Zertifizierte Informationssicherheit ISO 27001 und andere ... · PDF file08 ISO/IEC 27001 als...
11
Zertifizierte Informationssicherheit ISO 27001 und andere Normen
Transcript of Zertifizierte Informationssicherheit ISO 27001 und andere ... · PDF file08 ISO/IEC 27001 als...
Zertifizierte Informationssicherheit
ISO 27001 und andere Normen
02
Inhalt
1. Informationssicherheit und Stellenwert von Zertifikaten 03
2. Management der Informationssicherheit 04
3. Wichtige Rechtsnormen 05
KonTraG 05
IT-Sicherheitsgesetz 05
Energiewirtschaftsgesetz 06
Glücksspielstaatsvertrag 06
MaRisk 07
Sarbanes-Oxley Act 07
4. Standards zur Informationssicherheit 07
ISO/IEC 27000 07
IT-Grundschutz 10
IS-Revision auf der Basis von IT-Grundschutz 12
ISO/IEC 20000 bzw. ITIL 13
ISO/IEC 24762 13
IDW PS 330 14
Zertifikate zur Auftragsdatenverarbeitung 14
Zertifikate im Vergleich 15
5. Wie können wir Sie hierbei unterstützen? 16
Einführung eines ISMS 16
Durchführung einer Risikoanalyse 17
Erstellung eines IT-Sicherheitskonzepts 17
Auditierung, Zertifizierung 17
Kosten 18
03
Um die Sicherheit von Informationen gewährleisten zu können, ist es nicht ausreichend, ausschließlich technische Sicherheitsmaßnahmen umzusetzen. Voraussetzung für ein angemessenes Sicherheitsniveau ist eine kontinu-ierliche Planung, Lenkung und Kontrolle der Sicherheits-maßnahmen. Dieser Prozess wird als Informationssi-cherheits-Managementsystem oder auch kurz als ISMS bezeichnet.
Durch ein ISMS lässt sich Informationssicherheit in einer Institution so organisieren, dass Sicherheitsrisiken als solche identifiziert, zielgerichtete Maßnahmen geplant und wirksam umgesetzt werden. Damit kann letztlich auch das oberste Management seine Verantwortung wahrnehmen und Haftungsrisiken reduzieren. Die Erfah-rung zeigt ferner, dass ein etabliertes ISMS die internen Prozesse und Verfahren verbessert und effizienter gestal-tet. Entscheidend ist dabei der Geltungsbereich: Ein ISMS kann für die komplette Institution gelten, aber auch für einzelne Fachverfahren.
Mit der Norm ISO/IEC 27001 und dem IT-Grundschutz- Ansatz des Bundesamts für Sicherheit in der Informati-onstechnik (BSI) gibt es seit Jahren zwei Standards für die Einrichtung und den Betrieb eines ISMS, die sich in Unternehmen und öffentlichen Stellen etabliert haben. Zudem gibt es Standards zur Informationssicherheit wie den Leitfaden IDW PS 330, der von Wirtschaftsprüfern seit Jahren verwendet wird. Cloud-spezifische Normen wie die
Informationssicherheit ist für jedes Unternehmen wichtig, das IT-basierte Geschäftsprozesse hat. Dabei wird Informa-tionssicherheit als Oberbegriff verwendet, der nicht nur die technische IT-Sicherheit, sondern auch die verschiede-nen organisatorischen Aspekte berücksichtigt.
Selbstverständlich hat jedes Unternehmen ein eigenes Interesse daran, sensible Unternehmensinformationen, personenbezogene Daten und IT-gestützte Prozesse vor Missbrauch zu schützen. Darüber hinaus gibt es aber auch gesetzliche Vorgaben, beispielsweise das IT-Sicherheitsge-setz oder das branchenspezifische Energiewirtschaftsge-setz. Diese machen Informationssicherheit als Bestandteil des betrieblichen Risikomanagements für Unternehmen, die kritische Infrastrukturen betreiben, verpflichtend.
Möchten Sie Ihr Unternehmen im Bereich Informations-sicherheit sicher aufstellen? Wir unterstützen Sie gern dabei! Bevor wir auf unsere Dienstleistungen in diesem Bereich ausführlicher eingehen, geben wir Ihnen einen Überblick über die rechtlichen Anforderungen und die wichtigsten Normen, stellen den Prozess der Auditierung und Zertifizierung dar und erläutern Ihnen die Prozesse in einem Informationssicherheits-Managementsystem (ISMS).
Kontaktieren Sie uns gern! Ihr Team der datenschutz nord Gruppe
Informationssicherheit und Stellenwert von Zertifikaten
.Vorwort
04
2.
Management der Informationssicherheit
Wie zuvor ausgeführt, sind Datenschutz und Informa-tionssicherheit zwei zentrale Anforderungen der Infor-mationsgesellschaft. Es hat sich gezeigt, dass für eine ganzheitliche Informationssicherheit eine strukturierte Herangehensweise in Form eines Informationssicher-heits-Managementsystems (ISMS) erforderlich ist:
Zunächst initiiert das Management Prozesse und definiert Sicherheitsziele und deren Bedeutung, setzt Verantwortli-che bzw. IT-Sicherheitsbeauftragte ein, stellt angemessene Ressourcen zur Verfügung, übernimmt die Gesamtverant-wortung und stellt die Integration der Informationssicher-heit in die Organisation sicher.
Anschließend startet der für das ISMS verantwortliche IT-Sicherheitsbeauftragte mit der Istaufnahme, in dem er eine Schutzbedarfsfeststellung und eine Risikoanalyse durchführt. Wichtig ist dabei, die Werte und Prozesse der Organisation zu erfassen, die einzuhaltenden Regulari-en zu identifizieren und daraus mögliche Bedrohungen abzuleiten. Im Check gegen die bereits etablierten Sicher-heitsmaßnahmen wird ein Umsetzungsplan erstellt und mit deren Umsetzung begonnen.
Zentrales Element eines ISMS ist die regelmäßige Kontrolle der umgesetzten Maßnahmen. In diesem Zusammenhang wird überprüft, ob die Ausgangssituation noch zutreffend ist, ob neue Bedrohungen, Risiken oder Rahmenbedin-gungen berücksichtigt werden müssen und ob damit die Risikoeinschätzung noch gültig ist. Ferner wird überprüft, ob die dokumentierten Sicherheitsmaßnahmen in der Realität umgesetzt werden und ob sie das Ziel angemes-sen erfüllen. Diese regelmäßigen Kontrollen werden zusammengefasst in einem internen ISMS-Audit, dessen Ergebnis als Feedback an das Management zurückfließt. Der kontinuierliche Verbesserungsprozess rundet das Managementsystem zur Informationssicherheit ab.
