ISMS/Audit und Zertifizierungen: Unterschied zwischen den Versionen
K Textersetzung - „Kategorie:Grundschutz“ durch „Kategorie:IT-Grundschutz“ |
|||
(4 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''Audit und Zertifizierungen''' | '''ISMS/Audit und Zertifizierungen''' | ||
== Beschreibung == | == Beschreibung == | ||
Zeile 8: | Zeile 8: | ||
; Technische Sicherheit | ; Technische Sicherheit | ||
Technische Sicherheit kann zum Beispiel erreicht werden durch Maßnahmen wie | |||
* regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]] | |||
* vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]] | |||
; Sicherheitsrisiken erkennen und beseitigen | |||
* [[Systeme]] | |||
* [[Applikationen]] | |||
* [[Infrastruktur]] | |||
; Organisatorische Sicherheit | ; Organisatorische Sicherheit | ||
Zeile 41: | Zeile 48: | ||
! Option !! Beschreibung | ! Option !! Beschreibung | ||
|- | |- | ||
| [[Grundschutz/Zertifizierung]] || ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz | | [[IT-Grundschutz/Zertifizierung]] || ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz | ||
|- | |- | ||
| [[ISIS12]] || Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) | | [[ISIS12]] || Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) |
Aktuelle Version vom 18. November 2024, 12:52 Uhr
ISMS/Audit und Zertifizierungen
Beschreibung
- Regelmäßige Überprüfung
- Anforderungen und Maßnahmen
- Standardmaß an Informationssicherheit
- Risikominimierung
- Technische Sicherheit
Technische Sicherheit kann zum Beispiel erreicht werden durch Maßnahmen wie
- regelmäßige Penetrationstests
- vollständige Sicherheitsaudits
- Sicherheitsrisiken erkennen und beseitigen
- Organisatorische Sicherheit
- Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
- Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
- Risikominderung
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur Risikominderung ableiten
- Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
- Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.
- Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.
- Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
- Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
- Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
- Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
- Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
- Organisatorischen Ablauf einer Prüfung/Zertifizierung
Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).
Zertifizierung
- Je nach Branche und Gesetz
- muss eine Organisation ein zertifiziertes ISMS betreiben
- Oft mit jährlichen externen Audit
Varianten
Neben der Zertifizierung direkt auf die ISO/27000-Reihe gibt es in Deutschland drei typische Varianten
Option | Beschreibung |
---|---|
IT-Grundschutz/Zertifizierung | ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz |
ISIS12 | Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) |
VdS 10000 | VdS Richtlinien 10000 |