TÜV SÜD Management Service GmbH

White Paper

ISO 27001: Informations-sicherheit und Zertifizierungsprozess

ZusammenfassungEin Informationssicherheitsmanagementsystem (ISMS) stärkt signifikant die Abwehr gegen Cyberangriffe und unterstützt dabei, Datendiebstahl zu verhindern. Die Norm ISO/IEC 27001 bietet einen Rahmen für die Erarbeitung und die Umsetzung eines wirksamen ISMS. Mit einer Zertifizierung nach ISO/IEC 27001 können Unternehmen und Organisationen Risiken im Bereich Informationssicherheit senken, relevante Sicherheits- vorschriften und -anforderungen besser erfüllen und die Entwicklung einer Sicherheitskultur fördern.

2 ISO/IEC 27001 | TÜV SÜD Management Service GmbH

Inhalt

EINLEITUNG 4

WAS VERSTEHT MAN UNTER DER ISO/IEC 27001 5

AUFBAU UND ANFORDERUNGEN DER ISO/IEC 27001:2013 6

DER WEG ZUR ZERTIFIZIERUNG NACH ISO/IEC 27001 8

DIE VORTEILE EINER ZERTIFIZIERUNG NACH ISO/IEC 27001 9

SCHLUSSFOLGERUNGEN 10

Alexander HäußlerProduktmanager und Lead Auditor, TÜV SÜD Alexander Häußler arbeitet als Produktmanager und Lead Auditor bei TÜV SÜD. Vor seinem Engagement bei TÜV SÜD arbeitete er als Software-Entwickler, Systemadministrator und Projekt-Manager. In dieser Funktion war er bei einem Zulieferer der Automobilindustrie für die Einführung der ISO 27001 verantwortlich und übernahm in der Folge im gleichen Unternehmen die Rolle des Informationssicherheitsbeauftragten. Sie erreichen Alexander Häußler unter: alexander.haeussler@tuev-sued.de.

Über den TÜV SÜD-Experten

3TÜV SÜD Management Service GmbH | ISO/IEC 27001

4 ISO/IEC 27001 | TÜV SÜD Management Service GmbH

Einleitung

Digitale Daten sind aus dem All-tag im 21. Jahrhundert nicht mehr wegzudenken. Cyberangriffe und der Diebstahl von Daten sind inzwischen aber ebenfalls an der Tagesordnung. Für Unternehmen, Institutionen und Endverbraucher bedeutet dies ein größeres Betrugsrisiko – und Betroffene zahlen häufig einen sehr hohen Preis. Noch beängstigender ist das Risikoszenario für kritische Infrastrukturen, wie zum Beispiel Kraftwerke. Cyberattacken auf diese

Anlagen können ganze Städte und Gemeinden beeinträchtigen.

Mit einem wirksamen Informati-onssicherheitsmanagementsystem (ISMS) können sich Unternehmen jeder Größe besser vor Cyberangrif-fen und Datendiebstahl schützen. Die Norm ISO/IEC 27001 für Informati-onssicherheitsmanagementsysteme bietet einen detaillierten Rahmen für die Entwicklung, Umsetzung und Aufrechterhaltung eines solchen

Managementsystems. Eine Zertifi-zierung nach ISO/IEC 27001 ist ein wichtiger Schritt zum Schutz der IT-Infrastruktur und der Daten.

Dieses White Paper gibt einen Überblick über den Ursprung und den Aufbau der Norm ISO/IEC 27001. Es beschreibt den Zertifizierungspro-zess nach ISO/IEC 27001 und zeigt die Vorteile einer Zertifizierung nach ISO/IEC 27001.

5TÜV SÜD Management Service GmbH | ISO/IEC 27001

Die ISO/IEC 27001 ist eine interna-tionale Norm der Internationalen Normenorganisation (ISO). Sie beschreibt die Anforderungen an die Einführung und Aufrechterhal-tung eines wirksamen ISMS zum Schutz vor Informationssicherheits-risiken. ISO/IEC 27001-zertifizierte Unternehmen verfügen über einen besseren Schutz vor Cyberangriffen und unautorisierten Zugriffen auf sensible und vertrauliche Daten.