Ein ISMS ist skalierbar und auch für größere Organisa-tionen sinnvoll einzusetzen. Der ISMS-Prozess ist auch bekannt als PDCA-Zyklus: Plan – Do – Check – Act.
Ein ISMS basiert typischerweise auf folgenden Dokumenten:
� Sicherheitsleitlinie � Sicherheitskonzept � Risikoanalyse � Statement of Applicability: Umsetzung der Norm ISO/
IEC 27001 im ISMS � Richtlinien für Sicherheitsprozesse � Protokolle interner Audits � Protokolle durchgeführter Managementbewertungen
Bei einem zertifizierten ISMS liegen ferner ein Auditreport und ein Zertifikat vor.
ISO/IEC 27018 oder branchenspezifische Normen wie die ISO/IEC 27019 und ISO/IEC 27799 ergänzen die Vielfalt an Normen. Auch haben die Bundesnetzagentur (BNetzA) für den Energiesektor oder der Verband der Automobilindu-strie (VDA) nochmals eigene Sicherheitskataloge auf der Grundlage der ISO/IEC 27001 erstellt.
Um den gesetzlichen Anforderungen zu genügen oder den Erwartungen seiner Kunden zu entsprechen, muss häufig ein objektiver Nachweis darüber erbracht werden, dass die Informationssicherheit tatsächlich einer Norm genügt. Aus diesem Grund sind ISO/IEC 27001 oder ISO 27001 auf der Basis von IT-Grundschutz als Zertifizierungsnormen ausgestaltet, die eine objektive Überprüfung durch einen Auditor und die Zertifizierung durch eine entsprechende Zertifizierungsstelle ermöglichen.
05
KonTraG
IT-Sicherheitsgesetz
3.2
Das bereits 1998 in Kraft getretene Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) hat zahlreiche Änderungen in anderen Wirtschaftsgesetzen bewirkt. So sind Vorstände von Aktiengesellschaften oder
Das im Juni 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicher-heitsgesetz) definiert für Unternehmen aus dem Bereich der so genannten „Kritischen Infrastrukturen“ (KRITIS) Anforderungen an die Informationssicherheit.
Als kritische Infrastruktur werden die zentralen Bereiche der Gesellschaft betrachtet, die für die wirtschaftliche Entwick-lung des Landes, für das Wohlergehen der Gesellschaft und für die politische Stabilität notwendig sind. Die Unterneh-men, die KRITIS zugerechnet werden, sind Unternehmen aus den Sektoren Energie (Elektrizität, Gas, Mineralöl), Informationstechnik und Telekommunikation, Transport und Verkehr (Luftfahrt, Schifffahrt, Logistik), Gesundheit (Krankenhäuser, Pharmahersteller, Labore), Wasserversor-gung und Abwasserentsorgung, Ernährung sowie Finanz- und Versicherungswesen. Aber auch Bundesbehörden werden auf Mindeststandards verpflichtet.
Das IT-Sicherheitsgesetz verpflichtet Unternehmen, organisatorische und technische Vorkehrungen zur Vermeidung von Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die
Die Motivation von Unternehmen und öffentlichen Stellen, ihre Informationssicherheit konform zu einem Standard aufzustellen und zertifizieren zu lassen, ist sehr unterschiedlich. Neben datenschutzrechtlichen Vorgaben, externe Dienstleister regelmäßig gemäß § 11 Bundesdaten-schutzgesetz oder § 80 Sozialgesetzbuch X zu auditieren, existieren zahlreiche Rechtsvorschriften, die für den Betrieb sicherheitskritischer Verfahren geeignete Zertifikate zur Informationssicherheit voraussetzen. Auf einige dieser Rechtsvorschriften wird im Folgenden kurz eingegangen.
Wichtige Rechtsnormen
.
3.1
Geschäftsführer einer GmbH und unter bestimmten Umständen auch Personalgesellschaften wie OHG und KG verpflichtet, geeignete Maßnahmen sowie ein Risikoma-nagement einzurichten, das Fehlentwicklungen frühzeitig erkennen lässt, die den Fortbestand des Unternehmens gefährden könnten. Das unternehmensweite Risikoma-nagement umfasst auch die gesamte Informationstechnik; hierbei sind geeignete Standards wie ISO/IEC 27001 oder IT-Grundschutz zu nutzen.
06
Energiewirtschafts-gesetz
3.3
Glücksspielstaatsvertrag
3.4Um Telekommunikations- und IT-Systeme von Energie-versorgungsunternehmen, die der Netzsteuerung dienen, ausreichend vor Bedrohungen zu schützen, hat die Bundesnetzagentur zusammen mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) einen umfas-senden Sicherheitskatalog erstellt.
Als zentrale Maßnahme wird ein Informationssicher-heits-Managementsystem konform zur Norm ISO/IEC 27001 gefordert, das durch externe Auditoren überprüft und möglichst durch eine bei der Deutschen Akkreditie-rungsstelle (DAkkS) zugelassene Zertifizierungsstelle zerti-fiziert werden sollte. Der Sicherheitskatalog nimmt ferner
Der Glücksspielstaatsvertrag definiert als Voraussetzung für eine Konzession zum Glücksspiel, dass der Bewerber „eine Darstellung der Maßnahmen zur Gewährleistung der öffentlichen Sicherheit und Ordnung und der sonstigen öffentlichen Belange unter besonderer Berücksichtigung der IT- und Datensicherheit“ vorlegt. Dies wird im Kontext von Online-Pferdewetten zurzeit so ausgelegt, dass eine Zertifizierung nach ISO 27001 gefordert wird.
Funktionsfähigkeit der von ihnen betriebenen „Kritischen Infrastrukturen“ maßgeblich sind. Diese Anforderung zielt ebenso wie die Vorgabe der Bundesnetzagentur auf den Betrieb eines Informationssicherheits-Management-systems konform zu ISO 27001 ab. Für die Einführung der Maßnahmen gelten Übergangsfristen. Weiterhin werden die Unternehmen verpflichtet, die Umsetzung der Maßnah-men mindestens alle zwei Jahre durch geeignete Maßnah-men wie Audits oder Zertifizierungen nachzuweisen.
Zum Schutz der kritischen Infrastrukturen in Deutschland gibt es den „Umsetzungsplan KRITIS des Nationalen Plans zum Schutz der Informationsinfrastrukturen“. Dieser sieht Maßnahmen zur Verbesserung der Informationssicherheit vor.
Bezug auf die ISO/IEC 27019, die spezielle Anforderungen an Unternehmen aus dem Energiesektor formuliert.
An die Energieversorger werden zukünftig auch beim Betrieb der Infrastruktur für Smart Meter Anforderungen an die Informationssicherheit gestellt. Für die Smart Meter Gateway-Administratoren und die Betreiber der Smart Meter-CAs gilt u.a., dass ein zertifiziertes Informationssi-cherheitsmanagement-Managementsystem gemäß ISO/IEC 27001 bzw. IT-Grundschutz vorliegen muss.
