ISMS/Audit und Zertifizierungen: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
 
(46 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''topic''' - Kurzbeschreibung
'''ISMS/Audit und Zertifizierungen'''
 
== Beschreibung ==
== Beschreibung ==
; Um ein Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht.
; Regelmäßige Überprüfung
* Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.
* Anforderungen und Maßnahmen
* Standardmaß an Informationssicherheit
* Risikominimierung


; Technische Sicherheit  
; Technische Sicherheit  
Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]] oder vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]] erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen [[Infrastruktur]] zu erkennen und zu beseitigen.
Technische Sicherheit kann zum Beispiel erreicht werden durch Maßnahmen wie
* regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]]
* vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]]  
 
; Sicherheitsrisiken erkennen und beseitigen
* [[Systeme]]
* [[Applikationen]]
* [[Infrastruktur]]


; Organisatorische Sicherheit  
; Organisatorische Sicherheit  
Organisatorische Sicherheit kann durch [[Audit]]s der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
* Organisatorische Sicherheit kann durch [[Audit]]s der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
* Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
* Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.


; Risikominderung
; Risikominderung
; Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur Risikominderung ableiten
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur Risikominderung ableiten
* Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu [[Normung|Normen]] wie [[ISO/IEC 27001]], [[BS 7799]] oder [[gesetz]]lichen Vorschriften.
* Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu [[Normung|Normen]] wie [[ISO/IEC 27001]], [[BS 7799]] oder [[gesetz]]lichen Vorschriften.
* Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein [[Risikomanagement]] abverlangt wird.
* Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein [[Risikomanagement]] abverlangt wird.
Zeile 23: Zeile 33:
* Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
* Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.


; Den organisatorischen Ablauf einer Prüfung/Zertifizierung
; Organisatorischen Ablauf einer Prüfung/Zertifizierung
Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).
Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).


== Zertifizierung ==
== Zertifizierung ==
Je nach Branche und Gesetz muss eine Organisation ein zertifiziertes ISMS betreiben – oft mit jährlichen externen Audit. Neben der Zertifizierung direkt auf die [[ISO/IEC-27000-Reihe]] gibt es in Deutschland drei typische Varianten:
; Je nach Branche und Gesetz
 
* muss eine Organisation ein zertifiziertes ISMS betreiben
=== ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz ===
* Oft mit jährlichen externen Audit
; Das ''[[Bundesamt für Sicherheit in der Informationstechnik]]'' (BSI) brachte mit dem [[IT-Grundschutz]] 2006 ein Konzept für die Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) heraus.
* Der IT-Grundschutz bietet mit seinen drei Standards 200-1, 200-2 und 200-3 in Kombination mit den ''[[IT-Grundschutzkatalog]]en'' (bis 2006 ''IT-Grundschutzhandbuch'' genannt) Hilfestellungen bei der Einführung und Aufrechterhaltung eines ISMS.
* Seit 2006 sind die IT-Grundschutz-Kataloge an die internationale Norm [[ISO/IEC 27001]] angepasst.
* Dieses System gilt als Quasi-Standard in deutschen Behörden.


; Das BSI legt dabei besonderen Wert auf die drei Bereiche
=== Varianten ===
* [[Vertraulichkeit]]
Neben der Zertifizierung direkt auf die [[ISO/27000]]-Reihe gibt es in Deutschland drei typische Varianten
* [[Integrität]]
* [[Verfügbarkeit]]
von Informationen.


=== Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ===
{| class="wikitable options"
ISMS nach ISO/IEC 27001 oder den IT-Grundschutz-Katalogen des BSI stellen aus verschiedenen Gründen oft große Hürden für Unternehmen des Mittelstands ([[Kleine und mittlere Unternehmen|Kleine und mittlere Unternehmen (KMU)]]) dar, vor allem wenn diese nicht in der IT-Branche tätig sind. [https://www.zdnet.de/41557734/isis-12-management-der-informationssicherheit-fuer-den-mittelstand/ ZDNet-Artikel vom 7. November 2011]
|-
* Schwierigkeiten bestehen erfahrungsgemäß unter anderem darin, ausreichend ausgebildetes Personal in den meist kleinen IT-Abteilungen abstellen zu können.
! Option !! Beschreibung
* Weiterhin stellt die in dem ISO/IEC 27001-Standard geforderte Risikoanalyse sowie das Auswählen von konkreten Maßnahmen viele Unternehmen in der Realität vor unlösbare Aufgaben.
|-
* Das sogenannte „Netz für Informationssicherheit im Mittelstand (NIM)“ (Mitglieder u. a. Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg) entwickelte daher – aus IT-Grundschutz und ISO/IEC 27001 abgeleitet – ein wissenschaftlich abgestütztes Modell zur Einführung eines ISMS in 12 konkreten Schritten.
| [[IT-Grundschutz/Zertifizierung]] || ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
* Wesentliches Augenmerk wurde darauf gelegt, dass nicht jedes Bedrohungsszenario abgedeckt wird, sondern den Unternehmen eine klare Handlungsanweisung in begrenztem Umfang, mit integriertem Einführungskonzept und in verständlicher Sprache an die Hand gegeben wird.
|-
| [[ISIS12]] || Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12)
|-
| [[VdS 10000]] ||VdS Richtlinien 10000
|}


=== VdS Richtlinien 10000 (VdS 10000) ===
Die Richtlinien „VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ [https://vds.de/fileadmin/vds_publikationen/vds_10000_web.pdf ''Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)''] (PDF; 275K)  der [[VdS Schadenverhütung]] GmbH enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen.
* Sie sind speziell für [[Kleine und mittlere Unternehmen|KMU]] sowie für kleinere und mittlere Institutionen und Behörden ausgelegt.
* Ziel der VdS 10000 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann.
* Die VdS 10000 ist der Nachfolger der VdS 3473.
<noinclude>
<noinclude>


Zeile 58: Zeile 60:
=== Siehe auch ===
=== Siehe auch ===
{{Special:PrefixIndex/Audit}}
{{Special:PrefixIndex/Audit}}
==== Dokumentation ====
==== Links ====
==== Links ====
===== Projekt =====
===== Weblinks =====
===== Weblinks =====


[[Kategorie:Informationssicherheit:Audit]]
[[Kategorie:ISMS/Audit]]
[[Kategorie:Informationssicherheit:Zertifizierung]]
[[Kategorie:ISMS/Zertifizierung]]
[[Kategorie:IT-Grundschutz/Zertifizierung]]
</noinclude>
</noinclude>

Aktuelle Version vom 18. November 2024, 12:52 Uhr

ISMS/Audit und Zertifizierungen

Beschreibung

Regelmäßige Überprüfung
  • Anforderungen und Maßnahmen
  • Standardmaß an Informationssicherheit
  • Risikominimierung
Technische Sicherheit

Technische Sicherheit kann zum Beispiel erreicht werden durch Maßnahmen wie

Sicherheitsrisiken erkennen und beseitigen
Organisatorische Sicherheit
  • Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
  • Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
Risikominderung

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur Risikominderung ableiten

  • Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
  • Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.
Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.
  • Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
  • Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
  • Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
  • Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
  • Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
Organisatorischen Ablauf einer Prüfung/Zertifizierung

Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).

Zertifizierung

Je nach Branche und Gesetz
  • muss eine Organisation ein zertifiziertes ISMS betreiben
  • Oft mit jährlichen externen Audit

Varianten

Neben der Zertifizierung direkt auf die ISO/27000-Reihe gibt es in Deutschland drei typische Varianten

Option Beschreibung
IT-Grundschutz/Zertifizierung ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
ISIS12 Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12)
VdS 10000 VdS Richtlinien 10000


Anhang

Siehe auch

Links

Weblinks