Die erstmals im Jahr 2005 vorgelegte Norm ISO/IEC 27001 beruhte auf der vom britischen Normeninstitut (BSI) 1999 veröffentlichten Britischen Norm BS 7799 Teil 2, Informations-sicherheitsmanagementsysteme

– Spezifikation mit Anleitung zur An-wendung. Die ursprüngliche Ausgabe der Norm basierte größtenteils auf dem PDCA(Plan-Do-Check-Act)- Modell, das damals auch von vielen anderen Normen im Bereich der Ma-nagementsysteme verwendet wurde. Eine Revision der Norm im Jahr 2013 richtete sich nach dem in Anhang SL des konsolidierten Nachtrags zu den ISO/IEC-Direktiven festgelegten Ordnungsrahmen aus. Der Anhang SL schreibt für alle neuen und neu über-arbeiteten Normen im Bereich der Managementsysteme die Nutzung einer gemeinsamen Grundstruktur sowie gemeinsamer Terminologie vor. Das PDCA-Modell bleibt lediglich als Grundprinzip erhalten.

Die Norm DIN ISO/IEC 27001:2013 betont, wie wichtig es ist, die Wirk-samkeit eines ISMS zu messen und zu bewerten. Mit einem Abschnitt zum Management ausgelagerter IT-Services trägt sie der Tatsache Rechnung, dass sich manche Organi-sationen in dieser Hinsicht lieber auf andere Unternehmen verlassen, als ihre IT-Services intern zu regeln. Der Anwendungsbereich der ISO/IEC  27001 wurde so allgemein gestaltet, dass er alle Informati-onsformen umfasst, unter anderem digitale Daten, Dokumente, Zeich-nungen, Fotografien, elektronische Kommunikation sowie Datenübertra-gung und Aufzeichnungen.

Was versteht man unter der ISO/IEC 27001?

6 ISO/IEC 27001 | TÜV SÜD Management Service GmbH

Aufbau und Anforderungen der ISO/IEC 27001:2013

Die ISO/IEC 27001:2013 unterscheidet sich beträchtlich von der ursprünglichen Norm aus dem Jahr 2005, nachdem die Grundstruktur, festgelegt im Anhang SL des konsolidierten Nachtrags der Direktiven, überarbeitet wurde. Neben der Anpassung der Grundstruktur wurde die Norm gestrafft, um redundante Elemente zu streichen und für mehr Flexibilität bei der Anwendung der Forderungen zu sorgen.

Die Kapitel der ISO/IEC 27001:2013 sind in nachfolgender Tabelle kurz zusammengefasst:

KAPITEL BESCHREIBUNG

Kapitel 0: Einleitung Die Norm verfolgt bei der Umsetzung des ISMS einen prozessorientierten Ansatz. Die Ausgabe 2013 enthält keinen spezifischen Verweis auf das PDCA-Modell.

Kapitel 1: Anwendungsbereich Die Norm legt die allgemeinen Anforderungen an ein ISMS fest. Diese gelten für alle Organisationen jeder Art und Größe.

Kapitel 2: Normative Verweisungen — ISO/IEC 27000:2013, Informati-onstechnik

IT-Sicherheitsverfahren – Informationssicherheitsmanagementsysteme – Überblick und Terminologie. Dies ist der einzige normative Verweis der ISO/IEC 27001.

Kapitel 3: Begriffe Die Norm verweist bezüglich aller Begriffe und Definitionen auf die Norm ISO/IEC 27000:2013.

Kapitel 4: Kontext der Organisation

Die Norm fordert, dass Unternehmen alle externen und internen Themen bestimmen und berücksichtigen, die sich auf ihre Fähigkeit zur erfolgreichen Umsetzung eines ISMS auswirken. Dies umfasst etwa offizielle Governance-Richtlinien, vertragliche und rechtliche Verpflichtungen, regulatorische Anforderungen, Umweltbedingungen und die Unterneh-menskultur.

Kapitel 5: FührungKapitel 5 erwartet vom obersten Management, dass es eine Informationssicherheitspolitik festlegt und die Verantwortlichkeiten und Befugnisse bezüglich der Umsetzung zuweist sowie das Bewusstsein für Informationssicherheit im gesamten Unternehmen aktiv fördert.

Kapitel 6: Planung

Die Bestimmungen bezüglich der Planung umfassen die Bewertung der spezifischen Informa-tionssicherheitsrisiken einer Organisation und die Ausarbeitung eines Plans zur Behandlung dieser Risiken. Das Kapitel verweist bezüglich der möglicherweise zu berücksichtigenden Maßnahmen auf Anhang A. Letzten Endes liegt die Verantwortung für die Festlegung der spezifischen Maßnahmen zur Behandlung der identifizierten Risiken beim Unternehmen der Organisation.