07
MaRisk
3.6
3.5
Unternehmen der Finanzbranche (u.a. Banken, Versicherun-gen, Leasing- und Factoring-Gesellschaften) unterliegen gemäß § 25a Abs. 1 Kreditwesengesetz Mindestanforde-rungen der Bundesanstalt für Finanzdienstleistungsauf-sicht (BaFin) an das Risikomanagement (MaRisk). Diese beinhalten auch Vorgaben zur Informationssicherheit: So wird in AT 7.2 „technisch-organisatorische Ausstattung“ klar definiert, dass IT-Systeme und IT-Prozesse die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen müssen. Dabei wird wiederum zur Umsetzung auf gängige Standards verwiesen.
Der Sarbanes-Oxley Act (SOX) ist ein amerikanisches Gesetz, das weltweit alle Unternehmen, die an einer amerikanischen Wertpapierbörse notiert sind, sowie unter bestimmten Voraussetzungen auch deren Tochterunter-nehmen auf ein unternehmensinternes Kontrollsystem verpflichtet.
Hierzu gehört gemäß Sektion 404 des Sarbanes-Oxley Act auch ein umfassendes IT-Risikomanagement, das sich an gängigen Standards ausrichtet und hauptsächlich die Verfügbarkeit und Integrität insbesondere von Finanzda-ten gewährleistet.
Sarbanes-Oxley Act
4.1
ISO/IEC 27000
Die Normenreihe ISO/IEC 27000 hat sich international als Standard für Informationssicherheits-Managementsyste-me in Unternehmen und Behörden etabliert, insbesondere die Norm 27001. Hierbei werden ganzheitlich alle Aspekte zur Informationssicherheit thematisiert, die zum Funktio-nieren eines Unternehmens oder einer Behörde notwendig sind. Zentraler Ansatzpunkt ist eine Risikoanalyse, in der die jeweils relevanten Bedrohungen bewertet und priori-siert werden und aus der die erforderlichen technischen und organisatorischen Maßnahmen abgeleitet werden.
Zur Norm ISO/IEC 27001 gehören ergänzende Normen zur Umsetzung: In der einleitenden Norm ISO/IEC 27000 findet sich ein Glossar, der die verschiedenen Begriffe im Zusammenhang mit Informationssicherheit erklärt. Die für die Norm ISO/IEC 27001 umzusetzenden und zu überprüfenden Controls sind in der Norm ISO/IEC 27002 ausführlich erläutert. Einen Leitfaden zur Implementie-rung eines ISMS enthält die Norm ISO/IEC 27003. Die Messbarkeit eines ISMS wird in der Norm ISO/IEC 27004, die Durchführung von Risikoanalysen in der Norm ISO/IEC 27005 beschrieben.
Branchenspezifische Anforderungen an die Informations-sicherheit sind in weiteren Normen zur Normenreihe ISO/IEC 27000 publiziert, etwa
.
Standards zur Informationssicherheit
08
ISO/IEC 27001 als Basisnorm
Im Fokus der Norm ISO/IEC 27001 steht ein sogenanntes Informationssicherheits-Managementsystem (ISMS). Ein nach ISO/IEC 27001 organisiertes ISMS ist vollständig kompatibel zu anderen Managementsystemen wie ISO/IEC 9001 oder ISO/IEC 20000-1 und kann auch als Basis für Prüfungen nach dem Standard IDW PS 330 bzw. Sarba-nes-Oxley Act (SOX) dienen.
Das Informationssicherheits-Managementsystem (ISMS) wird als Prozess über einen PDCA (Plan, Do, Check, Act)- Zyklus organisiert, wie die Grafik oben rechts erläutert.
Das ISMS sollte möglichst durch folgende Dokumente beschrieben sein:
� Prozessdarstellung einschließlich Darstellung des Geltungsbereichs
� IT-Infrastruktur (IT-Strukturanalyse) mit Schutzbe-darfsfeststellung
� IT-Sicherheitsleitlinie/Security Policy � Risikoanalyse � Statement of Applicability (SOA): Umsetzung der
Norm ISO/IEC 27001 im ISMS
ISO/IEC 27004 für Messbarkeit
Die Messung ausgewählter Parameter im Umfeld des ISMS soll Unternehmen dabei unterstützen, die Effektivität der umgesetzten Sicherheitsprozesse sowie der ergriffe-nen Maßnahmen zu beobachten, zu bewerten und ggf. Handlungsbedarf aufzuzeigen. Die ISO/IEC 27004 dient in diesem Zusammenhang der Definition von aussagekräfti-gen Messgrößen und der Festlegung geeigneter Auswer-tungsmethoden und Bewertungskriterien.
Idealer Ausgangspunkt für die Etablierung eines Messsys-tems, das bei der kontinuierlichen Verbesserung des ISMS behilflich sein kann, ist ein klares Verständnis der Gefährdungen (Risikoanalyse), denen ein Unternehmen ausgesetzt ist. Das Messsystem sollte insbesondere dazu eingesetzt werden, Bereiche zu überwachen, in denen entweder der größte Handlungsbedarf gesehen wird oder die aus Sicht der Informationssicherheit besonders kritisch bzw. sensibel sind. Gleichzeitig soll mit dem Monitoring auch das grundsätzliche Funktionieren des ISMS sicherge-stellt werden.
� ISO/IEC 27011 für Telekommunikationsunternehmen, � ISO/IEC 27017 und ISO/IEC 27018 für Cloud-Dienste, � ISO/IEC TR 27019 für die Energiewirtschaft, � EN ISO/IEC 27799 für das Gesundheitswesen.
Diese Normen erweitern und interpretieren Controls aus ISO/IEC 27002 derartig, dass spezifische Anforderungen in ein ISMS aufgenommen werden können. Somit kann ein Zertifikat nach ISO/IEC 27001 auch den Nachweis für die Erfüllung dieser sektorspezifischen Normen erbringen. Wichtig ist in diesem Zusammenhang, dass nach diesen Normen nicht direkt zertifiziert werden kann; zertifiziert wird ein ISMS stets nach ISO/IEC 27001.
PLAN
DOCHECK
ACT
� Planung des ISMS
� Umsetzung und Durch-führung des ISMS
� Erfolgskontrolle� Überwachung
der Zielsetzung
� Optimierung� Verbesserung
09
ISO/IEC 27005 für Risikomanagement
Zentrale Aufgabe eines ISMS ist das Management von Risiken für die Informationssicherheit. Während in der Norm ISO/IEC 27001 der Stellenwert einer Risikoanalyse und -bewertung dargestellt wird, wird in der Norm ISO/IEC 27005 der Prozess des Risikomanagements einschließlich der Vorgehensweise beschrieben. Die ISO/IEC 27005 stellt somit den Nachfolger der veralteten Norm ISO 13335 dar und ist ein möglicher Ansatz, um die Vorgabe der ISO/IEC 27001 zu erfüllen.
