ISMS/Audit und Zertifizierungen: Unterschied zwischen den Versionen
K Textersetzung - „Informationssicherheit:“ durch „Informationssicherheit/“ |
|||
(27 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
''' | '''ISMS/Audit und Zertifizierungen''' | ||
== Beschreibung == | == Beschreibung == | ||
; Regelmäßige Überprüfung | ; Regelmäßige Überprüfung | ||
Zeile 7: | Zeile 8: | ||
; Technische Sicherheit | ; Technische Sicherheit | ||
Technische Sicherheit kann zum Beispiel erreicht werden durch Maßnahmen wie | |||
* regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]] | |||
* vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]] | |||
; Sicherheitsrisiken erkennen und beseitigen | |||
* [[Systeme]] | |||
* [[Applikationen]] | |||
* [[Infrastruktur]] | |||
; Organisatorische Sicherheit | ; Organisatorische Sicherheit | ||
Zeile 29: | Zeile 37: | ||
== Zertifizierung == | == Zertifizierung == | ||
Je nach Branche und Gesetz | ; Je nach Branche und Gesetz | ||
* muss eine Organisation ein zertifiziertes ISMS betreiben | * muss eine Organisation ein zertifiziertes ISMS betreiben | ||
* Oft mit jährlichen externen Audit | |||
=== Varianten === | |||
Neben der Zertifizierung direkt auf die [[ISO/27000]]-Reihe gibt es in Deutschland drei typische Varianten | |||
= | {| class="wikitable options" | ||
|- | |||
! Option !! Beschreibung | |||
|- | |||
| [[IT-Grundschutz/Zertifizierung]] || ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz | |||
|- | |||
| [[ISIS12]] || Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) | |||
|- | |||
| [[VdS 10000]] ||VdS Richtlinien 10000 | |||
|} | |||
<noinclude> | <noinclude> | ||
Zeile 66: | Zeile 63: | ||
===== Weblinks ===== | ===== Weblinks ===== | ||
[[Kategorie: | [[Kategorie:ISMS/Audit]] | ||
[[Kategorie: | [[Kategorie:ISMS/Zertifizierung]] | ||
[[Kategorie:IT-Grundschutz/Zertifizierung]] | [[Kategorie:IT-Grundschutz/Zertifizierung]] | ||
</noinclude> | </noinclude> |
Aktuelle Version vom 18. November 2024, 12:52 Uhr
ISMS/Audit und Zertifizierungen
Beschreibung
- Regelmäßige Überprüfung
- Anforderungen und Maßnahmen
- Standardmaß an Informationssicherheit
- Risikominimierung
- Technische Sicherheit
Technische Sicherheit kann zum Beispiel erreicht werden durch Maßnahmen wie
- regelmäßige Penetrationstests
- vollständige Sicherheitsaudits
- Sicherheitsrisiken erkennen und beseitigen
- Organisatorische Sicherheit
- Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
- Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
- Risikominderung
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur Risikominderung ableiten
- Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
- Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.
- Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.
- Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
- Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
- Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
- Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
- Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
- Organisatorischen Ablauf einer Prüfung/Zertifizierung
Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).
Zertifizierung
- Je nach Branche und Gesetz
- muss eine Organisation ein zertifiziertes ISMS betreiben
- Oft mit jährlichen externen Audit
Varianten
Neben der Zertifizierung direkt auf die ISO/27000-Reihe gibt es in Deutschland drei typische Varianten
Option | Beschreibung |
---|---|
IT-Grundschutz/Zertifizierung | ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz |
ISIS12 | Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) |
VdS 10000 | VdS Richtlinien 10000 |