Zertifizierung nach ISO/IEC 27001
Transcrição
Zertifizierung nach ISO/IEC 27001
ep ro be - Bruno Tenhagen -L es Zertifizierung nach ISO/IEC 27001 auditplan.doc Das Klammersymbol ep ro be Übersicht über die Arbeitshilfen Muster-Auditplan im Text verweist auf die entsprechende Datei im Anhang. Bibliografische Information der Deutschen Nationalbibliothek -L ISBN 978-3-8249-1785-3 es Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie. Detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. © by TÜV Media GmbH, TÜV Rheinland Group, 2014 www.tuev-media.de ® TÜV, TUEV und TUV sind eingetragene Marken der TÜV Rheinland Group. Eine Nutzung und Verwendung bedarf der vorherigen Zustimmung durch das Unternehmen. Gesamtherstellung: TÜV Media GmbH, Köln 2014 Den Inhalt dieses E-Books finden Sie auch in dem Handbuch „Information Security Management“, TÜV Media GmbH, Köln. Die Inhalte dieses E-Books wurden von Autor und Verlag nach bestem Wissen und Gewissen erarbeitet und zusammengestellt. Eine rechtliche Gewähr für die Richtigkeit der einzelnen Angaben kann jedoch nicht übernommen werden. Gleiches gilt auch für Websites, auf die über Hyperlinks verwiesen wird. Es wird betont, dass wir keinerlei Einfluss auf die Inhalte und Formulierungen der verlinkten Seiten haben und auch keine Verantwortung für sie übernehmen. Grundsätzlich gelten die Wortlaute der Gesetzestexte und Richtlinien sowie die einschlägige Rechtssprechung. Zertifizierung nach ISO/IEC 27001 Zertifizierung nach ISO/IEC 27001 einen systematischen Sicherheitsprozess. Dieses E-Book vermittelt die notwendigen Schritte zur Vorbereitung, Durchführung und Aufrechterhaltung einer Unternehmenszertifizierung nach ISO/IEC 27001:2013 Arbeitshilfe: auditplan.doc) - • Muster-Auditplan ( Autor: Bruno Tenhagen ep ro be Die internationalen Normen ISO/IEC 27001 und ISO/IEC 27002 liegen seit 2013 in einer neuen Version vor. Was ist neu, was hat sich geändert? Antworten finden Sie hier. Die Standards definieren die Anforderungen an ein leistungsfähiges Managementsystem für Informationssicherheit. Die Zertifizierung gemäß ISO/IEC 27001 garantiert einen wirksamen Schutz der Unternehmensinformationen vor Bedrohungen unterschiedlichster Natur und bescheinigt dem zertifizierten Unternehmen E-Mail: [email protected] -L es Dieses E-Book erläutert die Inhalte der internationalen Standards ISO/IEC 27001:2013 [1] und ISO/IEC 27002: 2013 [2]. Sie erfahren, wie die Prozesse und Maßnahmen für Informationssicherheit in einer Organisation normkonform und zertifizierbar im Sinne eines InformationssicherheitsManagementsystems (ISMS) gestaltet werden können. Da seit Oktober 2013 die Standards in einer überarbeiteten Version erschienen sind, wird hier auch auf die Änderungen eingegangen. Ziel des ISMS © TÜV Media GmbH Ziel eines nach diesen Standards modellierten ISMS ist es, ein optimal angepasstes Sicherheitsniveau zu erreichen, das den Sicherheitsanforderungen der Geschäftsprozesse in Ihrer Organisation genügt. D. h., Sie sollen angemessene Maßnahmen zum Schutz ihrer Unternehmensinformation ergreifen – nicht zu viel und nicht zu wenig. Allein Ihr spezifischer Schutzbedarf entscheidet über den Umfang Ihrer Anstrengungen. Seite 1 Zertifizierung nach ISO/IEC 27001 -L es ep ro be - Durch die Zertifizierung auf der Basis dieser international bekannten und anerkannten Standards wird die Grundlage für die vertrauensvolle Zusammenarbeit zwischen unterschiedlichen Organisationen geschaffen. So wird es z. B. möglich, wechselseitig die Organisationssicherheit unter Geschäftspartnern einzuschätzen. Die Anwendung der Standards hilft Ihnen somit, einen objektiven Maßstab zu finden, die Situation der Informationssicherheit zu bewerten und kontinuierlich und systematisch zu verbessern. Nicht zuletzt können so auch die eigenen Anstrengungen zur Verbesserung der Informationssicherheit nach innen oder außen demonstriert