Die eigentliche Risikoanalyse unterteilt sich demnach in die Risikoermittlung und die Risikoabschätzung auf. Die Risikoermittlung hat dabei das Ziel festzustellen, welche Risiken für den Geltungsbereich bestehen, unabhängig von ihrer Ausprägung und Relevanz. In der Risikoabschät-zung wird dann bewertet, wie stark sich das jeweilige Risiko auf den Geltungsbereich auswirkt.
In der nachfolgenden Risikobewertung wird entschieden, wie mit den ermittelten und bewerteten Risiken verfah-ren werden soll. Dazu werden Risikoakzeptanzkriterien definiert und mögliche Ansätze zur Behandlung der Risiken festgelegt.
Der übergreifende Prozess des Risikomanagements umfasst zusätzlich noch die Vermittlung und Präsentation der Risiken sowie die Risikoüberwachung. Diese beiden Tätigkeiten decken sich mit den Aufgaben des ISMS und können daher im Einklang mit der Norm ISO/IEC 27001 umgesetzt werden.
Als übergreifende Norm, die eine Vielzahl von Ansätzen für Risikoanalysen und Risikoabschätzungen bietet, ist die Norm ISO 31010 (Risk management – Risk assessment techniques) anzusehen. Diese Norm stellt eine umfang-reiche Liste von Methoden zur Verfügung und bietet in Verbindung mit der Norm ISO 31000 (Risk management – Principles and guidelines) einen noch allgemeineren Ansatz für das Risikomanagement. Gleichwohl ist es in vielen Fällen ausreichend, mit der ISMS-spezifischen Variante der Norm ISO/IEC 27005 zu arbeiten.
ISO/IEC 27011 für Telekommuni- kationsunternehmen
Die Norm ISO/IEC 27011 trägt der besonderen Situation von Telekommunikationsunternehmen Rechnung. Diese verarbeiten hochverfügbare und schutzwürdige Verbin-dungs- und Inhaltsdaten, die dem Fernmeldegeheimnis gemäß § 88 Telekommunikationsgesetz unterliegen.
Wie wird nun die ISO/IEC 27011 in ein ISO 27001-konformes ISMS eingebunden? Im Rahmen der Risikoanalyse werden die zutreffenden Controls aus den beiden ISO-Normen 27002 und 27011 ausgewählt. Die Auswahl von Controls wird im sogenannten Statement of Applicability (SOA) fixiert, das den Maßstab für das ISMS bildet und aus diesem Grund auch im Zertifikat explizit erwähnt wird.
ISO/IEC 27017 und ISO/IEC 27018 für Cloud-Dienste
Um die Informationssicherheit speziell auch für Cloud-Dienste nachweisen zu können, sind die Normen ISO/IEC 27017 und ISO/IEC 27018 erschienen. Die beiden Normen setzen auf ein Informationssicherheits-Manage-mentsystem (ISMS) gemäß ISO/IEC 27001 auf und richten die Maßnahmen bzw. Controls aus ISO/IEC 27002 auf die spezifischen Anforderungen des Cloud-Computing aus. Nach ISO/IEC 27017 und ISO/IEC 27018 kann allerdings nicht zertifiziert werden; zertifiziert wird stets ein ISMS gemäß ISO/IEC 27001, allerdings mit dem Nachweis der Erfüllung Cloud-spezifischer Controls.
10 11
ISO/IEC TR 27019 für die Energie- wirtschaft
Steuerungssysteme der Energieversorgung müssen sicher sein und vor allem hoch verfügbar. Dies betrifft nicht nur die Energienetze, sondern auch die IT-Infrastruktur in der Energieversorgung. Um Informationssicherheit in der Energiewirtschaft nachweisen zu können, ist die Norm ISO/IEC TR 27019 „Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry“ erschienen.
Der Standard ISO/IEC 27019 betrifft die folgenden Themengebiete:
� Prozesssteuerung und Automatisierungssysteme � IT-Systeme in der Prozesskontrolle (Monitoring,
Dokumentation) � IT-Infrastruktur für Prozessleitsysteme (z.B. Netzwerke,
Remote-Zugriffe) � Schutz- und Sicherheitssysteme (z.B. Relais, SPS-Steue-
rungen) � Komponenten von intelligenten Stromnetzen
Als branchenspezifische Norm setzt die ISO/IEC 27019 auf der Norm ISO/IEC 27002 auf und erweitert die Vorgaben an ein Informations-Sicherheitsmanagement um typische Aspekte des Energiesektors. Zertifiziert wird wiederum nach der Norm ISO/IEC 27001.
ISO/IEC 27799 für das Gesundheits-wesen
Das Sicherheitsmanagement im Gesundheitswesen wird durch die Norm ISO/IEC 27799 definiert. Für die ISO/IEC 27799 gilt das bereits für die Normen ISO/IEC 27011, ISO/IEC 27017, ISO/IEC 27018 und ISO/IEC TR 27019 Gesagte: Die ISO/IEC 27799 setzt auf den Controls der Norm ISO/IEC 27002 auf und ergänzt bzw. interpretiert die Vorgaben an ein Informationssicherheits-Managementsystem für Unternehmen aus dem Gesundheitssektor, insbesondere Kliniken, medizinische Versorgungszentren und Praxisge-meinschaften.
IT-Grundschutz
4.2
IT-Grundschutz ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte Methode, um Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Teil der seitens des BSI zur Verfügung gestellten Werkzeu-ge sind die Standards BSI 100-1 bis 100-4, die es ermögli-chen, ein zu ISO 27001 auf der Basis von IT-Grundschutz konformes Informationssicherheits-Managementsystem (ISMS) zu etablieren:
� BSI 100-1: Managementsysteme für Informationssi-cherheit (ISMS)
� BSI 100-2: IT-Grundschutz-Vorgehensweise � BSI 100-3: Risikoanalyse � BSI 100-4: Notfall-Management
Darüber hinaus bieten die sehr umfangreichen IT-Grund-schutzkataloge einen umfänglichen Maßnahmenkatalog für die grundlegende Absicherung eines Informationsver-bundes.
Die ISO-Normen 27017 und 27018 setzen wiederum auf ein Informationssicherheits-Managementsystem (ISMS) konform zu ISO/IEC 27001 auf. Und ebenso spezialisieren beide Normen die Controls aus ISO/IEC 27002 derart, dass spezifische Anforderungen an Cloud-Dienste in ein ISMS aufgenommen werden können. Somit kann ein Zertifikat gemäß ISO/IEC 27001 auch den Nachweis zur Umsetzung Cloud-spezifischer Controls erbringen, was wiederum im Statement of Applicability (SOA) erläutert wird.
