Handbuch / Regelwerk zur Norm DIN EN ISO 27001:2017 · 6 1 0 Ermittlung Risiken Chancen 6 1 2...

Handbuch / Regelwerk zur Norm

DIN EN ISO 27001:2017

© QM-Verlag Seiler, Revision 0, Seite 1 von 12, gültig ab xx.xx.xxxx

Inhaltsverzeichnis1 Anwendungsbereich ......................................................................................................................... 2

2 Normative Verweisungen ................................................................................................................. 2

3 Begriffe (siehe Punkt 11) .................................................................................................................. 2

4 Kontext der Organisation ................................................................................................................. 2

4 1 Verstehen der Organisation und ihres Kontextes ..................................................................... 2

4 2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien ................................... 2

4 3 Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems ......... 3

4 4 Informationssicherheitsmanagementsystem ............................................................................ 3

5 Führung ............................................................................................................................................ 3

5 1 Führung und Verpflichtung ........................................................................................................ 3

5 1 1 Führung und Verpflichtung ................................................................................................. 3

5 2 Politik ......................................................................................................................................... 3

5 3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation ........................................... 4

6 Planung ............................................................................................................................................. 4

6 1 Maßnahmen zum Umgang mit Risiken und Chancen ............................................................... 4

6 2 Informationssicherheitsziele und Planung zu deren Erreichung ............................................... 5

7 Unterstützung ................................................................................................................................... 5

7 1 Ressourcen ................................................................................................................................ 5

7 2 Kompetenz ................................................................................................................................. 5

7 3 Bewusstsein ............................................................................................................................... 6

7 4 Kommunikation ......................................................................................................................... 6

7 5 Dokumentierte Information ...................................................................................................... 6

7 5 1 Allgemeines ........................................................................................................................ 6

7 5 2 Erstellen und Aktualisieren ................................................................................................. 6

7 5 3 Lenkung dokumentierter Informationen ............................................................................ 7

8 Betrieb .............................................................................................................................................. 7

8 1 Betriebliche Planung und Steuerung ......................................................................................... 7

8 2 Informationssicherheitsbeurteilung .......................................................................................... 7

8 3 Informationsrisikobehandlung .................................................................................................. 7

9 Bewertung der Leistung ................................................................................................................... 8

9 1 Überwachung, Messung, Analyse und Bewertung .................................................................... 8

9 2 Internes Audit ............................................................................................................................ 8

9 3 Managementbewertung ............................................................................................................ 9


DIN EN ISO 27001:2017


10 Verbesserung .................................................................................................................................. 9

10 1 Nichtkonformitäten und Korrekturmaßahmen ....................................................................... 9

10 2 Fortlaufende Verbesserung ................................................................................................... 10

11.0 Begriffserklärung (Grundlage ISO 27000).................................................................................. 10

1 Anwendungsbereich Unternehmensbezeichnung: Mustermann AG Straße: Zum Salm 27 PLZ, Ort: D-88662 Überlingen GF: Klaus Seiler, MSc. in QM ISMS-Beauftragte(r): Hans Mustermann Anzahl Mitarbeiter/-innen: 5

2 Normative Verweisungen Im Rahmen unseres Informationsmanagementsystems beachten wir folgende normative Vorgaben (Beispiele):

DIN ISO / IEC 27000:2011-07 Überblick / Ter-minologie

DIN ISO / IEC 27001:2017-03 Anforderungen Informationssicherheitsmanagementsysteme

DIN ISO / IEC 27002:2014-02 Leitfaden DIN ISO / IEC 27003:2010-02 Anleitung zur Um-

setzung DIN ISO / IEC 27004:2009-12 Messgrößen BS ISO / IEC 27005:2011-06 Risikomanagement

ISO / IEC DIS 27006:2017-01 Anforderungen an Zertifizierungsstellen

ISO / IEC 27007:2011-11 Auditrichtlinien ISO / IEC 27011:2008-12 Telekommunikations-

unternehmen DIN EN ISO 27799:2014-10 Gesundheitsorgani-

sationen

3 Begriffe (siehe Punkt 11)

4 Kontext der Organisation

4 1 Verstehen der Organisation und ihres Kontextes

Unsere Rahmenbedingungen sind für die strategische Ausrichtung unseres Informationssicherheitsmanage-mentsystems relevant. Die Themen zur Erreichung der beabsichtigten Ergebnisse sind in externe und interne Zusammenhänge unterteilt. Die Themen werden laufend, formell aber jährlich geprüft und überwacht. Werden zwischen den Überwachungen neue Themen erkannt, werden diese umgehend umgesetzt. Dabei berücksichtigen wir folgende Aspekte:

soziale, kulturelle, politische, rechtliche, regulatorische, finanzielle, technologische, wirtschaftliche, na-türliche und wettbewerbsspezifische Gegebenheiten internationaler, nationaler, regionaler oder lokaler Art,

wesentliche Triebkräfte und Trends, welche unser Unternehmen beeinflussen, die Beziehungen zu interessierten Parteien sowie deren Wahrnehmungen und Werte.