werden. Auch sind z. B. konzerninterne Vergleiche möglich. Unabhängige Audits und eine Zertifizierung nach der Implementierung des Systems erbringen den objektiven Nachweis der normkonformen Implementierung. Viele Kunden haben sich schon das eine oder andere Lieferantenaudit erspart, weil sie auf eine ISO/IEC-27001Zertifizierung verweisen konnten. Die folgende systematische Beschreibung des Informationssicherheits-Managementsystems nach ISO/IEC 27001 zeigt auch die für eine Zertifizierung notwendigen Schritte auf. 1 Entwicklung des Standards Die ISO/IEC 27001:2013 basiert ursprünglich auf dem britischen Standard BS 7799-2:2002. Aufgrund der starken internationalen Nachfrage wurde der britische Standard durch die International Standards Organization (ISO) übernommen, mehrfach überarbeitet und im Oktober 2013 in der aktuellen Fassung veröffentlicht. Der Vorgänger, die ISO/ IEC 27001:2005 war interessanterweise volle acht Jahre gültig, was sicher für den Standard spricht. Die jetzt vorliegende, jüngste Überarbeitung führte zu einigen wichtigen Änderungen. Zwar wurde die Informationssicherheit nicht © TÜV Media GmbH Seite 2 Zertifizierung nach ISO/IEC 27001 neu erfunden; dennoch sind die Änderungen so mannigfaltig, dass es sich durchaus lohnt, einmal systematisch das Neuland zu erkunden. Die ISO/IEC 27001 enthält in einem Anhang A einen Katalog von generischen Maßnahmen, die Sie für Ihr ISMS nach Bedarf auswählen können – die sog. Controls. es ep ro be - Wie die ISO/IEC 27001 ist auch die ISO/IEC 27002 im Oktober 2013 neu erschienen. Dieser „Leitfaden zum Management von Informationssicherheit“ wurde im Jahre 1995 erstmals veröffentlicht, damals noch als BS 7799 Teil 1. Die BS 7799 Teil 2 mit dem Titel „Spezifikation für Managementsysteme für Informationssicherheit“ folgte dann 1998. Beide Teile wurden in Großbritannien 1999 noch einmal überarbeitet, bevor der erste Teil im Dezember 2000 unverändert als ISO/IEC 17799 erschien. Im Juli 2007 erschien schließlich ein Corrigendum, das nichts anderes als die Umbenennung von ISO/IEC 17799 in ISO/IEC 27002 beinhaltete. Es hat sich also nur die Nummer geändert. Historie -L Im Oktober 2013 erschienen schließlich ISO/IEC 27001 und ISO/IEC 27002 in vollständig neu überarbeiteter Form. Hier die vollständige Historie der Standards: • • • • • • • © TÜV Media GmbH Feb. 1995 – BS 7799-1 Feb. 1998 – BS 7799-2 Apr. 1999 – BS 7799-1:1999 und BS 7799-2:1999 Dez. 2000 – ISO/IEC 17799:2000 Sep. 2002 – BS 7799-2:2002 Jun. 2005 – ISO/IEC 17799:2005 Okt. 2005 – ISO/IEC 27001:2005 Seite 3 Zertifizierung nach ISO/IEC 27001 • Jul. 2007 – ISO/IEC 27002:2005 • Okt. 2013 – ISO/IEC 27001:2013 und ISO/IEC 27002: 2013 ep ro be - Die Norm ISO/IEC 27001:2013 ist, als ManagementsystemStandard, mit anderen Managementsystem-Standards wie ISO 9001 und ISO 14001 weiter konsequent harmonisiert worden. Das inzwischen schon altehrwürdige Plan-DoCheck-Act-Modell (PDCA) wurde in der letzten Fassung zwar ausgemustert, es gibt aber eine äquivalente Struktur, so dass keine großen Anpassungen bei der Umsetzung erforderlich werden. Plan, Do, Check und Act wurden ersetzt durch „Planning“, „Operation“, „Performance Evaluation“ und „Improvement“, also Planung, Betrieb, Überprüfung und Verbesserung des ISMS. Das klingt nun sehr ähnlich … Nachfolgend die neue Struktur der Managementkapitel 4 bis 10: -L Managementkapitel 4 bis 10 es Auf jeden Fall besteht so eine gute Möglichkeit, die verschiedenen Managementsysteme integriert umzusetzen. Auch eine kombinierte Auditierung ist möglich, um Kosten einzusparen. © TÜV Media GmbH Kapitel 4 Context of the organization/Kontext der Organisation Kapitel 5 Leadership/Führung Kapitel 6 Planning/Planung Kapitel 7 Support/Unterstützung Kapitel 8 Operation/Betrieb Kapitel 9 Performance Evaluation/Leistungsauswertung Kapitel 10 Improvement/Verbesserung Seite 4 Zertifizierung nach ISO/IEC 27001 Gut zu wissen: Die Maßnahmen des Anhangs A aus der ISO/IEC 27001 finden sich in gleicher Nummerierung auch in der ISO/IEC 27002. Damit kann man sehr einfach Zusatzinformationen zu einzelnen Themen erhalten (vgl. Abbildung 1). Maßnahmen IS-Themen Informationssicherheitspolitik (5.2, A.5) ISMS-Organisation (5.3, A.6) Information Asset Management (A.8) IS Incident Management (A.16) Compliance (A.18) Leadership (5) Beziehungen zu Lieferanten (A.15) - Management ep ro be Personal Personelle Sicherheit (A.7) Zutritt/Gebäude/ Umgebung Physische Sicherheit (A.11) Tagesgeschäft Planung/Projekte Betrieb (A.12) Kryptographie (A.10) Kommunikations- Beschaffung, sicherheit (A.13) Zugang/Zugriff Entwicklung und Wartung von Systemen (A.14) IS-Risiko-Management (8.2, 8.3) Business Continuity Management (A.17) -L Geschäftsprozesse es Zugangskontrolle (A.9) Abb. 1: Die Struktur der Managementkapitel im Unternehmen 2 Zweck der ISO/IEC 27001 Ziel der ISO/IEC 27001 ist es, ein InformationssicherheitsManagementsystem (ISMS) aufzubauen und es in der Organisation als Teil der Managementprozesse zu verankern. Es finden sich hier keine detaillierten Maßnahmen, sondern übergreifende Anforderungen an Informationssicherheit, die diesen Maßnahmen zugrunde liegen. Maßnahmen zur Umsetzung des ISMS werden im Anhang A des Standards aufgeführt. © TÜV Media GmbH Seite 5 Zertifizierung nach ISO/IEC 27001 Weitere, detailliertere Maßnahmen stellen zum Beispiel auch die IT-Grundschutzstandards des BSI [3] bereit. Während die ISO/IEC 27002 allen verantwortlichen Personen Empfehlungen in Form eines Leitfadens zur Implementierung von Maßnahmen für ein ISMS gibt und damit eine gemeinsame Basis für die Entwicklung organisationsweiter Sicherheitsstandards darstellt, beschreibt die ISO/ IEC 27001 die Anforderungen an die Umsetzung und Dokumentation eines ISMS. Aufgrund der im Standard vorgesehenen Zertifizierung haben Sie zusätzlich die Möglichkeit, Ihr ISMS einer unabhängigen Überprüfung der Implementierung nach vergleichbaren Kriterien zu unterziehen. Dazu werden Sicherheitsprozesse zum Planen, Umsetzen, Überprüfen und Verbessern eines ISMS gefordert, die in Ihrer Organisation zusammen mit konkreten Maßnahmen für die identifizierten Risiken umgesetzt werden sollen. Durch Zertifikate kann nicht zuletzt auch das Vertrauen in die Geschäftsbeziehungen zwischen Unternehmen wie auch nach außen am Markt gestärkt werden. Beide Standards behandeln also dasselbe Thema aus verschiedenen Perspektiven und unterstützen einander – wichtig ist die Unterscheidung zwischen dem empfehlenden Charakter der ISO/IEC 27002 und den hinsichtlich einer Zertifizierung bindenden Anforderungen der ISO/IEC 27001. -L es ep ro be - ISO/IEC 27002 Empfehlungen/ ISO/ IEC 27001 Anforderungen Schutzwürdige Informationsarten © TÜV Media GmbH Die ISO/IEC 27001 und die ISO/IEC 27002 betrachten alle Informationen innerhalb eines Unternehmens, unabhängig von der Form, in der Informationen vorliegen, zum Beispiel • gedruckt, • handgeschrieben, • elektronisch gespeichert, • per Post oder elektronisch versandt, • mittels Video oder verbal kommuniziert. Seite 6 Zertifizierung nach ISO/IEC 27001 Geschützt werden sollen die Vertraulichkeit, Verfügbarkeit und Integrität der Informationen, die für eine Organisation wichtig sind. Andere Kriterien, wie Authentizität, Zurechenbarkeit, Nicht-Abstreitbarkeit oder Verlässlichkeit, können Sie ebenfalls betrachten, müssen es aber nicht unbedingt. Die Ausprägung der Sicherheitsprozesse und die Angemessenheit der zu ergreifenden Schutzmaßnahmen orientieren sich dabei an Ihrem konkreten Schutzbedarf. - Schutz von ... ep ro be 3 Inhaltliche Forderungen an das ISMS • • • • • zur Planung, zur Implementierung, für den Betrieb des ISMS, zur Überprüfung und zur Verbesserung -L Anleitung es Dieser Abschnitt gibt einen Überblick über die normativen Anforderungen der ISO/IEC 27001. Er kann ebenso zur