Strukturanalyse
Im Rahmen der Strukturanalyse erfolgt zunächst eine genaue Definition des Informationsverbunds. Ein Informa-tionsverbund muss eine sinnvolle Mindestgröße haben. Zwar ist es grundsätzlich empfehlenswert, das gesamte Unternehmen in die Analyse der IT-Sicherheit einzube-ziehen. Gerade bei größeren Unternehmen empfiehlt es sich jedoch, sich zunächst nur auf Teilbereiche oder die IT-Infrastruktur zu konzentrieren. Die gewählten Teilberei-che sollten gut abgrenzbar und wesentliche Aufgaben und Geschäftsprozesse des Unternehmens abbilden.
Ziel der Strukturanalyse ist es dann, genaue Kenntnis über den definierten Informationsverbund einschließlich der technischen Systeme zu bekommen:
� Beschreibung wichtiger Informationen, Geschäftspro-zesse und Anwendungen
� Netzplan mit den eingesetzten IT-Systemen, Kommu-nikationsverbindungen und externen Schnittstellen
� Liste der vorhandenen IT-Systeme (Clients, Server, Netzkopplungselemente usw.)
� Beschreibung der räumlichen Gegebenheiten (Liegen-schaften, Gebäude, Räume)
Charakteristisch für ISO 27001 auf der Basis von IT-Grund-schutz ist die Vorgehensweise: Zunächst wird im Rahmen einer Strukturanalyse, einer Schutzbedarfsfeststellung sowie einer Modellierung der IT-Grundschutz-Bausteine der zu betrachtende Informationsverbund umfangreich dokumentiert. Danach werden in einem Basis-Sicherheits-check die Ist-Situation gegen die IT-Grundschutz-Kataloge geprüft und der über einen Grundschutz hinausgehende Schutzbedarf analysiert.
IT-Strukturanalyse des IT-VerbundsAnalyse des IstzustandsWelche Systeme und Anwendungen?
IT-Grundschutzanalyse� Modellierung des IT-Verbunds
(Auswahl der Maßnahmen)� Basis-Sicherheitscheck (Soll-Ist-Vergleich)
Feststellung des Schutzbedarfs
Ergänzende SicherheitsanalyseErgänzende Risikoanalyse
Konsolidierung der Maßnahmen
Realisierung der Maßnahmen
Schutzbedarfsfeststellung
Im Rahmen der Schutzbedarfsfeststellung werden zunächst für die Sicherheitsziele Verfügbarkeit, Vertrau-lichkeit und Integrität die Schutzbedarfskategorien normal, hoch und sehr hoch formuliert, wenn möglich werden Kennzahlen definiert. Auf der Grundlage dieser Schutzbedarfskategorien werden den Anwendungen Schutzbedarfe zugeordnet, die sich auf die beteiligten IT-Systeme und anschließend auf die Kommunikationsver-bindungen und Räume auswirken.
12 13
Basis-Sicherheitscheck
Beim Basis-Sicherheitscheck wird der im Rahmen der Modellierung ermittelte Maßstab angewendet: Jede Maßnahme, die in den anzuwendenden Bausteinen empfohlen wird, wird dahingehend geprüft, ob sie auf das jeweilige Zielobjekt anwendbar ist und ob die Maßnahme vollständig, teilweise oder überhaupt nicht umgesetzt ist.
IT-Grundschutz-Modell
Fehlende Sicherheitsmaßnahmen
Empfohlene Maßnahmen
Soll-Ist- Vergleich
Umgesetzte Maßnahmen
Informationsverbund
Ergänzende Sicherheits- und Risikoanalyse
Die Grundschutz-Bausteine und die dort empfohlenen Maßnahmen sind auf ein Sicherheitsniveau ausgerichtet, das zumindest für den normalen Schutzbedarf angemes-sen ist – daher auch der Begriff „Grundschutz“. Sind Zielobjekte mit hohem oder sehr hohem Schutzbedarf
Weiterentwicklung des IT-Grundschutzes
Während das strukturierte, wenn auch umfangreiche Vorgehen nach IT-Grundschutz von einigen Anwendern durchaus positiv bewertet wird, hat die Komplexität der Bausteine einen kaum noch zu verwaltenden Umfang erreicht. Dies führt zum einen dazu, dass einzelne Maßnahmen bis hin zu ganzen Bausteinen veraltet sind. Zum anderen müssen gewaltige Ressourcen bereitgestellt werden, um die Umsetzung der Maßnahmen dauerhaft und regelmäßig zu prüfen und zu dokumentieren.
Aus diesem Grund wird vom BSI an einer grundlegenden Umstrukturierung des IT-Grundschutzes gearbeitet. Insbe-sondere sollen Bausteine auf wesentliche Maßnahmen beschränkt werden. Weiterhin werden Alternativen zum hier beschriebenen Vorgehen geprüft, die das klassische, aber umfangreiche Vorgehensmodell ersetzen oder ergän-zen können.
IS-Revision auf der Basis von IT-Grundschutz
Die IS-Revision auf der Basis von IT-Grundschutz verfolgt das Ziel, den Status der Informationssicherheit festzu-stellen und zu verbessern, und ist für Unternehmen und Stellen der Bundesverwaltung geeignet, für letztere sogar verbindlich vorgeschrieben. Dazu wurden von der Bundes-
4.3
Modellierung der Grundschutz- bausteine
Im Rahmen der Modellierung wird der durch die Struk-turanalyse definierte und im Detail beschriebene Infor-mationsverbund mit Hilfe der Grundschutz-Bausteine nachgebildet („modelliert“). Die Zusammenstellung der einzelnen Bausteine (einschließlich der zugeordneten Zielobjekte) richtet sich dabei auch nach dem jeweiligen Schutzbedarf.
angegeben, muss im Rahmen der ergänzenden Sicher-heitsanalyse geprüft werden, ob eine weitere Risikoanalyse durchgeführt werden muss.
ISO/IEC 20000 bzw. ITIL
ISO/IEC 20000-1 ist der internationale Standard für die Prüfung und Bewertung des IT-Service-Managements, d.h. die Zertifizierungsnorm zu ITIL. Die Norm hat sich insbe-sondere für Dienstleister durchgesetzt, die im regelmä-ßigen Kontakt mit ihren Kunden stehen – was beispiels-weise auch für interne IT-Abteilungen gilt. Auditiert und zertifiziert wird dabei ein sogenanntes IT-Service-Manage-ment-System (SMS).
Erfahrungsgemäß werden allein durch das Etablieren eines Service-Management-Systems die internen Prozes-se und Verfahren besser und effizienter. Aufgrund des Prozessansatzes der Norm sowie des Bezugs zur Informati-onssicherheit können umfangreiche Synergien zur ISO/IEC 27001 genutzt werden. Beispielsweise werden die integ-rierte Einführung eines ISMS nach ISO/IEC 27001 und eines SMS nach ISO/IEC 20000-1 in der eigenständigen Norm ISO/IEC 27013 beschrieben.