4 2 Verstehen der Erfordernisse und Erwartungen interessierter Parteien

Wir haben die Erfordernisse und Erwartungen in einem Formblatt gelistet und kommunizieren diese im Unter-nehmen. Die Erfordernisse und Erwartungen werden laufend, formell aber jährlich geprüft und überwacht. Wer-den zwischen den Überwachungen neue Erfordernisse und Erwartungen erkannt, werden diese umgehend um-gesetzt.


DIN EN ISO 27001:2017


4 3 Festlegen des Anwendungsbereichs des Informationssicherheitsmanagementsystems

Anwendungsbereich des ISMS: Entwicklung, Produktion und Vertrieb von Musterdokumentationen, Durchführung von Beratungsleistungen, Informationsmanagement für Kunden, Dokumentationsprüfungen und Dokumentationserstellung.

Geografischer Anwendungsbereich: Siehe 1 Anwendungsbereich.

4 4 Informationssicherheitsmanagementsystem

Mit diesem Handbuch und den nachfolgenden Regelungen und Nachweisen haben wir nachgewiesen, dass wir ein ISMS eingeführt haben. Dieses System wird fortlaufend aufrechterhalten und verbessert. Unsere Prozesse sind im Laufe dieses Regelwerks oder in gesonderten Prozessbeschreibungen beschrieben. Die Prozessbeschreibungen beinhalten:

die Prozesseingaben, das zu erwartende Prozessergebnis, Kriterien und Methoden zur Durchführung, die Art der Messung, Messmethoden, bedeutende Leistungsindikatoren, die für das Prozessergebnis von Bedeutung sind, Verantwortungen / Befugnisse im Rahmen des Prozessablaufes, Prozessrisiken und Chancen sowie abgeleitete Maßnahmen, die Form der Prozessüberwachung, letzte Änderungen, mögliche Prozessverbesserungen , Dokumente und deren Aufbewahrung und die Prozessabfolge und deren Wechselwirkungen.

Dokumentierte Informationen, wie Aufzeichnungen und Vorgaben, stehen im Einklang mit der Notwendigkeit und unterstützen die Durchführung.

5 Führung

5 1 Führung und Verpflichtung

5 1 1 Führung und Verpflichtung

Wir zeigen Führung und Verpflichtung durch: Festlegung der Informationssicherheitspolitik und der Informationssicherheitsziele unter Beachtung der strategi-

schen Ausrichtung, Umsetzung in allen Geschäftsprozessen, Bereitstellung von notwendigen Ressourcen, Laufende Vermittlung des ISMS auf allen internen Ebenen, Gewährleistung der Zielerreichung, Unterstützung und Anleitung der Beteiligten, Fortlaufende Verbesserung und Unterstützung der Führungskräfte.

5 2 Politik

Unsere Informationssicherheitspolitik ist für den Zweck und den Kontext unserer Organisation geeignet. Sie bil-det den Rahmen zur Festlegung und Überprüfung der Informationssicherheitsziele. Wir verpflichten uns zur Er-füllung der ermittelten Anforderungen und zur laufenden Verbesserung.


DIN EN ISO 27001:2017


Unsere Informationssicherheitspolitik ist im Formblatt 5.2.0 Informationssicherheitspolitik festgelegt. Sie wurde allen Mitarbeitern/-innen vermittelt und wird angewendet. Die Informationssicherheitspolitik wird den interes-sierten Parteien zur Verfügung gestellt.

5 3 Rollen, Verantwortlichkeiten und Befugnisse in der Organisation

Die Verantwortlichkeiten und Befugnisse für relevante Rollen sind zugewiesen, intern kommuniziert und werden verstanden. Wir haben Verantwortungen und Befugnisse zugewiesen für:

die Sicherstellung, dass das ISMS die Normforderungen erfüllt, die Sicherstellung, dass die beabsichtigten Prozessergebnisse geliefert werden, eine Berichterstattung über die

o Leistung, o Verbesserungsmöglichkeiten, o Änderungen und o Innovation des Informationssicherheitsmanagementsystems,

die Förderung der Kundenorientierung, die Aufrechterhaltung der Integrität bei Änderungen des ISMS.