Vorbereitung auf eine Zertifizierung Ihres Informationssicherheitsmanagements dienen wie auch zur systematischen Unterstützung beim Versuch, das Sicherheitsniveau Ihrer Organisation anzuheben. Die ISO/IEC 27001 gibt Ihnen eine Anleitung Ihres ISMS im Zusammenhang mit den allumfassenden Geschäftsrisiken Ihrer Organisation. ISMS soll angemessen sein © TÜV Media GmbH Die konkrete Ausprägung, also auch der Umfang eines ISMS, soll sich an den Anforderungen des konkreten Unternehmens orientieren. Das ISMS soll angemessen sein. Was für ein kleines Unternehmen vielleicht genügt, kann für ein größeres zu wenig sein – und umgekehrt. Seite 7 Zertifizierung nach ISO/IEC 27001 3.1 Kontext der Organisation Die Organisation soll zunächst einmal externe und interne Aspekte bestimmen, die relevant für ihre geschäftliche Tätigkeit sind und einen Einfluss auf die mit dem ISMS angestrebten Sicherheitsziele haben. Darüber hinaus ist es wichtig, die Bedürfnisse und Erwartungen sog. „interessierter Parteien“, d. h. externer Partner oder Organisationen, zu kennen. Sind diese bekannt, können im nächsten Schritt deren Anforderungen an die Informationssicherheit festgestellt und im ISMS berücksichtigt werden. Dabei darf man nicht die jeweiligen gesetzlichen oder behördlichen Anforderungen vergessen! Scope Nun kommen wir zum Geltungsbereich, auch Scope genannt. Dabei kommt es darauf an, den Anwendbarkeitsbereich des ISMS festzulegen und gegen andere Bereiche der Organisation abzugrenzen. Jedoch sind auch Abhängigkeiten und Schnittstellen nach außen zu berücksichtigen. Wichtig! Der Geltungsbereich muss dokumentiert vorliegen. es ep ro be - Relevante Aspekte ermitteln -L Letztlich soll die Organisation ein Managementsystem etablieren, das implementiert, ständig betreut und kontinuierlich verbessert wird. 3.2 Führung Rolle des TopManagements © TÜV Media GmbH Auch in der aktuellen Version der ISO/IEC 27001 kommt dem Thema Managementunterstützung die nötige Bedeutung zu. Das oberste Management/die oberste Leitung (TopManagement) soll die führende Rolle beim Betrieb eines ISMS übernehmen und sichtbar demonstrieren. Es soll dafür sorgen, dass die Informationssicherheitspolitik und die Informationssicherheitsziele festgelegt sind und zur Ausrichtung des Unternehmens passen. Seite 8 Zertifizierung nach ISO/IEC 27001 Außerdem sollen ISMS-Anforderungen in die internen Prozesse der Organisation integriert sein. Da ein ISMS Ressourcen erfordert, müssen diese vom Top-Management in angemessener Höhe bereitgestellt werden. Kommunikation Das Top-Management soll auch die Wichtigkeit des Informationssicherheitsmanagements und das Erfordernis, mit den Anforderungen konform zu sein, in deutlicher Form kommunizieren. Umsetzung Das Top-Management soll auch dafür sorgen, dass die angestrebten Ziele erreicht werden. Die handelnden Personen sollen dabei zielführend angeleitet und unterstützt werden. Auch die kontinuierliche Verbesserung des ISMS soll von der Leitung gefördert werden. ep ro be - Integration Das Top-Management soll auch eine Sicherheitspolitik etablieren, die angemessen ist in Bezug auf die Unternehmensziele. Darin sollen auch die Sicherheitsziele ausgedrückt werden oder zumindest ein angemessener Rahmen für diese Ziele. Ein Bekenntnis, diese Ziele zu erreichen und das ISMS kontinuierlich zu verbessern, soll ebenfalls dort dokumentiert sein. -L Sicherheitspolitik/ ISMS-Policy es Andere, für die Informationssicherheit relevante Managementrollen sollen ebenfalls unterstützt werden, damit diese in ihren jeweiligen Bereichen den notwendigen „Respekt“ erfahren. Wichtig ist, dass die Informationssicherheitspolitik jedem Mitarbeiter dokumentiert zugänglich ist und dass sie im Unternehmen aktiv bekannt gemacht wurde. Wo sinnvoll und angemessen, soll sie auch anderen, sog. „interessierten Parteien“ außerhalb des Unternehmens zur Verfügung gestellt werden. © TÜV Media GmbH Seite 9