4.4
regierung der „Nationale Plan zum Schutz der Informati-onsinfrastrukturen (NPSI)“ sowie der „Umsetzungsplan für die Gewährleistung der IT-Sicherheit in der Bundesverwal-tung (UP Bund)“ verabschiedet.
Die IS-Revision auf der Basis von IT-Grundschutz wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in folgenden Ausprägungen vorgegeben:
� IS-Kurzrevision � IS-Querschnittsrevision � IS-Partialrevision
Kompatibel zur Norm ISO/IEC 20000-1 ist auch der Best-Practice-Ansatz ITIL. Das Akronym ITIL steht für „IT Infrastructure Library“, integriert aber insbesondere Aspekte des Security Managements und Services Level Agreements.
ISO/IEC 24762
Die internationale Norm ISO/IEC 24762 „Guidelines for Information and Communications Technology Disaster Recovery Services“ stellt eine Empfehlung für die Katastro-phenvorsorge dar.
In der ISO-Norm 24762 werden Anforderungen zu einem strukturierten Ansatz erörtert, der sicherstellt, dass die IT-Infrastruktur sowie die Telekommunikationsein-richtungen hinsichtlich des konkreten Schutzbedarfs adäquat darauf eingerichtet sind, einen Katastrophenfall zu überstehen und schnellstmöglich den Betrieb wieder aufnehmen zu können. Da typischerweise die IT-Infra-struktur für wesentliche Prozesse innerhalb eines Unter-nehmens oder einer Behörde essentiell ist, ist es wichtig, die Ausfallzeiten zu minimieren.
4.5
14 15
IDW PS 330
Zertifikate zur Auftrags-datenverarbeitung
Als Leitfaden für Wirtschaftsprüfer hat das Institut der Wirtschaftsprüfer (IDW) den IDW Standard 330 zur Prüfung rechnungsrelevanter IT-Systeme herausgegeben. Der Prüfstandard PS 330 bewertet das im Unternehmen umgesetzte IT-Risikomanagement, berücksichtigt das Outsourcing von IT-Komponenten, ist prozessorientiert ausgestaltet und stimmt somit inhaltlich weitgehend mit der ISO/IEC 27001 überein.
§ 11 Bundesdatenschutzgesetz (BDSG) und zahlreiche Landesdatenschutzgesetze sowie § 80 Sozialgesetzbuch X verpflichten Unternehmen und öffentliche Stellen zur Kontrolle von Dienstleistern, die im Auftrag personen-bezogene Daten verarbeiten oder darauf zugreifen können. Dabei muss sich der Auftraggeber nicht nur von der Einhaltung des Datenschutzes beim Dienstleister überzeugen, sondern auch die Prüfergebnisse nachweisbar dokumentieren.
Eine Auftragsdatenverarbeitung liegt vor, wenn der Dienstleister die an ihn delegierte Datenverarbeitung als verlängerter Arm des Auftraggebers, streng weisungsge-bunden und ohne eigene Entscheidungsbefugnis durch-führt. Im Gegensatz dazu liegt eine Funktionsübertragung vor, wenn dem Dienstleister bei der Datenverarbeitung eine gewisse Eigenverantwortlichkeit und Entscheidungs-befugnis zukommt, die seine Tätigkeit über die reine Hilfsfunktion hinaushebt.
Eine Auftragsdatenverarbeitung liegt typischerweise in folgenden Bereichen vor:
� Server Hosting, Cloud Computing � Newsletterversand, Lettershop � Callcenter, Service Help Desk � IT-Support, Fernwartung
4.6
4.7
ISO/IEC 24762 hat diverse Berührungspunkte zu einem Informationssicherheits-Managementsystem gemäß ISO/IEC 27001 bzw. IT-Grundschutz und ergänzt dieses, kann aber auch eigenständig angewendet werden. Die Norm ist sowohl für die Betrachtung der internen Prozesse als auch als Anforderung an einen Outsourcing-Partner geeignet – beispielsweise für ein Rechenzentrum, welches wichtige Serversysteme hostet.
Aufgrund des empfehlenden Charakters der Norm ist keine Zertifizierung nach ISO/IEC 24762 vorgesehen. Gleichwohl kann geprüft werden, inwieweit die Empfeh-lungen aus ISO/IEC 24762 für ein Unternehmen oder eine Behörde umgesetzt sind.
Um Auftraggebern nicht einzelfallbezogen und sehr aufwändig im Rahmen eines Audits ein hohes Maß an IT-Sicherheit nachweisen zu müssen, greifen zahlreiche Dienstleister inzwischen auf Zertifikate zur Auftragsda-tenverarbeitung zurück. Mit Hilfe derartiger Zertifikate kann ein Auftragsdatenverarbeiter generell aufzeigen, dass sämtliche Sicherheitsthemen, die ein Auftraggeber gemäß § 11 BDSG überprüfen muss, bereits durch eine unabhän-gige Instanz erfolgreich auditiert wurden. Auch werden Zertifikate zur Auftragsdatenverarbeitung inzwischen von Datenschutz-Aufsichtsbehörden weitgehend akzeptiert.
Zertifikate im Vergleich
Beim Vergleich der zuvor dargestellten Zertifikate stellt sich in aller Regel die Frage: Welche Normen eignen sich eigentlich für welchen Zweck?
Hierbei ist zunächst zu unterscheiden zwischen Unterneh-men und öffentlichen Stellen. Während sich der Standard ISO/IEC 27001 schwerpunktmäßig in Unternehmen durch-gesetzt hat, kommt das IT-Grundschutzkonzept häufig in Behörden und öffentlichen Stellen zum Einsatz. Dies liegt zum einen daran, dass IT-Grundschutz vom BSI als Bundesbehörde zunächst für Bundesbehörden konzipiert wurde. Zum anderen wird IT-Grundschutz oftmals in Ausschreibungen von öffentlichen Stellen gefordert, wenn es um den Nachweis von Informationssicherheit geht. Ein Zertifikat gemäß ISO/IEC 27001 wird demgegenüber international anerkannt.
Neben der Anerkennung und den Erwartungen der Kunden gibt es ferner inhaltliche Unterschiede: Obwohl beide Normen den Prozessansatz eines Informationssi-cherheits-Managementsystems beschreiben, wird dieser Ansatz in der internationalen Norm ISO/IEC 27001 deutlich stringenter verfolgt als bei IT-Grundschutz. Im Gegensatz
4.8
dazu sind die Umsetzungsansätze in der ISO/IEC 27002 mit ihren 114 Controls deutlich abstrakter als Maßnahmen, die in den IT-Grundschutzkatalogen auf ca. 4900 Seiten beschrieben werden.