6 Planung

6 1 Maßnahmen zum Umgang mit Risiken und Chancen

6.1.1 Allgemeines

Aus unseren Themen zum Kontext (4.1) und Anforderungen (4.2) haben wir Risiken und Chancen bestimmt. Sie dienen dazu, die beabsichtigten Ergebnisse zu erzielen, unerwünschte Auswirkungen zu verhindern und zu ver-ringern und eine fortlaufende Verbesserung zu erreichen. Die Betrachtungen gewährleisten:

Verringern und verhindern von ungewünschten Auswirkungen, Die Sicherstellung zur Erreichung der beabsichtigten Ergebnisse, Eine fortlaufende Verbesserung, die Planung zum Umgang mit Risiken, Chancen und der Integration von Prozessen sowie der Wirksamkeitsbeurteilung.

6.1.2 Informationssicherheitsrisikobeurteilung

Wir haben einen Prozess zur Informationssicherheitsrisikobeurteilung festlegt und wenden diesen an. Der Prozess gewährleistet:

Die Festlegungen von Informationssicherheitsrisikokriterien inklusive o Akzeptanzkriterien und o Beurteilungskriterien,

Erneute oder wiederholte Beurteilungen zu konsistenten, vergleichbaren und gültigen Ergebnissen führen, Die Identifizierung von Informationssicherheitsrisiken in Bezug auf

o Verlust der Vertraulichkeit, o Integrität und Verfügbarkeit von Informationen, o Identifizierung von Risikoeigentümern, o Eintrittsfolgen, o Die Bewertung der Eintrittswahrscheinlichkeit o Bestimmung des Risikoniveaus mit

▪ Vergleich der Risiken mit den Risikokriterien und ▪ Priorisierung der Risikobehandlung

Dokumentationen

Qualitätsmanagement Verlag

Seiler

Informationssicherheitsma-nagement

Prozessbeschreibungen

DIN EN ISO 27001:2017

Auflage 1

Weitere Prozessbeschreibungen:

6 1 0 Ermittlung Risiken Chancen6 1 2 Informationssicherheitsrisikobeurteilung6 1 3 Informationssicherheitsbehandlung6 1 3 Risikomanagement IT6 2 0 Informationssicherheitsziele6 3 0 Planung Änderungen7 2 0 Erforderliche Kompetenzen7 2 0 Schulungen7 2 0 Weiterbildung7 4 0 Externe Kommunikation7 4 0 Interne Kommunikation7 5 3 Lenkung aufgezeichneter Informationen7 5 3 Lenkung externer Informationen7 5 3 Lenkung interner Informationen8 3 0 Änderungen am System8 3 0 Auswahl Anbieter8 3 0 Benutzerzugang8 3 0 Berechtigung8 3 0 Beschaffung8 3 0 Eigentum Kunden Anbieter8 3 0 Entsorgung Datenträger8 3 0 Entwicklungsänderungen8 3 0 Entwicklungsbewertung8 3 0 Entwicklungseingaben8 3 0 Entwicklungsergebnisse8 3 0 Entwicklungsplanung8 3 0 Entwicklungsvalidierung8 3 0 Entwicklungsverifizierung8 3 0 Externe Wartungen8 3 0 Genehmigung neuer Einrichtungen8 3 0 Informationsübertragung8 3 0 Informationen8 3 0 Installation8 3 0 Interne Wartung8 3 0 Kennzeichnung und Rückverfolgbarkeit8 3 0 Kennzeichnung von Informationen8 3 0 Kommunikation Anbieter8 3 0 Kontrolle Lieferungen8 3 0 Lieferanten / Anbieteraudit8 3 0 Notfallvorsoge Management8 3 0 Registrierung / Deregistrierung8 3 0 Sammlung Beweismaterial8 3 0 Sicherheitsvorfall8 3 0 Validierung Software8 3 0 Wechselmedien9 1 0 Leistung Anbieter9 1 0 Leistungsanalyse9 2 0 Internes Audit10 1 0 Nichtkonformitäten Dienstleistung10 1 0 Nichtkonformitäten Produkt10 2 0 Planung Verbesserung

6.1.3 Informationssicherheitsbehandlun

g

MA

VA Ablauf / Tätigkeiten Dokumente Ablauf / Hilfsmittel

Start

Risikoniveau bewertenISMS-

Beauftr.

