Kriterienkatalog und Vorgehensweise zur Auditie- rung und ... · PDF fileSeite 2...

download Kriterienkatalog und Vorgehensweise zur Auditie- rung und ... · PDF fileSeite 2 Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO/IEC 27001: Version

If you can't read please download the document

Transcript of Kriterienkatalog und Vorgehensweise zur Auditie- rung und ... · PDF fileSeite 2...

  • Kriterienkatalog und Vorgehensweise zur Auditie-

    rung und Zertifizierung gem ISO/IEC 27001

    datenschutz cert GmbH

    Version 1.1

  • Seite 2

    Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem ISO/IEC 27001: Version 1.1

    Inhaltsverzeichnis

    Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem

    ISO/IEC 27001

    1. Anforderungen an ISO 27001 ________________________________________ 4

    2. ISO/IEC 27001 ____________________________________________________ 5

    2.1 Prozessorientierte Vorgehensweise __________________________________ 5

    2.2 Dokumentation des ISMS ___________________________________________ 6

    2.3 Vorteile einer ISO/IEC 27001-Zertifizierung ____________________________ 6

    3. Kriterienkatalog __________________________________________________ 6

    4. Auditierungs- und Zertifizierungsprozess _____________________________ 6

    4.1 Laufzeiten _______________________________________________________ 7

    4.2 Erst-Zertifizierung _________________________________________________ 8

    4.3 berwachungsaudit _______________________________________________ 9

    4.4 Re-Zertifizierung __________________________________________________ 9

    4.5 Sonstige Audits ___________________________________________________ 9

    4.6 Anerkennung existierender Zertifikate ________________________________ 10

    4.7 Zertifikatsliste ____________________________________________________ 10

    4.8 Entzug eines Zertifikates ___________________________________________ 10

    4.9 Ablauf eines Zertifikates ____________________________________________ 11

    4.10 Kosten und Gebhren ______________________________________________ 11

    4.11 Anfrageformular __________________________________________________ 11

    4.12 AGB _____________________________________________________________ 12

    5. Anforderungen an einen Auditreport _________________________________ 12

    6. datenschutz cert GmbH ____________________________________________ 12

    6.1 Leitlinien _________________________________________________________ 13

    6.2 Akkreditierungen__________________________________________________ 14

    6.3 Kontakt __________________________________________________________ 14

  • Seite 3

    Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem ISO/IEC 27001: Version 1.1

    Historie

    Version Datum genderte

    Kapitel

    Grund der nde-

    rung

    gendert

    durch

    1.0 27.02.2012 Finalisierung nach

    Abnahme durch

    Zertifizierungsstelle

    IK, SM

    1.1 13.03.2016 Aktualisierung SM

    Dokumenten-berwachungsverfahren

    Status: final Prozess-/Dokumentbesitzer:

    Dr. Maseberg

    Version: 1.1

  • Seite 4

    Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem ISO/IEC 27001: Version 1.1

    1. Anforderungen an ISO 27001

    ISO/IEC 27001 hat sich international als Standard fr Informationssicherheit in Un-

    ternehmen und Behrden etabliert. Informationssicherheit ist hierbei mehr als die

    reine IT: Ganzheitlich werden alle Aspekte zur Informationssicherheit betrachtet, die

    zum Funktionieren eines Unternehmens oder einer Behrde notwendig sind. Dies

    umfasst neben technisch-organisatorischen Manahmen beispielsweise auch eine

    Risikoanalyse, in der die jeweils relevanten Bedrohungen analysiert werden.

    Geprft und zertifiziert wird dabei ein Informationssicherheits-Managementsystem

    (Information Security Management System ISMS), welches prozessorientiert alle

    fr einen ausgewiesenen Geltungsbereich einer Institution relevanten Werte zur In-

    formationssicherheit umfasst.

    Die datenschutz cert GmbH auditiert und zertifiziert ISO 27001-konforme Informati-

    onssicherheits-Managementsysteme und erteilt international gltige ISO 27001-

    Zertifikate: Diese Zertifikate bescheinigen einer Institution, dass das ISMS fr den im

    Zertifikat ausgewiesenen Geltungsbereich den Anforderungen der internationalen

    Norm ISO/IEC 27001 angemessen gengt. Die datenschutz cert GmbH ist um diese

    international gltigen Zertifikate ausstellen zu drfen bei der Deutschen Akkredi-

    tierungsstelle GmbH (DAkkS) gem ISO 27006 akkreditierte Zertifizierungsstelle.

    Das vorliegende Dokument beschreibt den Auditierungs- und Zertifizierungsprozess

    und ist ein Extrakt aus dem vollstndigen Zertifizierungsschema der datenschutz

    cert GmbH.