Der Prüfstandard IDW PS 330, der von Wirtschaftsprüfern seit Jahren in Deutschland verwendet wird, ist ähnlich prozessorientiert wie ISO/IEC 27001, hat jedoch den Schwerpunkt auf der Verfügbarkeit und Integrität von Finanzdaten. Außerdem wird der Prüfstandard nicht inter-national anerkannt.
ISO/IEC 20000-1 ist der internationale Standard für die Prüfung und Bewertung des IT-Service-Managements; ITIL stellt hierzu einen Best-Practice-Ansatz dar. ISO 20000-1 bzw. ITIL sind insbesondere für Service-Unternehmen geeignet, die nicht nur die Informationssicherheit auditie-ren und zertifizieren lassen möchten, sondern sämtliche Managementprozesse im Unternehmen. Wie sämtliche ISO-Normen ist auch die Norm ISO 20000-1 international verwendbar.
Als weniger aufwändige Alternative zu IT-Grundschutz und ISO/IEC 27001 kommen Zertifikate zur Auftragsda-tenverarbeitung in Betracht, wenn die Maßnahmen zum Schutz von personenbezogenen Daten attestiert werden sollen. Hierbei wird der Umsetzungsgrad der technisch-
Unternehmen, die nach ISO/IEC 27001 zertifiziert sind, decken somit den überwiegenden Teil der durch IDW PS 330 abgefragten Themenbereiche ab.
ISO/IEC 20000-1
ISO/IEC 27001
Auftragsdatenverarbeitung
IDW PS 330
ISO/IEC 27001 auf der Basis von IT-Grundschutz
IT-Grundschutz- Katalog
ITIL
ISO/IEC 27002
Prozesse Maßnahmen
16 17
Prozess- orientierung
Komplexität
Anerkennung
Aufwand/Kosten
Auftrags-kontrolle
normal
normal
national
IT-Grund-schutz
sehr hoch
x
national
sehr hoch
ISO/IEC 27001
hoch
x
inter- national
hoch
ISO/IEC 20000-1
hoch
x
inter- national
hoch
IDW PS 330
hoch
national
hoch
Wir – die datenschutz nord Gruppe – können Sie sowohl beim Aufbau eines ISMS und der Erstellung von IT-Sicher-heitskonzepten als auch bei der Auditierung und Zertifi-zierung des ISMS nach ISO/IEC 27001 oder IT-Grundschutz
Wie können wir Sie hierbei unterstützen?
.
umfassend unterstützen. Auch vergeben wir Zertifikate zur Auftragsdatenverarbeitung. Unser Anspruch ist es, Sie nicht nur umfassend zu allen Fragen der ISO 27001 zu informieren, sondern Sie auch partnerschaftlich durch die Auditierung und Zertifizierung zu begleiten.
Mit Ihnen gemeinsam ein ISMS zu etablieren und geeig-nete IT-Sicherheitskonzepte zu erstellen, dies würde – je nach geographischer Lage Ihres Unternehmens – entwe-der von der datenschutz nord GmbH oder der datenschutz süd GmbH wahrgenommen. Hierbei gehen wir pragma-tisch vor und beschränken uns auf die für Sie wesentli-chen Aspekte der Informationssicherheit.
Einführung eines ISMS
5.1
Zentraler Aspekt bei der Einführung eines ISMS ist der Aufbau einer geeigneten Organisationsstruktur im Unternehmen. Wir unterstützen Sie bei der Etablierung der Prozesse, der Definition der Rollen und der Erstellung der notwendigen Dokumentation. Wir helfen Ihnen dabei, die vielfältigen, abstrakten Anforderungen der Norm angemessen umzusetzen.
Dazu unterstützen wir Sie nicht nur bei der Durchführung der Risikoanalyse und der Erstellung des daraus abgeleite-ten Sicherheitskonzeptes, sondern begleiten Sie auch bei der Umsetzung der Maßnahmen.
Weiterhin führen wir für Sie die in der Norm ISO 27001 vorgesehenen internen Audits durch und unterstützen Sie bei den notwendigen Berichten und Managementreviews. Auf diese Weise vermitteln wir Ihnen die verschiedenen Aspekte des PDCA-Zyklus im praktischen Vorgehen und versetzen Sie in die Lage, Ihr ISMS zukünftig selbstständig und effizient zu betreiben und zu nutzen.
organisatorischen Maßnahmen konform zu § 9 Bundesda-tenschutzgesetz überprüft. Diese Maßnahmen sind inhalt-lich mit den Basis-Sicherheitschecks aus IT-Grundschutz sowie mit den Controls aus ISO/IEC 27001 vergleichbar, sind jedoch nicht so detailliert und ermöglichen Spielräu-me bei der Zertifizierung.
Ferner haben die getroffenen Sicherheitsmaßnahmen das primäre Ziel, den Schutz personenbezogener Daten sicherzustellen; die allgemeine Informationssicherheit eines Unternehmens steht dabei nur mittelbar auf dem Prüfstand. Im Gegensatz zu ISO/IEC 27001 sind Zertifikate zur Auftragsdatenverarbeitung nicht international gültig .
Durchführung einer Risikoanalyse
5.2
Im Rahmen einer Risikoanalyse werden die relevanten Risiken (u.a. Brand, Wassereinbruch, Diebstahl der Server, Hackerangriffe) ermittelt und bewertet.
Zu diesem Zweck werden in der Strukturanalyse erfasst:
� die Infrastruktur (Gebäude, Serverräume) � die Netzkomponenten (Firewall, Switches, Router) und
Verbindungen (Ethernet, Backbone-Technik, Internet- und Remote-Anbindung)
� die IT-Systeme (Client, Server, Laptop, Smartphones) � und die Anwendungen
Auf der Grundlage dieser Aufstellung werden dann die relevanten Gefährdungen festgestellt und eingeschätzt, welche Eintrittswahrscheinlichkeit die Gefährdung für den gegebenen Informationsverbund hat und wie geeignet die umgesetzten technisch-organisatorischen Sicherheits-maßnahmen sind. Sofern bei der Risikobewertung festge-stellt wird, dass weitere Maßnahmen zur Risikoreduktion notwendig sind oder für die bestehenden Maßnahmen Verbesserungspotential festgestellt wird, unterstützen wir Sie auch bei der Festlegung und Umsetzung der notwen-digen Maßnahmen. Die durch die datenschutz nord GmbH bzw. datenschutz süd GmbH erstellte Risikoanalyse orien-tiert sich an der empfohlenen Vorgehensweise nach ISO/IEC 27005 und am BSI Standard 100-3.