Kapitel 7: Unterstützung

Die Norm schreibt vor, dass Organisationen die Ressourcen bereitstellen müssen, die für den Aufbau, die Verwirklichung, die Aufrechterhaltung und die fortlaufende Verbesserung des ISMS erforderlich sind. Zudem fordert sie die Erstellung und Lenkung dokumentierter ISMS-Informationen.

Kapitel 8: BetriebKapitel 8 widmet sich der Durchführung der in den vorherigen Kapiteln festgelegten Richtlinien, Praktiken und Prozesse und fordert eine entsprechende Dokumentation. Darüber hinaus verlangt das Kapitel Leistungsbeurteilungen in festgelegten Abständen.

Kapitel 9: Bewertung der Leistung Organisationen müssen die Eignung und Wirksamkeit ihres ISMS in festgelegten Abständen überprüfen, messen und analysieren.

Kapitel 10: VerbesserungDas letzte Kapitel befasst sich mit der fortlaufenden Verbesserung und betont, wie wichtig es für eine bessere Wirksamkeit des ISMS ist, dass Nichtkonformitäten festgestellt und Korrekturmaßnahmen ergriffen werden.

7TÜV SÜD Management Service GmbH | ISO/IEC 27001

Neben diesen zehn Kapiteln hat die ISO/IEC 27001:2013 auch einen Anhang A, der 114 spezifische Maßnahmen enthält. Diese stammen aus der ISO/IEC 27002:2013 – Informationssicherheitsmanagement und sind in 14 Kategorien eingeteilt:

ANHANG BESCHREIBUNG

A.5: Informationssicherheitsrichtlinie(2 Maßnahmen)

Maßnahmen zur Erstellung, Prüfung und Überarbeitung von Informationssicherheits-richtlinien

A.6: Organisation der Informationssicherheit (7 Maßnahmen)

Detaillierte Festlegungen bezüglich der Zuweisung von Verantwortlichkeiten und Maßnahmen für Mobilgeräte und Telearbeit

A.7: Personalsicherheit (6 Maßnahmen) Maßnahmen vor, während und nach der Beschäftigung

A.8: Verwaltung der Werte (10 Maßnahmen) Maßnahmen für materielle und nicht-materielle Werte, unter anderem Informations-klassifizierung und Handhabe bezüglich Datenträgern

A.9: Zugangssteuerung (14 Maßnahmen)Maßnahmen für alle mit dem Zugang verbundenen Aspekte, wie zum Beispiel die Anforderungen an die Zugangssteuerung, die Benutzerzugangsverwaltung sowie die Zugangssteuerung für Systeme und Anwendungen

A.10: Kryptographie (2 Maßnahmen) Kryptographische Maßnahmen und Schlüsselverwaltung

A.11: Physische und umgebungsbezogene Sicherheit (15 Maßnahmen) Maßnahmen für Sicherheitsbereiche sowie Geräte und Betriebsmittel

A.12: Betriebssicherheit (14 Maßnahmen)

Maßnahmen für Betriebsabläufe im Bereich der Informationssicherheit, wie zum Beispiel Schutz der Betriebssoftware, Schutz vor Schadsoftware, Protokollierung und Überwachung, Handhabung technischer Schwachstellen und Überlegungen zu Audits von Informationssystemen

A.13: Kommunikationssicherheit (7 Maßnahmen)

Maßnahmen zur Netzwerksicherheit, Trennung in Netzwerken, Sicherheit von Netz-werkdiensten, Informationsübertragung und Nachrichtenübermittlung

A.14: Anschaffung, Entwicklung und Instand-haltung von Systemen (13 Maßnahmen)

Maßnahmen für Sicherheitsanforderungen an Informationssysteme und Sicherheit in Entwicklungs- und Unterstützungsprozessen

A.15: Lieferantenbeziehungen (5 Maßnahmen) Maßnahmen zur Überwachung von Lieferanten entlang der Lieferkette

A.16: Handhabung von Informations- sicherheitsvorfällen (7 Maßnahmen)