Ja

Maßnahme(n) möglich?

Nein

GL

Informationen aus der Excel-Datei wie Risiken bewertet wurden.

ENDE

Behandlungs-maßnahme

festlegen

Interne Kommunikation

Information der betroffenen

Bereiche

Umsetzung Maßnahmen

Ja

Maßnahme(n) wirksam?

Nein

Nachweis erstellen

ISMS-Beauftr

.

ISMS-Beauftr

.

ISMS-Beauftr

.

ISMS-Beauftr

.

ISMS-Beauftr

.

ISMS-Beauftr

.

ISMS-Beauftr

.

MA

Bereiche

MA

MA

Ableiten von möglichen Risikobehandlungen

Kommunikation mit den Betroffenen auf Leitungsebene. Besprechung von Optionen.

Information der betroffenen Bereiche auf allen Ebenen.

Notiz der möglichen Maßnahmen und Beschluss der Vorgehensweise, Verteilung von Verantwortungen und Termine.

Umsetzung der Maßnahmen gemäß Festlegung.

Die Maßnahme ist erfolgreich umgesetzt, wenn das Problem nicht oder nicht mehr auftritt oder wie beabsichtigt minimiert wurde. Es wird immer eine Wirksamkeits-prüfung durchgeführt.Abschließend: Informationen von betroffenen Bereichen und der GF über das Ergebnis. Die Ergebnisse gehen in die Managementbewertung ein.

FB „6 1 2 / 6 1 3 Informationssicher-heitsrisiko Beurteilung Behandlung“

MA



FB „6 1 2 / 6 1 3 Informationssicher-heitsrisiko Beurteilung Behandlung“, Besprechungs-protokoll

Mail, Notiz, Aushang

Mail, Notiz, Aushang

Aktionsplan baulich , organisatorisch



Qualitätsmanagement Verlag

Seiler Dokumentationen

8.3.0 Benutzerzugang

MA

VA Ablauf / Tätigkeiten Dokumente Ablauf Hilfsmittel

Start

Prüfen der vorhandenen

Benutzerzugänge

Ende

ISMS-Beauft

r.

GF

Benutzerzugang vergeben

Die aktuellen Benutzerzugänge werden von der GF überprüft.

Nach dem Ermitteln der Notwendigkeit der Dauer der Berechtigung wird geprüft, ob das Risiko der Vergabe der Berechtigung zu vertreten ist.

Prüfen der Dauer der Notwendigkeit

JaNein

Sind die Benutzerzugänge nicht in Ordnung, werden diese abgeändert.

Sollten neue Benutzerzugänge notwendig sein, werden diese auf die Dauer der Notwendigkeit geprüft.

Liste der Berechtigungen, Befugnismatrix

Der Benutzerzugang wird vergeben und in die Liste der Berechtigungen eingetragen.

Entfernen der Berechtigung /

Zugang

Sind weitere nötig?

JaNein

Mitarbeiter/-in dazu

geeignet?

JaNein

GF

GF

GF

GF

GF





Benutzer-zugang richtig

vergeben?

Ja

Nein

Es werden die Aufgaben anhand der Benutzerzugänge ermittelt und überprüft, sollten die Mitarbeiter/-innen diese nicht erfüllen, wird der Zugang entfernt.


ISMS-Beauft

r.

ISMS-Beauft

r.

ISMS-Beauft

r.

ISMS-Beauft

r.

ISMS-Beauft

r.

ISMS-Beauft

r.

Sind weitere Zugänge

nötig?

Zugängei.O?


Es wird laufend geprüft, ob die Benutzerzugänge noch berechtigt sind und aktuell.


8.3.0 Installation

MA

VA Ablauf / Tätigkeiten Dokumente Ablauf Hilfsmittel

Start

Neue Software vorhanden

Eine neue Software wird vorgeschlagen, der Bedarf an ihr wird überprüft.

Ja

Nein

Berechtigung einholen

Dokumentieren und neue

Zugänge verteilen

PA "Schulung intern"

Nein

Ende

ISMS-Beauft

r.

MA

ISMS-Beauft

r.

MA

ISMS-Beauft

r.

MA

ISMS-Beauft

r.

MA

PA Schulung intern

Die neue Software wird auf den nötigen Systemen installiert.