Erstellung eines IT-Sicherheitskonzepts
5.3
Wir unterstützen Sie bei der Erstellung des IT-Sicher-heitskonzeptes, welches die notwendigen Sicherheits-maßnahmen, die sich aus der Risikoanalyse ergeben haben, definiert. Hierbei orientieren wir uns an ISO/IEC 27001/27002, ITIL und den IT-Grundschutzkatalogen des BSI. Für den definierten Informationsverbund werden die geeigneten Maßnahmen ausgewählt und priorisiert, um mit angemessenem Aufwand ein für Sie optimales Sicherheitsniveau zu erreichen und den erkannten Risiken in vernünftiger Weise zu begegnen.
Auditierung, Zertifizierung
5.4
Die Auditierung nach IT-Grundschutz bzw. ISO/IEC 27001 besteht im Wesentlichen aus der Sichtung von Referenz-dokumenten und einem Site Visit vor Ort. Der Ablauf einer typischen Auditierung und Zertifizierung gestaltet sich wie folgt:
� Zu Beginn führen wir ein Kick-Off-Meeting durch: Hierbei werden die weitere Vorgehensweise und der Zeitplan mit Ihnen abgestimmt.
� Anschließend übergeben Sie uns die Referenzdoku-mente.
� Wir prüfen die Referenzdokumente und dokumentie-ren die Prüfung.
18 19
Auf welche Kosten/Gebühren müssen Sie sich einstellen? In aller Regel belaufen sich die Kosten für die Beratung, auch abhängig von dem Eigenanteil, den Sie übernehmen, zwischen 5.000 und 20.000 Euro.
Der Aufwand für die Auditierung hängt wesentlich von der Anzahl der Mitarbeiter im Geltungsbereich ab. Richtwer-te für die Audittage vor Ort finden sich wiederum in der Norm ISO/IEC 27006:
Da die Kosten für die Beratung einschließlich Dokumen-tenerstellung und Risikoanalyse sowie Auditierung und Zertifizierung allerdings auch stark von der Komplexität des Untersuchungsgegenstands abhängen, sprechen Sie uns bitte für ein konkretes Angebot einfach an!
Falls Sie in Sachen ISO 27001 bereits ein Zertifikat des Bundesamtes für Sicherheit in der Informationstech-nik (BSI) nach der IT-Grundschutz-Methodik erworben haben, nun aber ein international anerkanntes ISO/IEC 27001-Zertifikat wünschen, können wir Ihnen ebenfalls ein
Kosten
5.5
Anzahl der Tage für die Auditierung vor Ort
Anzahl der Mitarbeiter im Geltungsbereich
1 - 10 5
11 - 25 7
26 - 45 8,5
46 - 65 10
66 - 85 11
86 - 125 12
... ...
� Nach der Dokumentationsprüfung erfolgen die Audit-vorbereitung sowie der Site Visit vor Ort.
� Das gesamte Audit wird in einem Auditreport dokumentiert und der Zertifizierungsstelle vorgelegt.
� Mit der Abnahme des finalen Auditreports erfolgt die Erteilung des Zertifikats auf der Basis von IT-Grund-schutz oder ISO/IEC 27001.
Nachfolgend ist der Life-Cycle eines ISO/IEC 27001-Zertifi-kates dargestellt.
Erst-Zertifizierung
• Auditierung · Vorbereitung/Sichtung Referenz-
dokumente· Preaudit· Audit· ausführlicher Report
• Zertifizierung· Zertifizierungstätigkeit· Ausstellung Zertifikat· Übergabe des Zertifikats· Listung im Internet über gesamte
Laufzeit
1. Überwachungsaudit (nach einem Jahr)
2. Überwachungsaudit (nach zwei Jahren)
Lauf
zeit
des Z
ertifi
kats
(i.
d.R.
3 Ja
hre)
Re-Zertifizierung
• Auditierung• Zertifizierung
Die datenschutz nord Gruppe, die sich aus der datenschutz nord GmbH, der datenschutz süd GmbH, der datenschutz cert GmbH und der FIRST PRIVACY GmbH zusammensetzt, hat sich auf Dienstleistungen im Bereich des Datenschutzes und der Informationssicherheit spezialisiert.
Der Hauptfirmensitz befindet sich in der Überseestadt in Bremen, eigenständige Niederlassungen betreiben wir in Berlin und Würzburg.
Den betrieblichen Datenschutzbeauftragten stellen wir in mehr als 400 Unternehmen, davon in mehr als 40 Konzer-nen. Als IT-Sicherheitsbeauftragter sind wir ebenso in vielen Unternehmen tätig.
Wir sind beim Unabhängigen Landeszentrum für Daten-schutz (ULD) Schleswig-Holstein, beim Bundesamt für Sicherheit in der Informationstechnik (BSI) und bei der Bundesnetzagentur anerkannt sowie bei der Deutschen Akkreditierungsstelle (DAkkS) als Zertifizierungsstelle akkreditiert.
datenschutz nord Gruppe
Unsere Geschäftsfelder
Dat
ensc
hutz
Bremen, Berlin
Bremen, Berlin, Würzburg, Köln
IT-S
iche
rhei
t
Online-Gütesiegel ips
ULD-Gütesiegel, EuroPriSe
Datenschutzaudits
Betrieblicher Datenschutzbeauftragter
DatenschutzkonzepteSeminare
Auditierung & Zertifizierung
Beratung & Konzeption
datenschutz nord Gruppe
IT-Grundschutz
ISO 27001
Common Criteria
IT-Sicherheitsbeauftragter
ISO 27001
Penetrationstest
attraktives Angebot unterbreiten und das BSI-Zertifikat im Rahmen einer ISO/IEC 27001-Zertifizierung anerken-nen. Diejenigen Aspekte, die bereits vollumfänglich durch IT-Grundschutz im Rahmen des IT-Grundschutz-Audits vor Ort überprüft wurden, würden dann nicht noch einmal geprüft werden müssen.
Die Kosten für ein Zertifikat zur Auftragsdatenverarbei-tung sind mit ca. 4-5 Manntagen deutlich geringer.
02/d
sn
datenschutz nord GmbH
Hauptsitz BremenKonsul-Smidt-Straße 8828217 Bremen Tel.: 0421 69 66 32 0
Niederlassung Berlin-MitteReinhardtstraße 4610117 Berlin Tel.: 030 308 77 49 0
datenschutz süd GmbH
Hauptsitz Würzburg Wörthstraße 1597082 Würzburg Tel.: 0931 30 49 76 0
Niederlassung Köln Eupener Straße 165 50933 Köln Tel.: 0221 17 91 86 0
![IT Sicherheit vernetzten Welt - wiwi.uni-muenster.de · Techno‐Economics (CTTE), 2011 [ISO27001] ISO/IEC, “ISO/IEC 27001:2005—Information technology—Security techniques—Information](https://static.fdokument.com/doc/165x107/5e0f79d36c4a776d6032ed13/it-sicherheit-vernetzten-welt-wiwiuni-technoaeconomics-ctte-2011-iso27001.jpg)
