ISMS/Audit und Zertifizierungen: Unterschied zwischen den Versionen
| Zeile 1: | Zeile 1: | ||
'''topic''' - Kurzbeschreibung | '''topic''' - Kurzbeschreibung | ||
== Beschreibung == | == Beschreibung == | ||
Um ein Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht. | ; Um ein Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht. | ||
* Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund. | * Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund. | ||
Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]] oder vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]] erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen [[Infrastruktur]] zu erkennen und zu beseitigen. | ; Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]] oder vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]] erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen [[Infrastruktur]] zu erkennen und zu beseitigen. | ||
Organisatorische Sicherheit kann durch [[Audit]]s der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. | ; Organisatorische Sicherheit kann durch [[Audit]]s der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. | ||
* Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden. | * Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden. | ||
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten. | ; Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten. | ||
* Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu [[Normung|Normen]] wie [[ISO/IEC 27001]], [[BS 7799]] oder [[gesetz]]lichen Vorschriften. | * Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu [[Normung|Normen]] wie [[ISO/IEC 27001]], [[BS 7799]] oder [[gesetz]]lichen Vorschriften. | ||
* Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein [[Risikomanagement]] abverlangt wird. | * Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein [[Risikomanagement]] abverlangt wird. | ||
Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion. | ; Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion. | ||
* Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden. | * Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden. | ||
* Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert. | * Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert. | ||
| Zeile 20: | Zeile 20: | ||
* Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2. | * Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2. | ||
Den organisatorischen Ablauf einer Prüfung/Zertifizierung | ; Den organisatorischen Ablauf einer Prüfung/Zertifizierung | ||
Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003). | |||
<noinclude> | <noinclude> | ||
Version vom 18. Juni 2023, 11:02 Uhr
topic - Kurzbeschreibung
Beschreibung
- Um ein Standardmaß an Informationssicherheit zu gewährleisten, ist die regelmäßige Überprüfung von Maßnahmen zur Risikominimierung und -dezimierung Pflicht.
- Auch hier rücken wieder organisatorische und technische Aspekte in den Vordergrund.
- Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.
- Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
- Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
- Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur weiteren Risikominimierung beziehungsweise -dezimierung ableiten.
- Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
- Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.
- Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.
- Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
- Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
- Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
- Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
- Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
- Den organisatorischen Ablauf einer Prüfung/Zertifizierung
Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).