Es wird geprüft, ob anhand der Neuinstallation eine Schulung der entsprechenden Mitarbeiter nötig ist. Sollte es so sein wird gemäß PA Schulung verfahren.Die Installation der neuen Software wird dokumentiert, die neuen Software (sofern vorhanden) werden in die Liste der Berechtigungen eingetragen. Die Berechtigungen für die alte Software (sofern vorhanden) werden aus der Liste entfernt. Aktualisierung der Liste Werte.

Ja

ISMS-Beauft

r.

MA

Bedarf an der neuen Software?

Muss aufgrund der Änderung eine Schulung erfolgen?

PA = ProzessanweisungAA = ArbeitsanweisungVA = VerantwortlichMA = Mitarbeit / Mitarbeiter/-inGL = GeschäftsleitungPT = Prozessteam

Ist die neue Software notwendig wird die Berechtigung von der entsprechenden Person (Berücksichtigung der Urheber und Lizenzrechte) eingeholt, die notwendigen Berechtigungen für die Installation einer Software wird beim Admin freigeschalten.

Nein

Ja

Installation der neuen Software

Ersetzen der alten Software?

Deinstallation der alten Software

ISMS-Beauft

r.

MA

ISMS-Beauft

r.

MA

FB Berechtigungen, FB Werte

Sollte das neue Programm ein anderen ersetzen, wird das alte vollständig vom System entfernt bevor das neue aufgespielt wird.


Produktbeschreibung

Produktbeschreibung

Produktbeschreibung PA Berechtigung, FB Berechtigungen

FB Werte

PA Installation

Informationssicherheitsmanagement

Arbeitsanweisungen

DIN EN ISO 27001:2017

Auflage 1

Weitere Arbeitsanweisungen:

4 4 0 Anweisung Prozesserstellung8 3 0 Arbeiten in Sicherheitsbereichen8 3 0 Entwicklungssteuerung8 3 0 Kennzeichnung Informationen8 3 0 Kontrolle Bereitstellungen8 3 0 Transaktionen bei Anwendungsdiensten8 3 0 Verwendung von Werten außerhalb des Unternehmens

8.3.0 Verwendung von Werten außerhalb

des Unternehmens

Grundlagen.........................................................................................................................................1

Gültigkeit............................................................................................................................................1

Ziel und Grund....................................................................................................................................1

Abkürzungen......................................................................................................................................1

Zu beachtende Punkte........................................................................................................................1

Grundlagen

Kapitel 8 Abschnitt 8.3.0 "ISMS und dessen Prozesse“.

Gültigkeit

Diese Anweisung betrifft alle Personen, die Werte außerhalb des Unternehmens verwenden.

Ziel und Grund

Die Vereinheitlichung der Prozessbeschreibungen im Unternehmen und die Sicherstellung der richti-

gen Inhalte.

Abkürzungen

GF Geschäftsführung

QM Qualitätsmanager/-in

ISMS-Beauftr. Informationsmanagementsystem-Beauftragte(r)

Zu beachtende Punkte

1. Geräte, Betriebsmittel und Werte außerhalb der Räumlichkeiten werden immer geschützt

mittels:a. Verschlussb. Verbleib in geschlossenen Räumen ohne Aufsichtc. Passwort

2. Der Verbleib in Fahrzeugen ist untersagt. 3. Werte werden immer verpackt:

a. Computertaschen,b. Umschläge,c. Taschen

4. Bei allen Werten gibt es Informationen zu unserem Unternehmen und der Aufforderung einer

Abgabe bei Verlust.5. Das Autoabschalten bei digitalen Geräten (PDA’s, Lapotop, Notebook…) ist auf den kürzesten

Zeitraum einzustellen.6. Bei dem Gang auf Toiletten, Duschen usw. werden elektronische Werte immer abgeschaltet.7. Notizen, Anweisungen und Vorgaben werden immer verschlossen.8. Geheim eingestufte Werte werden nur nach schriftlicher Genehmigung verwendet.9. Abweichungen werden sofort der / dem ISMS-Beauftragte(n) gemeldet.


