ISMS/Audit und Zertifizierungen
topic - Kurzbeschreibung
Beschreibung
- Regelmäßige Überprüfung
- Anforderungen und Maßnahmen
- Standardmaß an Informationssicherheit
- Risikominimierung
- Technische Sicherheit
- Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen.
- Organisatorische Sicherheit
- Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden.
- Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
- Risikominderung
Aus Feststellungen der weitreichenden Überprüfungsmethoden lassen sich Maßnahmen zur Risikominderung ableiten
- Eine Methodik, wie in diesem Absatz beschrieben, ist unmittelbar konform zu Normen wie ISO/IEC 27001, BS 7799 oder gesetzlichen Vorschriften.
- Hier wird meist eine Nachvollziehbarkeit über Vorgänge der Informationssicherheit unmittelbar eingefordert, indem Unternehmen ein Risikomanagement abverlangt wird.
- Bei der Arbeit an Maschinen und Anlagen haben Komponenten der funktionalen Sicherheit für den Menschen eine wichtige Schutzfunktion.
- Damit Sicherheitsfunktionen von Steuerungen zuverlässig funktionieren, muss auch die Steuerung selbst vor Ausfall und Manipulation geschützt werden.
- Daher werden auch Security-Aspekte der funktionalen Sicherheit von industriellen Automatisierungssystemen geprüft und zertifiziert.
- Diese Prüfung/Zertifizierung kann nur in Kombination mit einer Zertifizierung der funktionalen Sicherheit durchgeführt werden oder auf einer solchen Zertifizierung aufbauen.
- Ein Prüfgrundsatz formuliert Anforderungen für das Erreichen eines Security-Levels 1 (SL 1: Schutz gegen gelegentlichen oder zufälligen Verstoß) nach DIN EN 62443-3-3.
- Weitere Grundlagen dieses Prüfgrundsatzes sind die Normen IEC/TS 62443-1-1, DIN EN IEC 62443-4-1, DIN EN IEC 62443-4-2.
- Organisatorischen Ablauf einer Prüfung/Zertifizierung
Regelt die DGUV Test Prüf- und Zertifizierungsordnung, Teil 1: Zertifizierung von Produkten, Prozessen und Qualitätsmanagementsystemen (DGUV Grundsatz 300-003).
Zertifizierung
- Je nach Branche und Gesetz
- muss eine Organisation ein zertifiziertes ISMS betreiben
- Oft mit jährlichen externen Audit
Varianten
Neben der Zertifizierung direkt auf die ISO/IEC-27000-Reihe gibt es in Deutschland drei typische Varianten
| Option | Beschreibung |
|---|---|
| IT-Grundschutz | ISO/IEC 27001-Zertifikat auf Basis von IT-Grundschutz |
| ISIS12 | Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) |
| VdS 10000 | VdS Richtlinien 10000 |
IT-Grundschutz
ISIS12
VdS 10000
- VdS Richtlinien 10000
Die Richtlinien „VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU) (PDF; 275K) der VdS Schadenverhütung GmbH enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen.
- Sie sind speziell für KMU sowie für kleinere und mittlere Institutionen und Behörden ausgelegt.
- Ziel der VdS 10000 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann.
- Die VdS 10000 ist der Nachfolger der VdS 3473.