ISMS/Audit und Zertifizierungen: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
 
(54 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''ISMS/Audit und Zertifizierungen'''
 
== Beschreibung ==
== Beschreibung ==
; Um ein Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht.
; Regelmäßige Überprüfung
* Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.
* Anforderungen und Maßnahmen
* Standardmaß an Informationssicherheit
* Risikominimierung


; Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]] oder vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]] erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen [[Infrastruktur]] zu erkennen und zu beseitigen.
; Technische Sicherheit
Technische Sicherheit kann zum Beispiel erreicht werden durch Maßnahmen wie
* regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]]
* vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]]  


; Organisatorische Sicherheit kann durch [[Audit]]s der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
; Sicherheitsrisiken erkennen und beseitigen
* [[Systeme]]
* [[Applikationen]]
* [[Infrastruktur]]
 
; Organisatorische Sicherheit
* Organisatorische Sicherheit kann durch [[Audit]]s der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
* Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
* Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.


; Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten.
; Risikominderung
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur Risikominderung ableiten
* Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu [[Normung|Normen]] wie [[ISO/IEC 27001]], [[BS 7799]] oder [[gesetz]]lichen Vorschriften.
* Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu [[Normung|Normen]] wie [[ISO/IEC 27001]], [[BS 7799]] oder [[gesetz]]lichen Vorschriften.
* Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein [[Risikomanagement]] abverlangt wird.
* Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein [[Risikomanagement]] abverlangt wird.
Zeile 20: Zeile 33:
* Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
* Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.


; Den organisatorischen Ablauf einer Prüfung/Zertifizierung
; Organisatorischen Ablauf einer Prüfung/Zertifizierung
Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).
Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).
== Zertifizierung ==
; Je nach Branche und Gesetz
* muss eine Organisation ein zertifiziertes ISMS betreiben
* Oft mit jährlichen externen Audit
=== Varianten ===
Neben der Zertifizierung direkt auf die [[ISO/27000]]-Reihe gibt es in Deutschland drei typische Varianten
{| class="wikitable options"
|-
! Option !! Beschreibung
|-
| [[IT-Grundschutz/Zertifizierung]] || ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
|-
| [[ISIS12]] || Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12)
|-
| [[VdS 10000]] ||VdS Richtlinien 10000
|}


<noinclude>
<noinclude>
Zeile 28: Zeile 60:
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/Audit}}
{{Special:PrefixIndex/Audit}}
==== Dokumentation ====
==== Links ====
==== Links ====
===== Projekt =====
===== Weblinks =====
===== Weblinks =====


[[Kategorie:Informationssicherheit/Audit]]
[[Kategorie:ISMS/Audit]]
[[Kategorie:Informationssicherheit/Zertifizierung]]
[[Kategorie:ISMS/Zertifizierung]]
[[Kategorie:IT-Grundschutz/Zertifizierung]]
</noinclude>
</noinclude>

Aktuelle Version vom 18. November 2024, 12:52 Uhr

ISMS/Audit und Zertifizierungen

Beschreibung

Regelmäßige Überprüfung
  • Anforderungen und Maßnahmen
  • Standardmaß an Informationssicherheit
  • Risikominimierung
Technische Sicherheit

Technische Sicherheit kann zum Beispiel erreicht werden durch Maßnahmen wie

Sicherheitsrisiken erkennen und beseitigen
Organisatorische Sicherheit
  • Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
  • Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
Risikominderung

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur Risikominderung ableiten

  • Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
  • Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.
Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.
  • Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
  • Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
  • Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
  • Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
  • Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
Organisatorischen Ablauf einer Prüfung/Zertifizierung

Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).

Zertifizierung

Je nach Branche und Gesetz
  • muss eine Organisation ein zertifiziertes ISMS betreiben
  • Oft mit jährlichen externen Audit

Varianten

Neben der Zertifizierung direkt auf die ISO/27000-Reihe gibt es in Deutschland drei typische Varianten

Option Beschreibung
IT-Grundschutz/Zertifizierung ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
ISIS12 Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12)
VdS 10000 VdS Richtlinien 10000


Anhang

Siehe auch

Links

Weblinks