    Bremen, den 13. Mrz 2016

    Dr. Snke Maseberg datenschutz cert GmbH

  • Seite 5

    Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem ISO/IEC 27001: Version 1.1

    2. ISO/IEC 27001

    2.1 Prozessorientierte Vorgehensweise

    Die Norm ISO/IEC 27001 stellt einen prozessorientierten Ansatz eines Management-

    systems zur Umsetzung und kontinuierlichen Verbesserung von Informationssicher-

    heit in den Vordergrund. Das Informationssicherheits-Managementsystem (ISMS)

    wird dabei als Prozess ber einen PDCA (Plan, Do, Check, Act)-Zyklus wie folgt organi-

    siert:

    2.1.1 Planung des ISMS

    Zur Einfhrung eines Informationssicherheits-Managementsystems (ISMS) sind zu-

    nchst Sicherheitspolitik, -ziele, -prozesse und -verfahren festzulegen und konkret zu

    planen. Genutzt werden dazu insbesondere die Ausfhrungen der Norm ISO 27002,

    in denen die Manahmen und Manahmenziele die sogenannten Controls und

    Control Objectives aus ISO/IEC 27001 ausfhrlich dargestellt werden.

    2.1.2 Umsetzen und Durchfhren des ISMS

    Die festgelegten Sicherheitspolitiken, -ziele, -prozesse und -verfahren werden ent-

    sprechend umgesetzt und dokumentiert.

    2.1.3 berprfen des ISMS

    Die umgesetzten Manahmen werden anhand der definierten Vorgaben berprft;

    die Ergebnisse werden an das Management rckgekoppelt.

    2.1.4 Verbessern des ISMS

    Basierend auf den Prfergebnissen werden Verbesserungsmanahmen formuliert

    und diese zwecks kontinuierlicher Verbesserung des ISMS priorisiert und umgesetzt.

  • Seite 6

    Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem ISO/IEC 27001: Version 1.1

    2.2 Dokumentation des ISMS

    Die Dokumentation des Informationssicherheits-Managements (ISMS) umfasst ne-

    ben den Nachweisen zur Umsetzung typischerweise die folgenden Dokumente:

    --- Darstellung des ISMS insgesamt samt Prozessdarstellung zum Manage-

    ment der Informationssicherheit;

    --- Darstellung der IT-Infrastruktur (IT-Strukturanalyse) mit Schutzbedarfs-

    feststellung etwa in einem Sicherheitskonzept samt weiterfhrender Do-

    kumente ;

    --- Sicherheitsleitlinie/Managementvorgaben;

    --- Risikoanalyse;

    --- Statement of Applicability (SOA), in der dargestellt ist, welche Anforderun-

    gen im ISMS umgesetzt werden sollen; Basis sind typischerweise Controls

    aus ISO/IEC 27002, aber auch andere Regelwerke knnen hier referenziert

    werden.

    2.3 Vorteile einer ISO/IEC 27001-Zertifizierung

    Allein durch das Etablieren eines Informationssicherheits-Managementsystem

    (ISMS) werden die internen Prozesse und Verfahren besser und effizienter. Da ein

    etabliertes ISMS kaum Mehraufwand bedeutet, knnen durch ein funktionierendes

    ISMS Effizienzgewinne erzielt werden. Steigern lsst sich dies erfahrungsgem

    durch eine unabhngige Begutachtung und Zertifizierung.

    Durch den ganzheitlichen Ansatz und die Prozessorientierung erhlt die Organisati-

    on einen guten berblick ber die Informationssicherheit in ihrem Verantwortungs-

    bereich. Sie kann damit das Ma ihrer Informationssicherheit messen und steuern

    was auch ihr Haftungsrisiko verringern kann.

    Mit einem zertifizierten ISMS knnen sich Organisationen vom Wettbewerb abset-

    zen oder in einen reglementierten Markt eintreten, der die Vorlage eines ISO/IEC

    27001-Zertifikats verlangt.

    Da sich Mrkte und Anforderungen bewegen und immer hufiger den Nachweis zu

    bestimmten Standards fordern, sind Organisationen mit einem international aner-

    kannten ISO/IEC 27001-Zertifikat bestens gerstet, auch in Zukunft neue Anforde-

    rungen schnell zu erfllen und die Einhaltung nachzuweisen.

    3. Kriterienkatalog

    Fr eine ISO/IEC 27001-Auditierung und -Zertifizierung stellt die internationale Norm

    ISO/IEC 27001 den Kriterienkatalog dar.

    4. Auditierungs- und Zertifizierungsprozess

    In diesem Abschnitt wird dargestellt, wie die datenschutz cert GmbH ein Informati-

    onssicherheits-Managementsystem (ISMS) auditiert und zertifiziert. Abschlieend

    wird der Life-Cycle eines ISO/IEC 27001-Zertifikates illustriert.

  • Seite 7

    Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gem ISO/IEC 27001: Version 1.1

    Dabei wird ein zwei-stufiges Zertifizierungsverfahren eingesetzt:

    --- Der bei der datenschutz cert GmbH lizenzierte Auditor prft die Konformi-

    tt eines Informationssicherheits-Managementsystems gegen die ISO/IEC

    27001-Norm und erstellt einen Auditreport.

    --- Die Zertifizierungsstelle prft den Auditreport, insbesondere um eine Ver-

    gleichbarkeit zwischen den Audits sicherstellen zu knnen.

    4.1 Laufzeiten

    Jedes Zertifizierungsverfahren besteht aus folgenden Phasen:

    --- Erst-Zertifizierung;

    --- 1. berwachungsaudit (1 Jahr nach Erst-Zertifizierung);

    --- 2. berwachungsaudit (2 Jahre nach Erst-Zertifizierung);

    --- Re-Zertifizierung (3 Jahre nach Erst-Zertifizieru