ISMS/Audit und Zertifizierungen: Unterschied zwischen den Versionen

Aktuelle Version vom 31. Oktober 2024, 13:38 Uhr

Audit und Zertifizierungen - Beschreibung

Beschreibung

Regelmäßige Überprüfung

Anforderungen und Maßnahmen
Standardmaß an Informationssicherheit
Risikominimierung

Technische Sicherheit

Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.

Organisatorische Sicherheit

Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.

Risikominderung

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur Risikominderung ableiten

Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.

Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.

Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.

Organisatorischen Ablauf einer Prüfung/Zertifizierung

Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).

Zertifizierung

Je nach Branche und Gesetz

muss eine Organisation ein zertifiziertes ISMS betreiben
Oft mit jährlichen externen Audit

Varianten

Neben der Zertifizierung direkt auf die ISO/27000-Reihe gibt es in Deutschland drei typische Varianten

Option	Beschreibung
IT-Grundschutz/Zertifizierung	ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
ISIS12	Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12)
VdS 10000	VdS Richtlinien 10000

Anhang

Siehe auch

Audit

Links

Weblinks

@@ Zeile 1: / Zeile 1: @@
-'''Audit und Zertifizierungen''' - Kurzbeschreibung
+'''Audit und Zertifizierungen''' - Beschreibung
 == Beschreibung ==
@@ Zeile 41: / Zeile 41: @@
 ! Option !! Beschreibung
 |-
-| [[Grundschutz/Zertifizierung]] || ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
+| [[IT-Grundschutz/Zertifizierung]] || ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
 |-
 | [[ISIS12]] || Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12)
@@ Zeile 58: / Zeile 58: @@
 [[Kategorie:ISMS/Audit]]
 [[Kategorie:ISMS/Zertifizierung]]
-[[Kategorie:Grundschutz/Zertifizierung]]
+[[Kategorie:IT-Grundschutz/Zertifizierung]]
 </noinclude>