ISMS/Audit und Zertifizierungen: Unterschied zwischen den Versionen

Aus Foxwiki
 
Zeile 8: Zeile 8:


; Technische Sicherheit  
; Technische Sicherheit  
Technische Sicherheit kann zum Beispiel durch Maßnahmen wie
Technische Sicherheit kann zum Beispiel erreicht werden durch Maßnahmen wie
* regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]]
* regelmäßige [[Penetrationstest (Informatik)|Penetrationstests]]
* vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]]  
* vollständige [[IT-Sicherheitsaudit|Sicherheitsaudits]]  


erreicht werden
; Sicherheitsrisiken erkennen und beseitigen
* um eventuell bestehende Sicherheitsrisiken im Bereich von
* [[Systeme]]
** informationstechnischen Systemen
* [[Applikationen]]
** Applikationen und/oder
* [[Infrastruktur]]
** in der informationstechnischen [[Infrastruktur]]
zu erkennen und zu beseitigen


; Organisatorische Sicherheit  
; Organisatorische Sicherheit  

Aktuelle Version vom 18. November 2024, 12:52 Uhr

ISMS/Audit und Zertifizierungen

Beschreibung

Regelmäßige Überprüfung
  • Anforderungen und Maßnahmen
  • Standardmaß an Informationssicherheit
  • Risikominimierung
Technische Sicherheit

Technische Sicherheit kann zum Beispiel erreicht werden durch Maßnahmen wie

Sicherheitsrisiken erkennen und beseitigen
Organisatorische Sicherheit
  • Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
  • Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
Risikominderung

Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur Risikominderung ableiten

  • Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
  • Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.
Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.
  • Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
  • Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
  • Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
  • Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
  • Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
Organisatorischen Ablauf einer Prüfung/Zertifizierung

Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).

Zertifizierung

Je nach Branche und Gesetz
  • muss eine Organisation ein zertifiziertes ISMS betreiben
  • Oft mit jährlichen externen Audit

Varianten

Neben der Zertifizierung direkt auf die ISO/27000-Reihe gibt es in Deutschland drei typische Varianten

Option Beschreibung
IT-Grundschutz/Zertifizierung ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz
ISIS12 Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12)
VdS 10000 VdS Richtlinien 10000


Anhang

Siehe auch

Links

Weblinks