Informationssicherheitsmanagement

Formblätter / Nachweise

DIN EN ISO 27001:2017

Auflage 1

Weitere Nachweisformen:

4 1 0 Kontext, Erfordernisse und Erwartungen4 4 0 Grundriss Räumlichkeiten4 4 0 Prozesse5 2 0 Informationssicherheitspolitik5 2 0 Informationssicherheitsrichtlinie5 2 0 Lieferantensicherheitsrichtlinie5 3 0 Organisationsdiagramm5 3 0 Verantwortungen und Befugnisse6 1 0 Chancen und Risiken7 1 0 Werte7 2 0 Benennung ISMS Beauftragte7 2 0 Kompetenzen7 2 0 Schulungsplan7 4 0 Liste Kommunikationswege7 4 0 Protokoll Besprechung7 5 1 Dokumentierte Informationen (diese Liste)8 1 0 Planung und Steuerung8 2 0 Informationssicherheitsbeurteilung8 3 0 Abnahmetest Software8 3 0 Änderungssteuerung8 3 0 Aktionsplan baulich organisatorisch8 3 0 Ausgabe Mobilgeräte8 3 0 Ausgabeliste Schlüssel8 3 0 Berechtigungen8 3 0 Entsorgungsprotokoll Wiederverwendung8 3 0 Entwicklungsänderungen8 3 0 Geheime Authentifizierungsinformationen8 3 0 Information Arbeitsumgebung8 3 0 Infrastruktur Netzwerkplan

8 3 0 Kapazitätssteuerung8 3 0 Kennwortsystem8 3 0 Kennzeichnung / Rückverfolgung8 3 0 Konfiguration Medien8 3 0 Liste Anbieter8 3 0 Liste bindende Vorgaben8 3 0 Liste der Berechtigungen8 3 0 Maßnahmen Wartung8 3 0 Notfallplan8 3 0 Protokollierung Überwachung8 3 0 Prüfplan8 3 0 QSV Qualitätssicherungsvereinbarung8 3 0 Regelwerk Zugangskontrolle8 3 0 Schweigepflicht externe Anbieter8 3 0 Schweigepflicht Verantwortungsbelehrung8 3 0 Sicherheitseinstufungen8 3 0 Tätigkeiten Installation8 3 0 Überwachung Änderungen8 3 0 Unterschriftenliste8 3 0 Zugangssteuerung9 1 0 Informationssicherheitsbericht9 1 0 Leistung Anbieter9 1 0 Leistungsbewertung9 2 0 Auditbericht9 2 0 Auditcheckliste 27001 20179 2 0 Auditplan9 2 0 Auditprogramm9 3 0 Managementbewertung10 1 0 Fehlerliste10 1 0 Maßnahmenplan

10 1 0 8 D Report10 2 0 Liste Verbesserungen

6.1.0 Chancen und Risiken Beispiele in Rot

Zusammenhang Anforderung Chance Risiko Maßnahme Wirksamkeit 15.08.20xxISMS a) Aufrechterhaltung der Informat-

onssicherheitb) Datenverlust durch Raub

c) Datenverlust durch Ausfall

d) Datenverlust durch Sabotage

Zu a) Angriffe von Externen abwehrenZu b) /

Zu c) /

Zu d) /

Zu a) Datenverlust

Zu b) Andere können Daten zum Missbrauch nutzten

Zu c) Daten können ver-loren gehen oder nicht mehr nutzbar sein (Total-ausfall)Zu d) Es kann zu einem kompletten Ausfall / Ver-lust von Daten kommen.

Zu a)Einführung ISMS im Unternehmen

Zu b) Erstellen von Richtlinien um Datenverlust durch raub zu minimieren. Schützen der Verzeichnisse, Zutritts-regelungenZu c) laufende Wartung aller EDV-Ein-heiten und Überwachung der Funkton.

Zu d) Es wird ein redundantes System aufgebaut um Daten in jedem Fall bei-behalten zu können. Es werden Rege-lungen auf allen Ebenen getroffen zum Umgang und Zugang zu Daten.

Ja

Ja

Ja

ja

Gesetzlich (extern) a) Wir halten die Anforderungen der Berufsgenossenschaften ein.

b) Wir beachten das Urheberschutzge-setz und das Bundesdatenschutzge-setz.

c) Wir vertreiben unsere Produkte über das Internet (Fernabsatzge-setzt).

Zu a) keine

Zu b) keine

Zu C) keine

Zu a) mangelnde Einhal-tung.Zu b) Freigabeprüfungen bei dokumenterten In-formatonen

Zu a) Jährliche Begehung durch Arbeits-schutzbeauftragte(r)Zu B) Qualitätsmanager/-in prüft Doku-mente und Aufzeichnungen in Stchpro-ben.Zu c) Prüfung der Internetseiten bei Än-derungen.

