|
|
(9 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) |
Zeile 1: |
Zeile 1: |
| === Audit und Zertifizierungen ===
| | [[Kategorie:ISMS]] |
| Um ein Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht.
| |
| * Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.
| |
| | |
| Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]] oder vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]] erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen [[Infrastruktur]] zu erkennen und zu beseitigen.
| |
| | |
| Organisatorische Sicherheit kann durch [[Audit]]s der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
| |
| * Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
| |
| | |
| Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten.
| |
| * Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu [[Normung|Normen]] wie [[ISO/IEC 27001]], [[BS 7799]] oder [[gesetz]]lichen Vorschriften.
| |
| * Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein [[Risikomanagement]] abverlangt wird.
| |
| | |
| Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.
| |
| * Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
| |
| * Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
| |
| * Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
| |
| * Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach [[IEC 62443|DIN EN 62443-3-3]].
| |
| * Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
| |
| | |
| Den organisatorischen Ablauf einer Prüfung/Zertifizierung regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).
| |