Maßnahmen zur Meldung von Informationssicherheitsereignissen und Schwächen in der Informationssicherheit sowie Verfahren zur Reaktion auf Informationssicherheits-vorfälle und das Sammeln von Beweismaterial

A.17: Informationssicherheitsaspekte beim Business Continuity Management (4 Maßnahmen)

Maßnahmen zur Planung einer zuverlässigen Business Continuity, unter anderem Verfahren, Verifizierungsmethoden und Systemredundanz

A.18: Compliance (8 Maßnahmen)Maßnahmen, die zur Bestimmung der anwendbaren Gesetze und Vorschriften zur Informationssicherheit und zur Durchführung von Prüfungen der Informationssicherheit erforderlich sind

Die in Anhang A genannten Maßnahmen werden als mögliche Risikokontrollmaßnahmen für die in Kapitel 6 der Norm definierten Anforderungen angeboten. Letztendlich liegt die Verantwortung für die Festlegung der spezifischen, auf ihre individuellen Risiken abgestimmten Risikokontrollmaßnahmen bei den Organisationen.

8 ISO/IEC 27001 | TÜV SÜD Management Service GmbH

Der Weg zur Zertifizierung nach ISO/IEC 27001Die Umsetzung und die Zertifizierung eines ISMS nach den Vorgaben der ISO/IEC 27001 erfordern einige spezifische Schritte, die nicht in allen Organisationen gleich sind. Jede Organisation beispielsweise hat individuelle Herausforde-rungen, und jedes ISMS weist einen individuellen Grad der Zertifizierungsbereitschaft auf. Die folgenden Schritte gelten dennoch für die meisten Organisationen – unabhängig von der Branche oder dem Grad der Zertifizierungsbereitschaft:

Sicherstellen der Unterstützung und Verpflichtung der obersten FührungFür die erfolgreiche Umsetzung eines Managementsystems – auch eines ISMS – bedarf es der Verpflichtung und des Engagements des obersten Managements. Ohne diese Verpflichtung stehen alle Bemühungen zur Umsetzung eines ISMS zweifellos hinter anderen Prioritäten des Geschäftsbetriebs zurück.

Festlegen des Anwendungsbereichs des ISMSIst die Informationssicherheitspolitik festgelegt, bestimmt die Organisation die spezifischen Aspekte der Informationssicherheit, die sie im Rahmen ihres ISMS wirksam ansprechen kann.

Bestimmen und Implementieren von Zielen und Maßnahmen zur RisikoverringerungDie Organisation implementiert Maßnahmen und Methoden zur Reduzierung der in der Risikobeurteilung identifizierten Risiken. Die Ergebnisse dieser Maßnahmen und Methoden werden überwacht und bei Bedarf angepasst.

Durchführen eines ISMS-ZertifizierungsauditsAbschließend führt eine unabhängige Zertifizierungsstelle das offizielle Audit des ISMS durch und beurteilt, ob es die Anforderungen der ISO/IEC 27001 erfüllt. Bei erfolgreichem Abschluss wird eine Zertifizierungsempfehlung ausgesprochen und die Zertifizierungsstelle stellt das Zertifikat aus.

Festlegen einer InformationssicherheitspolitikDie Organisation bestimmt die angestrebten Ziele der Informationssicherheit und legt auf dieser Basis ihre Informationssicherheitspolitik fest. Diese Politik gibt die strategische Richtung und die Grundsätze der Informationssicherheit vor und dient damit als Rahmen für die künftige Entwicklung.

Erstellung einer Risikoanalyse hinsichtlich der aktuellen Informationssicherheits-MaßnahmenDie Organisation führt dann mit der am besten geeigneten Methode eine gründliche Risikobeurteilung durch und ermittelt so, welche Risiken aktuell berücksichtigt werden und welche eventuellen Schwächen im System ebenfalls Aufmerksamkeit erfordern.

Durchführen eines ISMS-VorauditsNachdem sich das ISMS als wirksam bewährt hat, führt die Organisation vor dem eigentlichen Zertifizierungsaudit ein Voraudit durch. Dort werden potenzielle Probleme aufgedeckt, die sich im Zertifizierungsaudit negativ auswirken könnten, und es werden alle eventuellen Nichtkonformitäten mit den Anforderungen der ISO/IEC 27001 korrigiert.

