ISMS/Audit und Zertifizierungen: Unterschied zwischen den Versionen
Dirkwagner verschob die Seite Informationssicherheit/Audit und Zertifizierungen nach Kategorie:Informationssicherheit/Audit und Zertifizierungen Markierung: Neue Weiterleitung |
K Textersetzung - „[[Grundschutz“ durch „[[IT-Grundschutz“ |
||
| (57 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
'''Audit und Zertifizierungen''' - Beschreibung | |||
== Beschreibung == | |||
; Regelmäßige Überprüfung | |||
* Anforderungen und Maßnahmen | |||
* Standardmaß an Informationssicherheit | |||
* Risikominimierung | |||
; Technische Sicherheit | |||
* Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]] oder vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]] erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen [[Infrastruktur]] zu erkennen und zu beseitigen. | |||
; Organisatorische Sicherheit | |||
* Organisatorische Sicherheit kann durch [[Audit]]s der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. | |||
* Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden. | |||
; Risikominderung | |||
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur Risikominderung ableiten | |||
* Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu [[Normung|Normen]] wie [[ISO/IEC 27001]], [[BS 7799]] oder [[gesetz]]lichen Vorschriften. | |||
* Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein [[Risikomanagement]] abverlangt wird. | |||
; Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion. | |||
* Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden. | |||
* Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert. | |||
* Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen. | |||
* Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach [[IEC 62443|DIN EN 62443-3-3]]. | |||
* Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2. | |||
; Organisatorischen Ablauf einer Prüfung/Zertifizierung | |||
Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003). | |||
== Zertifizierung == | |||
; Je nach Branche und Gesetz | |||
* muss eine Organisation ein zertifiziertes ISMS betreiben | |||
* Oft mit jährlichen externen Audit | |||
=== Varianten === | |||
Neben der Zertifizierung direkt auf die [[ISO/27000]]-Reihe gibt es in Deutschland drei typische Varianten | |||
{| class="wikitable options" | |||
|- | |||
! Option !! Beschreibung | |||
|- | |||
| [[IT-Grundschutz/Zertifizierung]] || ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz | |||
|- | |||
| [[ISIS12]] || Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) | |||
|- | |||
| [[VdS 10000]] ||VdS Richtlinien 10000 | |||
|} | |||
<noinclude> | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/Audit}} | |||
==== Links ==== | |||
===== Weblinks ===== | |||
[[Kategorie:ISMS/Audit]] | |||
[[Kategorie:ISMS/Zertifizierung]] | |||
[[Kategorie:IT-Grundschutz/Zertifizierung]] | |||
</noinclude> | |||
Aktuelle Version vom 31. Oktober 2024, 13:38 Uhr
Audit und Zertifizierungen - Beschreibung
Beschreibung
- Regelmäßige Überprüfung
- Anforderungen und Maßnahmen
- Standardmaß an Informationssicherheit
- Risikominimierung
- Technische Sicherheit
- Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.
- Organisatorische Sicherheit
- Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
- Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
- Risikominderung
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur Risikominderung ableiten
- Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
- Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.
- Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.
- Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
- Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
- Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
- Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
- Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
- Organisatorischen Ablauf einer Prüfung/Zertifizierung
Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).
Zertifizierung
- Je nach Branche und Gesetz
- muss eine Organisation ein zertifiziertes ISMS betreiben
- Oft mit jährlichen externen Audit
Varianten
Neben der Zertifizierung direkt auf die ISO/27000-Reihe gibt es in Deutschland drei typische Varianten
| Option | Beschreibung |
|---|---|
| IT-Grundschutz/Zertifizierung | ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz |
| ISIS12 | Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) |
| VdS 10000 | VdS Richtlinien 10000 |