Ja

Ja

Offen

Technisch (extern) a) Wir setzen Druck- und Verpackungs-maschinen ein.

b) Wir betreiben ein Firmennetzwerk.c) Wir beachten den Umweltschutz.

Zu a) Optmierte Leistung.Zu b) Daten können zentral verwaltet werden.Zu c) Verbesserung des An-sehens in der Gemeinde

Zu a) Veralterung der Maschinen und Hilfsmit-tel.Zu b) Daten können ver-loren gehen oder ent-wendet.Zu c) keines

Zu a) Jährliche Prüfung der Verwendbar-keit und neue Technologien.Zu b) Mitarbeiter/-innen werden zur Verschwiegenheit verpflichtet.Zu c) Keine Maßnahme

Ja

Alle MA Stand: 20.07.20xx

Wettbewerblich (extern)

a) Wir sind Anbieter von Musterdoku-mentatonen (Printmedien).

b) Wir beraten Kunden bei der prak-tschen Umsetzung von Normforde-rungen.

Zu a) Alleinstellungsmerk-mal auf dem Markt.Zu b) Kundenbindung über Jahre.

Zu a) Zunehmende Wett-bewerber.Zu b) Große Projekte können nicht mehr be-dient werden.

Zu a) Laufende Marktüberwachung, neue innovatve Produkte erstellen.Vergrößerung der internen Kapazitäten.

Offen

Offen

Marktüblich (ex-tern)

a) Unsere Kunden können unsere Pro-dukte mittels Bestellung oder Ange-bot ordern.

b) Bücher werden über Internetseiten,

Zu a) Schnelle Bestellungen sind möglich.Zu b) Der Kunde kann ver-schiedene Bestellwege

Zu a) Kein Risiko erkannt.Zu b) der Kunde bleibt anonym.Zu c) Anforderungen

Zu a) Keine Maßnahme.Zu b) Ermittlung weiterer Bestellwege.Zu c) Gegenprüfung von Angeboten undAnfragen.

/Offen Laufend



Zusammenhang Anforderung Chance Risiko Maßnahme Wirksamkeit 15.08.20xxden Beuth-Verlag und den Fachhan-del bestellt.

c) Beratungen werden nach individuel-len Kriterien schriftlich angeboten.

wählen.Zu c) Der Tatsächliche Be-darf der Kunden wird er-fasst und ggfs. angeboten.

können falsch erfasst werden.

Kulturell / Sozial (extern)

a) Wir beachten den Gender Main-stream.

b) Wir erfassen religiöse und kulturelleAnforderungen.

c) Wir sind Mitglied in gemeinnützigenVereinen.

d) Wir beachten die Anforderungen der gesellschaftlichen Verantwor-tung.

Zu a) keine Chance erkannt.Zu b) Kundengewinn durch Neutralität.Zu c) Ansehen in der Gesell-schaft verbessern.Zu d) Ansehen in der Ge-sellschaft verbessern.

Zu a) Verlust von Ange-boten wegen Nichtbe-achtung.Zu b) Falsche Behandlungvon religiösen Minder-heiten.Zu c) Die Vereine können zweckentfremdet arbei-ten.Zu d) Kein Risiko erkannt.

Zu a) Prüfung der Bücher und Vorlagen.Zu b) Keine MaßnahmeZu c) Prüfen der JahresberichteZu d) Keine Maßnahme

Ja /Ja, jeweils im Januar./

Wirtschaftlich (ex-tern)

a) Wir erstellen Rechnungen auf Liefe-rungen oder erheben Vorkasse auf Rechnung.

b) Wir liefern Produkte digital oder in Hardware.

Zu a) Erhaltung der Liquidi-tät.Zu b) Schnelle Anlieferung. Schonung der Umwelt.

Zu a) Kunden erkennen Rechnung nicht.Zu b) Vorsätzlicher Be-trug durch Kunden.

Zu a) Bessere Kennzeichnung der Rech-nungen, Digitaler Versand bei Abwick-lung.Zu b) Schlüssigkeitsprüfungen bei Be-stellungen.

Offen

Ja

Produkte (intern) a) Wir bieten Produkte zur Erreichung und Einhaltung von Normforderun-gen an.

b) Die Produkte werden nach Aufkom-men der Bestellungen produziert und in geringem Umfang bevorratet.

c) Wir beliefern digital über eine Schnittstelle im Internet.

Zu a) Dauerhafte Kunden-bindung und Projektanfra-gen.Zu b) Kosteneinsparung.Zu c) Schnelle Zusendung.