Durchführen von ÜberwachungsauditsZum Nachweis, dass sie die Anforderungen der Norm kontinuierlich erfüllt werden, müssen sich ISO/IEC 27001-zertifizierte Organisationen jährlich einem Überwachungsaudit unterziehen. Zur Verlängerung des Zertifikats ist alle drei Jahre ein vollständiges Wiederholungsaudit (Rezertifizierungsaudit) zu durchlaufen.

9TÜV SÜD Management Service GmbH | ISO/IEC 27001

Die Vorteile einer ISO/IEC 27001-Zertifizierung

Ein nach ISO/IEC 27001 zertifiziertes ISMS bringt Unternehmen und Organisationen wichtige Vorteile:

Rechtssicherheit Ein nach ISO/IEC 27001 zertifiziertes ISMS unterstützt Unternehmen und Organisationen dabei, rechtliche und regulatorische Anforderungen in verschiedenen Gerichtsbarkeiten sowie die vertraglichen Anforderungen im Rahmen von Geschäften mit anderen Unternehmen zu erfüllen.

Systematischer Ansatz Die ISO/IEC 27001 bietet einen offiziellen, systematischen Ansatz für die Datensicherheit und somit einen besseren Schutz für vertrauliche und geheime Informationen.

Reduziertes Risiko Eine höhere Datensicherheit reduziert die unternehmerischen Risiken insgesamt und hilft, die Auswirkungen eventueller Pannen zu begrenzen.

Geringere Kosten Eine ISO/IEC 27001 senkt das Risiko für Sicherheitsvorfälle und kann die Kosten der IT-Sicherheit sowie kostspielige Auswirkungen von Datendiebstahl verringern.

Wettbewerbsvorteil ISO/IEC 27001-zertifizierte Organisationen signalisieren klar, dass sie sich der Sicherheit vertrau-licher Informationen verpflichtet fühlen. Damit haben sie einen entscheidenden Vorteil gegenüber nicht zertifizierten Wettbewerbern.

10 ISO/IEC 27001 | TÜV SÜD Management Service GmbH

Fazit

Die ständige wachsende Zahl der Cyberangriffe und der Pannen in der Informationssicherheit stellt für Orga-nisationen jeder Größe und Branche eine Bedrohung dar. Pannen gefähr-den die Sicherheit vertraulicher und sensibler Daten und haben meist beträchtliche finanzielle Verluste und Imageschäden zur Folge. Bei kriti-schen Infrastrukturen können Infor-mationssicherheitsvorfälle sogar die Sicherheit von Menschen gefährden.Ein ISMS unterstützt Unternehmen dabei, das Risiko, durch Cyberangriffe

digitale Daten zu verlieren, zu kontrol-lieren und zu reduzieren. Die ISO/IEC 27001 bietet einen offiziellen Rahmen für die Umsetzung und Aufrechter-haltung eines wirksamen ISMS. ISO/IEC 27001-zertifizierte Organisationen können die mit Datenpannen verbun-denen Auswirkungen und Risiken beträchtlich verringern.Die ISO/IEC 27001 ist mit Normen für andere Managementsysteme kompa-tibel und erleichtert so das Auditver-fahren für Organisationen, die nach mehreren Managementsystemnor-

men zertifiziert sind. TÜV SÜD ist ein international führender Anbieter von Lösungen für Managementsysteme und eine führende Zertifizierungsstel-le für ISO/ IEC 27001, ISO 9001, ISO 14001 und andere Normen im Bereich der Managementsysteme. Mit mehr als 54.000 ausgestellten Zertifikaten für Managementsysteme verfügen wir über die nötige Erfahrung und Kompetenz, um Organisationen aller Arten und aller Branchen mit umfas-senden Auditierungs- und Zertifizie-rungsleistungen zu unterstützen.

