ISMS - der Weg zur ISO27001-Zertifizierung Erwin T. Peter Leitender Auditor Schweizerische Vereinigung für Qualitäts-und Management-Systeme (SQS) CH-3052 Zollikofen erwin.peter@sqs.ch ISACA After Hours Seminar 26.06.2007 1 Inhalt der Präsentation SQS-Profil Informationssicherheits-Managementsystem ISMS: Eine Einführung Weg zum Zertifikat und zur Aufrechterhaltung Die SAS Checklist Gründe für eine ISO 27001 Zertifizierung 2
SQS-Profil 2. Quartal 2007 Gegründet 3. 1983 Trägerschaft Mitarbeitende Zertifikatsinhaber Mitgliedschaft weitere Informationen 56 Mitglieder; hauptsächlich Schweizerische Wirtschaftsverbände, Bundesstellen, 142 festangestellte Mitarbeitende 253 freie Mitarbeitende weltweit 8 527 Unternehmungen und Organisationen wovon 2 496 ausserhalb der Schweiz International Certification Network bestehend aus 37 Partnerorganisationen, die zusammen rund einen Drittel aller weltweit gültigen Zertifikate erteilt haben www.sqs.ch 3 Informationssicherheits- Managementsystem ISMS: Eine Einführung 4
What is Information? Information is an asset which, like other important business assets, is essential to an organization s business and consequently needs to be suitably protected. ISO/IEC 27002:2005 5 Informationssicherheit: Definition Angemessenes und dauerndes Gewährleisten von: Verfügbarkeit, Vertraulichkeit, Integrität. Schutz sämtlicher Informationen ungeachtet der: Art ihrer Darstellung, Art ihrer Speicherung. 6
Information Lifecycle 7 Keep in Mind: Cost Sum Costs of protection measures Risk Costs Level of protection 8
Management Systems ISO 9001 (QMS), ISO 14001 (EMS), ISO/IEC 27001 (ISMS), ISO/IEC 20000-1 (IT Service Management) Dokumentiertes System Übernahme des PDCA-Modells (Deming cycle) Fokussierung auf Management Prozesse, Verfahren und Kontrollen ständige Verbesserungen Möglichkeit der Zertifizierung 9 Was ist ein Information Security Management System? Ein Information Security Management System (ISMS) ist ein systematischer Ansatz sensitive Unternehmensinformationen so zu verwalten, dass sie sicher bleiben. Es umfasst Menschen, Prozesse und IT Systeme. 10
Merkmale des ISMS nach ISO/IEC 27001:2005 Ganzheitlicher, präventiver Ansatz, lässt sich somit nahtlos in andere Systeme integrieren, prozessorientiertes, zertifizierungsfähiges Managementsystem, Risikomanagement als Motor des ISMS, unabhängig bewertbar auf Basis eines international bekannten Standards, neutraler Nachweis mit Zertifikat. Kompatibilität mit anderen Management Systemen (ISO 9001, ISO 14001, ISO/IEC 20000-1, ) 11 ISMS Hauptanforderungen Dokumentationserfordernisse und Steuerung von Dokumenten und Aufzeichnungen, einschliesslich: ISMS Richtlinien, ISMS Bereich, Verfahren und Prozesse, Risikobeurteilungsmethodologie, Anwendbarkeitserklärung (bezüglich Anhang A) Managementverantwortungen: Verpflichtung, Bereitstellung von Ressourcen, Management Reviews Management Reviews und interne Audits in geplanten Intervallen 12
Modell eines prozessorientierten Qualitätsmanagement-Systems Ständige Verbesserung des Qualitätsmanagement-Systems K U N D E F O R D E R U N G E N Ressourcen- Management Input Verantwortung der Leitung Produkt-/ Dienstleistungs- Realisierung Messung, Analyse, Verbesserung Output Produkt/ Dienstleistung Z U F R I E D E N H E I T K U N D E ISO 9001:2000 13 Process approach 14