Zu a) Inhaltliche Richtg-keit nicht vorhanden.Zu b) Zu wenig Produkte am Lager.Zu c) Datenverlust oder –klau durch Anbieter.

Zu a) Gegenprüfung von neuen Produk-ten.Zu b) Berechnung der Regelbestellun-gen und Ableitung der individuellen Be-stände.Zu c) Prüfung der Anbieter für Cloudts.

Ja

Ja

Ja

Dienstleistungen (intern)

a) Wir beraten Kunden telefonisch undvor Ort.

b) Wir führen Schulungen durch zu re-gulatorischen Anforderungen und Norminhalten.

c) Wir auditeren Kunden und Partner entsprechend den Inhalten der DIN EN ISO 19011.

d) Wir prüfen Dokumentatonen auf die Einhaltung von Anforderungen.

e) Wir erstellen Dokumentatonen

Zu a) Schnelle Hilfe für die Kunden.Zu b) Kundengewinnung beiguter Durchführung.Zu c) Kunde erhält objektveErgebnisse.Zu d) Siehe c.Zu e) Schnelle Umsetzung sowie Zeit- und Kostener-sparnis für Kunden.

Zu a) Leistungen werden nicht entlohnt.Zu b) Kundenverlust bei schlechter Durchführung.Zu c) Ergebnisse sind für Kunden nicht verständ-lich.Zu d) siehe c.Zu e) Falsche Kundenfor-derungen erfassen.

Zu a) Grenzen der kostenlosen Beratungeinführen.Zu b) Prüfung der Schulungsunterlagen bei Erstellung und jährlich auf Aktuali-tät.Zu c) Unterlagen werden in transparen-ter und einfacher Sprache erstellt.Zu d) siehe c.Zu e) Schriftliche Bestätgung der Ergeb-nisse nach der Erfassung (Mail).

Offen

Ja

Ja

Ja



Zusammenhang Anforderung Chance Risiko Maßnahme Wirksamkeit 15.08.20xxnach Vorgaben die vertraglich fest-gelegt sind.

Interessierte Partei-en (intern)

a) Einhaltung von regulatorischen An-forderungen und Gesetzen.

b) Erreichbarkeit und zeitnahe Umset-zung.

c) Belieferung binnen kurzer Zeit.d) Inhaltlich praktkable Produkte.

Zu a) Einhaltung der Geset-ze und Vorgaben.Zu b) Dynamische Realisie-rung der Produkton und Dienstleistung.Zu c) Hohe Begeisterung.Zu d) Hohe Begeisterung.

Zu a) Keine ausreichendeErfassung.Zu b) Überlastung der in-ternen Ressourcen.Zu c) Kein Risiko erkannt.Zu d) Kein Risiko erkannt.Zu e)

Zu a) Laufende Auswertung von Vorga-ben im Internet und Newsletter.Zu b) Listen mit offenen Projekten und Angeboten führen.Zu c) Laufende Prüfung der 48 Stunden-regel.Zu d) Machbarkeitsprüfung der Vor-lagen in Beratungsprojekten.

Ja

Ja

Ja

Ja


8.3.0 Entsorgungsprotokoll Wiederverwendung Beispiele in Rot

Produkt Durchgeführte Maßnahme Durchge-

führt von:

Datum:

Festplatte TI 25663 Festplatte zerstört durch Bohrung und Hitzebehandlung

Laptop Acer 9210 Gerät aufgeschraubt, Festlatte entnommen, Arbeitsspeicher vernichtet


8.3.0 Konfiguration Medien Beispiele in Rot

Konfiguration Medien:

Gerät Schutzart

Arbeitsrechner, Standard Konfiguration, MS Office Passwortschutz für das Betriebssystem, Tägliche Kontrolle, USB-Ports gesichert

Laptops

Server

Mabilfunkgeräte

Fahrzeuge

Unbeaufsichtigte Benutzergeräte:

Gerät Schutzart

Eingabeterminal Empfang Passwortschutz für das Betriebssystem, Tägliche Kontrolle, USB-Ports gesichert


Handbuch / Regelwerk zur Norm DIN EN ISO 27001:2017 · 6 1 0 Ermittlung Risiken Chancen 6 1 2...

Documents

Transcript of Handbuch / Regelwerk zur Norm DIN EN ISO 27001:2017 · 6 1 0 Ermittlung Risiken Chancen 6 1 2...