahren nicht innerhalb von 6 Monaten nach Beauftragung abgeschlossen, sei es, weil nicht sämtliche notwendigen Unterlagen vorliegen oder aus anderen Gründen, wird die Bearbeitung des Auftrages abgebrochen. Nach Abbruch des Verfahrens, werden alle VdS bis dahin übergebenen Unterlagen an den Auftraggeber zurückgesandt. Alle Aufwendungen, die VdS bis zu diesem Zeitpunkt entstanden sind, werden dem Auftraggeber in Rechnung gestellt. Unbenommen hiervon bleibt eine erneute Beauftragung. 4.3 Auditierung 4.3.1 Allgemeines Die Auditierung hat das Ziel, die im Rahmen des Quick-Checks getroffenen Aussagen und Ergebnisse zu überprüfen. Die Bewertung der Angaben hinsichtlich eines Erfüllungsgrades, bezogen auf kundenseitig oder von einem Dritten formulierte Anforderungen bzw. Vorgaben, erfolgt nicht. 4.3.2 Termin- und Auditplanung Nach Vorliegen der erforderlichen Unterlagen erfolgt die Termin- und Auditplanung, die im Wesentlichen auf Umfang und Detaillierungsgrad der eingereichten Informationen sowie ggf. der Betriebsgröße basiert. 6

VdS 3474 : 2017-10 (03) 4.3.3 Audit Die Überprüfung der im Rahmen des Quick-Checks getroffenen Aussagen erfolgt vor Ort. Hierzu findet ein Audit vor Ort statt. Das Audit wird durch einen VdS-Auditor bzw. durch einen von VdS beauftragten, für diesen Zweck qualifizierten Auditor im Namen von VdS ausgeführt. VdS behält sich vor ohne Weitergabe des Mehraufwandes weitere Personen zum Audit zu entsenden. Während der Auditierung werden die im Quick-Check getroffenen Aussagen verifiziert. Das Ergebnis wird schriftlich in einem Auditbericht dokumentiert. Der Auditbericht wird nach dem Audit dem Auftraggeber übergeben. Ist der Auftraggeber nicht identisch mit dem auditierten Unternehmen, so steht es dem Auftraggeber frei, den Auditbericht vollständig oder in Teilen dem auditierten Unternehmen zu überlassen. 4.3.4 Korrekturmaßnahmen Wird während der Auditierung erkannt, dass die Umsetzung von Korrekturmaßnahmen sinnvoll ist, können diese von Seiten VdS formuliert werden. Diese Maßnahmen werden mit dem Angebot, ihre Umsetzung durch ein Nachaudit zu bestätigen, dem Auftraggeber übergeben. 4.3.5 Testat Im Nachgang zum Audit oder Nachaudit vor Ort wird dem Auftraggeber auf Wunsch ein Testat über das Audit zur Verfügung gestellt. 4.4 Gültigkeit des Verfahrens 4.4.1 Gültigkeit Die im Testat getroffenen Aussagen beziehen sich ausschließlich auf die dem Auditor im Rahmen des konkreten Verfahrens vorgelegten und vor Ort verifizierten Angaben zur Sicherheit der Informationssicherheit des auditierten Unternehmens. 4.4.2 Wiederholung des Verfahrens Das Verfahren gemäß VdS 3474 kann nach Abbruch oder nach formeller und ordnungsgemäßer Beendung jederzeit nach erneuter Beauftragung durch das Unternehmern einen Dritten wiederholt durchlaufen werden. Anmerkung: Dies kann sinnvoll sein, wenn sich z. B. die Rahmenbedingungen beim Unternehmen geändert haben und diese Dritten gegenüber bestätigt werden sollen. 5 Werbung Werbung mit dem Durchlaufen des Verfahrens gemäß VdS 3474 darf nicht erfolgen. Anmerkung: Dritten darf das Testat (vgl. Kap. 4.3.5) vollständig und in unveränderter Form zu Nachweiszwecken ausgehändigt werden. 7