PDCA Modell für die ISMS Prozesse Plan (errichten des ISMS) Do (umsetzen und anwenden des ISMS) Check (überwachen und überprüfen des ISMS) Act (aufrechterhalten und verbessern des ISMS) Einführen von ISMS Richtlinien, Ziele, Prozesse und Verfahren, die für die Steuerung der Risiken und für die Verbesserung der Informationssicherheit relevant sind. Umsetzen und Anwenden der ISMS Richtlinien, Kontrollen, Prozesse und Verfahren. Beurteilen und, wo anwendbar, Messen der Prozessleistungen bezüglich der ISMS Richtlinien, der Ziele und den praktischen Erfahrungen. Die Ergebnisse werden rapportiert. Umsetzen von fehlerbehebenden und präventiven Massnahmen als Resultat aus den internen Audits, den Management Reviews oder anderen Quellen mit dem Ziel das ISMS kontinuierlich zu verbessern. 15 ISO/IEC 27001: ISMS Highlights Klärt und verbessert vorhandenen PDCA Prozessanforderungen ISMS Geltungsbereich (inkl. Details & Begründung der Ausschlüsse) Ansatz zur Risikobeurteilung (um vergleichbare und reproduzierbare Ergebnisse zu produzieren) Auswahl der Kontrollen (Kriterien um Risiken zu akzeptieren) Anwendbarkeitserklärung (Statement of applicability) Risikoüberprüfung Managementverpflichtung (Commitment) Interne ISMS Audits Ergebnisse der Wirksamkeit und Messungen Aktualisierte Risikobehandlungspläne, Verfahren und Kontrollen 16
Contents of ISO/IEC 27001:2005 0. Introduction and Process approach 1. Scope 2. Normative references 3. Terms and definitions 4. Information security management system (ISMS) 5. Management responsibility 6. Internal ISMS audits 7. Management review 8. ISMS improvement A Control objectives and controls A.5 Security policy A.6 Organization of information security A.7 Asset management A.8 Human resources security A.9 Physical and environmental security A.10 Communications and operations management A.11 Access control A.12 Information systems acquisition, development and maintenance A.13 Information security incident management A.14 Business continuity management A.15 Compliance 17 Informationssicherheits-Managementsystem (ISMS) 18
Obligatorische Bestandteile eines ISMS (1) Dokumentation der Sicherheitspolitik und Prozesse Anwendungsbereich des ISMS definieren Dokument zur Sicherheitspolitik Prozesse Grenzen hinsichtlich Merkmale Standorte Werte Technologie Informationswerte 19 Obligatorische Bestandteile eines ISMS (2) Risikomanagement Risikoanalyse Sicherheitsziele und Massnahmen bestimmen Erklärung zur Anwendbarkeit Bedrohungen Schwachstellen Auswirkungen Abschnitt 4 von ISO/IEC 27001:2005 Zusätzliche, nicht in der Norm enthaltene Massnahmen Vorgehensweise der Organisation Erforderlicher Sicherheitsgrad Ausgewählte Sicherheitsziele Begründung (u.a. der Ausschluss von Massnahmen gemäss ISO/IEC 27001:2005) 20
Obligatorische Bestandteile eines ISMS (3) Weitere relevante Dokumente und Aufzeichnungen Gesetzliche Vorlagen Vertragliche Vereinbarungen Auflagen von Kunden etc. 21 Weg zum Zertifikat und zur Aufrechterhaltung 22
SQS-Zertifizierungsablauf Akquisitionsgespräch/ Anmeldung Vorgespräche Organisatorisches Vorgespräch Voraudit Bericht Organisatorisches Vorgespräch Zertifikatserteilung Zertifizierungs- Audit Zertifikatserteilung Aufrechterhaltungsaudit Wiederholaudit fakultativ, aber empfehlenswert 23 Voraudit (fakultativ) Ein Voraudit kann fakultativ durchgeführt werden. Ein Voraudit dient: der Sicherstellung der Zertifizierungsreife, der Erkennung und Behebung von noch vorhandenen Schwachstellen, der besseren Vorbereitung für die Mitarbeitenden, der Sicherstellung einer reibungsloseren Zertifizierung. 24
Organisatorisches Vorgespräch (obligatorisch) Hauptziel: Feststellung der Zertifizierungsreife und Feststellung der benötigten Auditorenkompetenz. 1. Die Begutachtung Der Vollständigkeit und Zweckmässigkeit der ISMS-Dokumentation, Der identifizierten Risiken aus dem Bereich der Informationssicherheit, Der Anwendbarkeitserklärung des ISMS. 2. Die Beurteilung der Zertifizierungsreife und des Umfangs des zertifizierten Bereiches. 3. Die Erstellung des Auditprogrammes auf der Basis des Risikoansatzes der Unternehmung. 25 Zertifizierungsaudit (obligatorisch) Das Zertifizierungsaudit erfolgt nach dem gleichen Vorgehen wie bei einer normalen ISO 9001:2000-Zertifizierung. Die Auditzeit wird je nach Komplexität der Unternehmung mit Faktor 1.5 bis 2 berechnet. Für eine optimale Vorbereitung werden alle relevanten Dokumente der Unternehmung benötigt, sicher aber Managementsystem, IS-Politik, IS-Konzept. Hilfsmittel zum Audit sind die Checkliste der SQS ISO/IEC 27001:2005 und das Auditprogramm. Auditbericht / Antragsstellung / Zertifikatdruck. Aufrechterhaltung über ein jährliches Aufrechterhaltungsaudit und dreijährliche Wiederholaudits. 26
Die SAS Checklist 27 SAS Checklist (1) Erläuterungen zum Dokument: Statement of applicability : Hinweis, dass das verlangte Verfahren typischerweise in vielen Unternehmen nicht anwendbar ist, und der Auditor daher besonders sorgfältig die Anwendbarkeit abklären muss. organisatorische/technische Kontrolle : Organisatorische Kontrollen lassen sich durch Studium entsprechender Prozessbeschreibungen, Befragung, Beobachtung oder Inspektion überprüfen. Bei technischen Kontrollen besteht oftmals die Möglichkeit, an der Konsole die Wirksamkeit der Kontrolle zu überprüfen. Visuelle Inspektion : Bedingt typischerweise eine visuelle Inspektion. Konsolprüfung : direkte Prüftätigkeit an der Maschine durch entsprechende Fragestellung des Fachexperten. 28
SAS Checklist (2) 29 SAS Checklist (3) 30
SAS Checklist (4) 31 SAS Checklist (5) 32
SAS Checklist (6) 33 SAS Checklist (7) 34
SAS Checklist (8) 35 Gründe für eine ISO 27001 Zertifizierung 36
Ziele: Was soll erreicht werden Die Zertifizierung von Informationssicherheits-Managementsystemen bewirkt: die systematische Umsetzung der Sicherheitspolitik, ein unternehmensweites Risikomanagement betreffend Sicherheit, die wirksame Überwachung und ständige Verbesserung der Informationssicherheit, den Einbezug der relevanten gesetzlichen und vertraglichen Grundlagen wie z.b. das Datenschutzgesetz, die Geschäftsbücherverordnung (OR), Urheberrechte, Geheimhaltungspflichten (Arztgeheimnis, Fernmeldegeheimnis, Bankgeheimnis), Bestimmungen der Eidg. Bankenkommission (z.b. das Rundschreiben für Outsourcing), Basler Eigenkapitalvereinbarung Basel II, Banken- und Versicherungsgesetz, Entsorgungsverordnung VREG, etc., die Umsetzung ganzheitlicher Methoden (nicht nur technische, auch organisatorische), die Vertrauensförderung im Kontakt mit Kunden, öffentlichen Organisationen sowie im E-Business Bereich. 37 Gründe für eine ISO 27001 Zertifizierung Marketing-Zwecke Wettbewerbsvorteil Einhaltung von regulatorischen und vertraglichen Anforderungen Organisatorische Optimierung Verbindung mit anderen Management Systeme wie ISO 9001 und ISO 20000 38
ISO 27001 in Switzerland SQS: - Alp Transit Gotthard AG - Bedag Informatik AG - innova Versicherungen AG - RTC Real Time Center AG - SRG SSR idée suisse - Swisscom IT Services KPMG: - Centris AG - Post Finance SGS: - CPG Market.com SA - Serono International SA BSi: - Reuters SA DQS: - T-Systems Schweiz AG 39 Web Sites http://www.iso27001certificates.com/ http://www.17799.com/ http://www.seco.admin.ch/sas/00229/00239/index.html?lang=de http://www.snv.ch http://www.sqs.ch 40
ISO/IEC 27001:2005 Certification 41