11

©Die in dieser Publikation enthaltenen Informationen geben die Meinung von TÜV SÜD zu den hier besprochenen Themen zum Datum der Veröffentlichung wieder. Da TÜV SÜD jedoch auf die sich ändernden Marktbedingungen reagieren muss, sind die hierin enthaltenen Aussagen nicht bindend. TÜV SÜD übernimmt nach dem Datum der Veröffentlichung keine Gewähr für die Richtigkeit der in dieser Publikation enthaltenen Informationen.Diese Veröffentlichung dient ausschließlich zu Informationszwecken. TÜV SÜD übernimmt hinsichtlich der hierin enthaltenen Informationen keinerlei Gewähr ausdrücklicher, implizierter oder gesetzlicher Natur. Der Nutzer muss sich an die geltenden Bestimmungen des Urheberrechts halten. Diese Veröffentlichung darf ohne Einschränkung des gesetzlichen Urheberrechts und ohne ausdrückliche schriftliche Genehmigung seitens TÜV SÜD weder ganz noch in Auszügen reproduziert, in ein Abfragesystem eingestellt bzw. gespeichert oder in anderer Form (elektronisch, mechanisch, durch Fotokopieren, Aufzeichnung oder anderweitig) übertragen oder für andere Zwecke genutzt werden.Der Gegenstand dieser Veröffentlichung ist möglicherweise auch Gegenstand von Patenten, Patentanträgen, Marken-, Urheber- oder sonstigen geistigen Eigentumsrechten von TÜV SÜD. Diese Veröffentlichung beinhaltet, sofern nicht ausdrücklich in einer schriftlichen Lizenzvereinbarung mit TÜV SÜD geregelt, kein Nutzungsrecht an eventuellen Patenten, Markenzeichen, Urheberrechten oder sonstigem geistigem Eigentum. DIE VERVIELFÄLTIGUNG, ANPASSUNG UND ÜBERSETZUNG DIESES DOKUMENTS IST OHNE VORHERIGE SCHRIFTLICHE GENEHMIGUNG NUR IN DEM LAUT URHEBERRECHTSGESETZ GESTATTETEN UMFANG ERLAUBT. © TÜV SÜD Gruppe – 2015 – Alle Rechte vorbehalten – TÜV SÜD ist ein eingetragenes Markenzeichen der TÜV SÜD Gruppe.

HAFTUNGSAUSSCHLUSSWir haben uns bemüht, die Qualität, Zuverlässigkeit und Richtigkeit der Inhalte und Daten dieser Veröffentlichung zu überprüfen. TÜV SÜD übernimmt jedoch keine Verantwortung für die in dieser Veröffentlichung enthaltenen Inhalte Dritter. Desweiteren übernehmen wir keine Gewähr oder Verantwortung (weder ausdrücklich noch impliziert), dass die in dieser Veröffentlichung enthaltenen Inhalte und Daten richtig und vollständig sind. Diese Veröffentlichung zielt darauf ab, allgemeine Informationen zu einem bestimmten Thema bzw. zu bestimmten Themen bereitzustellen, erhebt jedoch keinen Anspruch auf Vollständigkeit. Dementsprechend gelten die in dieser Veröffentlichung enthaltenen Informationen weder als Consulting noch als fachkundige Beratung oder Dienstleistung. Falls Sie nähere Informationen zu einem der in dieser Veröffentlichung besprochenen Themen benötigen, wenden Sie sich bitte mit Ihrer Frage direkt an uns oder konsultieren Sie einen qualifizierten Fachmann. Die in dieser Veröffentlichung enthaltenen Informationen dürfen nur mit vorheriger schriftlicher Genehmigung seitens TÜV SÜD kopiert oder zitiert werden. Auch der Verweis auf diese Informationen in anderen Publikationen bedarf der vorherigen schriftlichen Genehmigung durch TÜV SÜD. Alle Rechte vorbehalten © 2015 TÜV SÜD.

TÜV SÜD Management Service GmbH | ISO/IEC 27001

2015

© T

ÜV S

ÜD M

anag

emen

t Ser

vice

GmbH

| M

KT/M

S/47

.0/d

e/US

Informationssicherheit mit System!

Mehr Sicherheit. Mehr Wert.TÜV SÜD ist ein führender Dienstleister in den Bereichen Prüfung, Begutachtung, Auditierung und Zertifi zierung, Schulung und Knowledge Services und sorgt für Qualität, Sicherheit und Nachhaltigkeit. Wir sind an über 800 Standorten weltweit vertreten und verfügen über Akkreditierungen in Europa, Amerika, dem Nahen Osten und Asien. Mit unseren neutralen und unabhängigen Lösungen schaff en wir echten Mehrwert für Unternehmen, Verbraucher und Umwelt.

TÜV SÜD Management Service GmbHRidlerstraße 6580339 München, DeutschlandTel.: +49 89 5791-2500www.tuev-sued.de/tms

www.tuev-sued.de/ms/iso-27001

ms-anfragen@tuev-sued.de