VdS 3474 : 2017-10 (03) 6 Gebühren Das Bestätigungsverfahren sowie die Prüf- und Audittätigkeiten von VdS sind gebührenpflichtig. Die Höhe der Gebühren kann der Gebührentabelle von VdS entnommen werden. Die Gebührentabelle wird dem Auftraggeber auf Anfrage zugesandt. Für die Berechnung der Leistungen gelten die Gebühren nach Maßgabe der Gebührentabelle zum Zeitpunkt der Leistungserbringung. Wird ein vereinbarter Audittermin aus Gründen, die das zu auditierende Unternehmen zu vertreten hat, abgesagt oder verschoben, werden dem Auftraggeber folgende Gebühren in Rechnung gestellt: Bei einer Absage/Verschiebung, die kurzfristiger als vier Wochen vor dem vereinbarten Audittermin erfolgt: 25 % der veranschlagten Auditkosten Bei einer Absage/Verschiebung, die kurzfristiger als zwei Wochen vor dem vereinbarten Audittermin erfolgt: 50 % der veranschlagten Auditkosten Bei einer Absage/Verschiebung, die kurzfristiger als eine Woche vor dem vereinbarten Audittermin erfolgt: 100 % der veranschlagten Auditkosten Die veranschlagten Auditkosten werden nach gültiger Gebührentabelle ermittelt. Reisekosten werden nur berechnet, sofern Stornierungskosten entstanden sind. 7 Sonstiges 7.1 Allgemeine Geschäftsbedingungen Es gelten die AGB VdS 3177 in der zum Zeitpunkt des Vertragsabschlusses gültigen Fassung. 7.2 Nebenabreden Nebenabreden bedürfen zu ihrer Wirksamkeit der Schriftform. 8

VdS 3474 : 2017-10 (03) Hinweise zu Auftragsformular Bevor Sie den Auftrag ausfüllen, lesen Sie bitte die Richtlinien VdS Quick-Audit für Cyber- Security, VdS 3474 und die folgenden Hinweise zum Auftragsformular sorgfältig durch. (A) Der Auftraggeber ist die Stelle, vertreten durch den Rechtsträger oder den Handlungsbevollmächtigten, A) für die die Prüfung durchgeführt und ein Testat ausgestellt werden soll. B) die die Überprüfung eines Dritten beauftragt. (A.1) (A.2/B.2) (A.4) (A.10) (A.11/B.9) (A.12/B.10) (C) (E) (F.1) (F.2) Firmenname des Auftraggebers, wie er im Handelsregister/Gewerberegister eingetragen ist. Bitte genau so formulieren, wie es später im Testat erscheinen soll. Die Umsatzsteuer-Identifikationsnummer ist nur bei Erstaufträgen anzugeben. Hauptkontaktperson für dieses Verfahren Anzahl aller Mitarbeiter im zu prüfenden Unternehmensbereich Anzahl der Mitarbeiter, die für die Administration und den Betrieb der IT- Infrastruktur im zu prüfenden Unternehmensbereich zuständig sind. Falls ein entsprechendes Beratungsunternehmen im Vorfeld konsultiert wurde, kann dieses hier genannt werden. Rechtsverbindliche Unterschrift des Rechtsträgers des Auftraggebers oder eines Handlungsbevollmächtigten. Wurden externe Stellen (z. B. Berater) vom Auftraggeber mit der Auftragsstellung beauftragt, muss die externe Stelle eine Kopie der Handlungsvollmacht des Auftraggebers beilegen. Hier ist zum Zweck der Zuordenbarkeit und Rückverfolgbarkeit der Auftraggeber gemäß Anhang A zu nennen. Hier ist zum Zweck der Zuordenbarkeit und Rückverfolgbarkeit das Ausfertigungsdatum des zugehörigen Auftrags gemäß Anhang A zu nennen. 9

VdS 3474 : 2017-10 (03) Anhang A Auftrag 10

VdS 3474 : 2017-10 (03) Anhang B Einverständniserklärung 11

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback