Zertifizierung nach ISO/IEC 27001

ep
ro
be
-
Bruno Tenhagen
-L
es
Zertifizierung nach ISO/IEC 27001
auditplan.doc
Das Klammersymbol
ep
ro
be
Übersicht über die Arbeitshilfen
Muster-Auditplan
im Text verweist auf die entsprechende Datei im Anhang.
Bibliografische Information der Deutschen Nationalbibliothek
-L
ISBN 978-3-8249-1785-3
es
Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie.
Detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
© by TÜV Media GmbH, TÜV Rheinland Group, 2014
www.tuev-media.de
® TÜV, TUEV und TUV sind eingetragene Marken der TÜV Rheinland Group.
Eine Nutzung und Verwendung bedarf der vorherigen Zustimmung durch das Unternehmen.
Gesamtherstellung: TÜV Media GmbH, Köln 2014
Den Inhalt dieses E-Books finden Sie auch in dem Handbuch „Information Security Management“,
TÜV Media GmbH, Köln.
Die Inhalte dieses E-Books wurden von Autor und Verlag nach bestem Wissen und Gewissen erarbeitet
und zusammengestellt. Eine rechtliche Gewähr für die Richtigkeit der einzelnen Angaben kann jedoch
nicht übernommen werden. Gleiches gilt auch für Websites, auf die über Hyperlinks verwiesen wird. Es
wird betont, dass wir keinerlei Einfluss auf die Inhalte und Formulierungen der verlinkten Seiten haben
und auch keine Verantwortung für sie übernehmen. Grundsätzlich gelten die Wortlaute der Gesetzestexte
und Richtlinien sowie die einschlägige Rechtssprechung.
Zertifizierung nach ISO/IEC 27001
Zertifizierung nach ISO/IEC 27001
einen systematischen Sicherheitsprozess. Dieses E-Book vermittelt die notwendigen Schritte zur Vorbereitung,
Durchführung und Aufrechterhaltung einer Unternehmenszertifizierung nach
ISO/IEC 27001:2013
Arbeitshilfe:
auditplan.doc)
-
• Muster-Auditplan (
Autor: Bruno Tenhagen
ep
ro
be
Die internationalen Normen ISO/IEC
27001 und ISO/IEC 27002 liegen seit
2013 in einer neuen Version vor. Was ist
neu, was hat sich geändert? Antworten
finden Sie hier.
Die Standards definieren die Anforderungen an ein leistungsfähiges Managementsystem für Informationssicherheit.
Die Zertifizierung gemäß ISO/IEC 27001
garantiert einen wirksamen Schutz der
Unternehmensinformationen vor Bedrohungen unterschiedlichster Natur und bescheinigt dem zertifizierten Unternehmen
E-Mail: [email protected]
-L
es
Dieses E-Book erläutert die Inhalte der internationalen
Standards ISO/IEC 27001:2013 [1] und ISO/IEC 27002:
2013 [2]. Sie erfahren, wie die Prozesse und Maßnahmen für
Informationssicherheit in einer Organisation normkonform
und zertifizierbar im Sinne eines InformationssicherheitsManagementsystems (ISMS) gestaltet werden können.
Da seit Oktober 2013 die Standards in einer überarbeiteten
Version erschienen sind, wird hier auch auf die Änderungen
eingegangen.
Ziel des
ISMS
© TÜV Media GmbH
Ziel eines nach diesen Standards modellierten ISMS ist es,
ein optimal angepasstes Sicherheitsniveau zu erreichen, das
den Sicherheitsanforderungen der Geschäftsprozesse in
Ihrer Organisation genügt. D. h., Sie sollen angemessene
Maßnahmen zum Schutz ihrer Unternehmensinformation
ergreifen – nicht zu viel und nicht zu wenig. Allein Ihr spezifischer Schutzbedarf entscheidet über den Umfang Ihrer
Anstrengungen.
Seite 1
Zertifizierung nach ISO/IEC 27001
-L
es
ep
ro
be
-
Durch die Zertifizierung auf der Basis dieser international
bekannten und anerkannten Standards wird die Grundlage
für die vertrauensvolle Zusammenarbeit zwischen unterschiedlichen Organisationen geschaffen. So wird es z. B.
möglich, wechselseitig die Organisationssicherheit unter
Geschäftspartnern einzuschätzen. Die Anwendung der
Standards hilft Ihnen somit, einen objektiven Maßstab zu
finden, die Situation der Informationssicherheit zu bewerten
und kontinuierlich und systematisch zu verbessern. Nicht
zuletzt können so auch die eigenen Anstrengungen zur
Verbesserung der Informationssicherheit nach innen oder
außen demonstriert werden. Auch sind z. B. konzerninterne
Vergleiche möglich. Unabhängige Audits und eine Zertifizierung nach der Implementierung des Systems erbringen
den objektiven Nachweis der normkonformen Implementierung. Viele Kunden haben sich schon das eine oder andere
Lieferantenaudit erspart, weil sie auf eine ISO/IEC-27001Zertifizierung verweisen konnten. Die folgende systematische Beschreibung des Informationssicherheits-Managementsystems nach ISO/IEC 27001 zeigt auch die für eine
Zertifizierung notwendigen Schritte auf.
1 Entwicklung des Standards
Die ISO/IEC 27001:2013 basiert ursprünglich auf dem
britischen Standard BS 7799-2:2002. Aufgrund der starken
internationalen Nachfrage wurde der britische Standard
durch die International Standards Organization (ISO) übernommen, mehrfach überarbeitet und im Oktober 2013 in der
aktuellen Fassung veröffentlicht. Der Vorgänger, die ISO/
IEC 27001:2005 war interessanterweise volle acht Jahre
gültig, was sicher für den Standard spricht. Die jetzt vorliegende, jüngste Überarbeitung führte zu einigen wichtigen
Änderungen. Zwar wurde die Informationssicherheit nicht
© TÜV Media GmbH
Seite 2
Zertifizierung nach ISO/IEC 27001
neu erfunden; dennoch sind die Änderungen so mannigfaltig, dass es sich durchaus lohnt, einmal systematisch das
Neuland zu erkunden.
Die ISO/IEC 27001 enthält in einem Anhang A einen
Katalog von generischen Maßnahmen, die Sie für Ihr ISMS
nach Bedarf auswählen können – die sog. Controls.
es
ep
ro
be
-
Wie die ISO/IEC 27001 ist auch die ISO/IEC 27002 im
Oktober 2013 neu erschienen. Dieser „Leitfaden zum
Management von Informationssicherheit“ wurde im Jahre
1995 erstmals veröffentlicht, damals noch als BS 7799 Teil 1.
Die BS 7799 Teil 2 mit dem Titel „Spezifikation für
Managementsysteme für Informationssicherheit“ folgte
dann 1998. Beide Teile wurden in Großbritannien 1999 noch
einmal überarbeitet, bevor der erste Teil im Dezember 2000
unverändert als ISO/IEC 17799 erschien. Im Juli 2007
erschien schließlich ein Corrigendum, das nichts anderes als
die Umbenennung von ISO/IEC 17799 in ISO/IEC 27002
beinhaltete. Es hat sich also nur die Nummer geändert.
Historie
-L
Im Oktober 2013 erschienen schließlich ISO/IEC 27001 und
ISO/IEC 27002 in vollständig neu überarbeiteter Form.
Hier die vollständige Historie der Standards:
•
•
•
•
•
•
•
© TÜV Media GmbH
Feb. 1995 – BS 7799-1
Feb. 1998 – BS 7799-2
Apr. 1999 – BS 7799-1:1999 und BS 7799-2:1999
Dez. 2000 – ISO/IEC 17799:2000
Sep. 2002 – BS 7799-2:2002
Jun. 2005 – ISO/IEC 17799:2005
Okt. 2005 – ISO/IEC 27001:2005
Seite 3
Zertifizierung nach ISO/IEC 27001
• Jul. 2007 – ISO/IEC 27002:2005
• Okt. 2013 – ISO/IEC 27001:2013 und ISO/IEC 27002:
2013
ep
ro
be
-
Die Norm ISO/IEC 27001:2013 ist, als ManagementsystemStandard, mit anderen Managementsystem-Standards wie
ISO 9001 und ISO 14001 weiter konsequent harmonisiert
worden. Das inzwischen schon altehrwürdige Plan-DoCheck-Act-Modell (PDCA) wurde in der letzten Fassung
zwar ausgemustert, es gibt aber eine äquivalente Struktur, so
dass keine großen Anpassungen bei der Umsetzung erforderlich werden. Plan, Do, Check und Act wurden ersetzt durch
„Planning“, „Operation“, „Performance Evaluation“ und
„Improvement“, also Planung, Betrieb, Überprüfung und
Verbesserung des ISMS. Das klingt nun sehr ähnlich …
Nachfolgend die neue Struktur der Managementkapitel 4 bis
10:
-L
Managementkapitel
4 bis 10
es
Auf jeden Fall besteht so eine gute Möglichkeit, die verschiedenen Managementsysteme integriert umzusetzen.
Auch eine kombinierte Auditierung ist möglich, um Kosten
einzusparen.
© TÜV Media GmbH
Kapitel 4 Context of the organization/Kontext der Organisation
Kapitel 5 Leadership/Führung
Kapitel 6 Planning/Planung
Kapitel 7 Support/Unterstützung
Kapitel 8 Operation/Betrieb
Kapitel 9 Performance Evaluation/Leistungsauswertung
Kapitel 10 Improvement/Verbesserung
Seite 4
Zertifizierung nach ISO/IEC 27001
Gut zu wissen: Die Maßnahmen des Anhangs A aus der
ISO/IEC 27001 finden sich in gleicher Nummerierung auch
in der ISO/IEC 27002. Damit kann man sehr einfach
Zusatzinformationen zu einzelnen Themen erhalten (vgl.
Abbildung 1).
Maßnahmen
IS-Themen
ƒ Informationssicherheitspolitik (5.2, A.5)
ƒ ISMS-Organisation (5.3, A.6)
ƒ Information Asset Management (A.8)
ƒ
ƒ
ƒ
ƒ
IS Incident Management (A.16)
Compliance (A.18)
Leadership (5)
Beziehungen zu Lieferanten (A.15)
-
Management
ep
ro
be
Personal
ƒ Personelle Sicherheit (A.7)
Zutritt/Gebäude/
Umgebung
ƒ Physische Sicherheit
(A.11)
Tagesgeschäft
Planung/Projekte
ƒ Betrieb (A.12)
ƒ Kryptographie (A.10)
ƒ Kommunikations-
ƒ Beschaffung,
sicherheit (A.13)
Zugang/Zugriff
Entwicklung und
Wartung von Systemen
(A.14)
ƒ IS-Risiko-Management (8.2, 8.3)
ƒ Business Continuity Management (A.17)
-L
Geschäftsprozesse
es
ƒ Zugangskontrolle (A.9)
Abb. 1: Die Struktur der Managementkapitel im Unternehmen
2 Zweck der ISO/IEC 27001
Ziel der ISO/IEC 27001 ist es, ein InformationssicherheitsManagementsystem (ISMS) aufzubauen und es in der
Organisation als Teil der Managementprozesse zu verankern. Es finden sich hier keine detaillierten Maßnahmen,
sondern übergreifende Anforderungen an Informationssicherheit, die diesen Maßnahmen zugrunde liegen. Maßnahmen zur Umsetzung des ISMS werden im Anhang A des
Standards aufgeführt.
© TÜV Media GmbH
Seite 5
Zertifizierung nach ISO/IEC 27001
Weitere, detailliertere Maßnahmen stellen zum Beispiel
auch die IT-Grundschutzstandards des BSI [3] bereit.
Während die ISO/IEC 27002 allen verantwortlichen Personen Empfehlungen in Form eines Leitfadens zur Implementierung von Maßnahmen für ein ISMS gibt und damit
eine gemeinsame Basis für die Entwicklung organisationsweiter Sicherheitsstandards darstellt, beschreibt die ISO/
IEC 27001 die Anforderungen an die Umsetzung und
Dokumentation eines ISMS. Aufgrund der im Standard
vorgesehenen Zertifizierung haben Sie zusätzlich die Möglichkeit, Ihr ISMS einer unabhängigen Überprüfung der
Implementierung nach vergleichbaren Kriterien zu unterziehen. Dazu werden Sicherheitsprozesse zum Planen, Umsetzen, Überprüfen und Verbessern eines ISMS gefordert,
die in Ihrer Organisation zusammen mit konkreten Maßnahmen für die identifizierten Risiken umgesetzt werden
sollen. Durch Zertifikate kann nicht zuletzt auch das Vertrauen in die Geschäftsbeziehungen zwischen Unternehmen
wie auch nach außen am Markt gestärkt werden. Beide
Standards behandeln also dasselbe Thema aus verschiedenen Perspektiven und unterstützen einander – wichtig ist die
Unterscheidung zwischen dem empfehlenden Charakter der
ISO/IEC 27002 und den hinsichtlich einer Zertifizierung
bindenden Anforderungen der ISO/IEC 27001.
-L
es
ep
ro
be
-
ISO/IEC 27002
Empfehlungen/
ISO/
IEC 27001
Anforderungen
Schutzwürdige
Informationsarten
© TÜV Media GmbH
Die ISO/IEC 27001 und die ISO/IEC 27002 betrachten alle
Informationen innerhalb eines Unternehmens, unabhängig
von der Form, in der Informationen vorliegen, zum Beispiel
• gedruckt,
• handgeschrieben,
• elektronisch gespeichert,
• per Post oder elektronisch versandt,
• mittels Video oder verbal kommuniziert.
Seite 6
Zertifizierung nach ISO/IEC 27001
Geschützt werden sollen die Vertraulichkeit, Verfügbarkeit
und Integrität der Informationen, die für eine Organisation
wichtig sind. Andere Kriterien, wie Authentizität,
Zurechenbarkeit, Nicht-Abstreitbarkeit oder Verlässlichkeit,
können Sie ebenfalls betrachten, müssen es aber nicht unbedingt. Die Ausprägung der Sicherheitsprozesse und die
Angemessenheit der zu ergreifenden Schutzmaßnahmen orientieren sich dabei an Ihrem konkreten Schutzbedarf.
-
Schutz von ...
ep
ro
be
3 Inhaltliche Forderungen an das ISMS
•
•
•
•
•
zur Planung,
zur Implementierung,
für den Betrieb des ISMS,
zur Überprüfung und
zur Verbesserung
-L
Anleitung
es
Dieser Abschnitt gibt einen Überblick über die normativen
Anforderungen der ISO/IEC 27001. Er kann ebenso zur
Vorbereitung auf eine Zertifizierung Ihres Informationssicherheitsmanagements dienen wie auch zur systematischen Unterstützung beim Versuch, das Sicherheitsniveau
Ihrer Organisation anzuheben. Die ISO/IEC 27001 gibt
Ihnen eine Anleitung
Ihres ISMS im Zusammenhang mit den allumfassenden
Geschäftsrisiken Ihrer Organisation.
ISMS soll
angemessen
sein
© TÜV Media GmbH
Die konkrete Ausprägung, also auch der Umfang eines
ISMS, soll sich an den Anforderungen des konkreten
Unternehmens orientieren. Das ISMS soll angemessen sein.
Was für ein kleines Unternehmen vielleicht genügt, kann für
ein größeres zu wenig sein – und umgekehrt.
Seite 7
Zertifizierung nach ISO/IEC 27001
3.1 Kontext der Organisation
Die Organisation soll zunächst einmal externe und interne
Aspekte bestimmen, die relevant für ihre geschäftliche
Tätigkeit sind und einen Einfluss auf die mit dem ISMS
angestrebten Sicherheitsziele haben. Darüber hinaus ist es
wichtig, die Bedürfnisse und Erwartungen sog. „interessierter Parteien“, d. h. externer Partner oder Organisationen, zu
kennen. Sind diese bekannt, können im nächsten Schritt
deren Anforderungen an die Informationssicherheit festgestellt und im ISMS berücksichtigt werden. Dabei darf man
nicht die jeweiligen gesetzlichen oder behördlichen Anforderungen vergessen!
Scope
Nun kommen wir zum Geltungsbereich, auch Scope genannt. Dabei kommt es darauf an, den Anwendbarkeitsbereich des ISMS festzulegen und gegen andere Bereiche
der Organisation abzugrenzen. Jedoch sind auch Abhängigkeiten und Schnittstellen nach außen zu berücksichtigen.
Wichtig!
Der Geltungsbereich muss dokumentiert vorliegen.
es
ep
ro
be
-
Relevante
Aspekte
ermitteln
-L
Letztlich soll die Organisation ein Managementsystem
etablieren, das implementiert, ständig betreut und kontinuierlich verbessert wird.
3.2 Führung
Rolle des
TopManagements
© TÜV Media GmbH
Auch in der aktuellen Version der ISO/IEC 27001 kommt
dem Thema Managementunterstützung die nötige Bedeutung zu. Das oberste Management/die oberste Leitung (TopManagement) soll die führende Rolle beim Betrieb eines
ISMS übernehmen und sichtbar demonstrieren. Es soll dafür
sorgen, dass die Informationssicherheitspolitik und die
Informationssicherheitsziele festgelegt sind und zur
Ausrichtung des Unternehmens passen.
Seite 8
Zertifizierung nach ISO/IEC 27001
Außerdem sollen ISMS-Anforderungen in die internen
Prozesse der Organisation integriert sein. Da ein ISMS
Ressourcen erfordert, müssen diese vom Top-Management
in angemessener Höhe bereitgestellt werden.
Kommunikation
Das Top-Management soll auch die Wichtigkeit des Informationssicherheitsmanagements und das Erfordernis, mit
den Anforderungen konform zu sein, in deutlicher Form
kommunizieren.
Umsetzung
Das Top-Management soll auch dafür sorgen, dass die
angestrebten Ziele erreicht werden. Die handelnden Personen sollen dabei zielführend angeleitet und unterstützt
werden. Auch die kontinuierliche Verbesserung des ISMS
soll von der Leitung gefördert werden.
ep
ro
be
-
Integration
Das Top-Management soll auch eine Sicherheitspolitik
etablieren, die angemessen ist in Bezug auf die Unternehmensziele. Darin sollen auch die Sicherheitsziele ausgedrückt werden oder zumindest ein angemessener Rahmen
für diese Ziele. Ein Bekenntnis, diese Ziele zu erreichen und
das ISMS kontinuierlich zu verbessern, soll ebenfalls dort
dokumentiert sein.
-L
Sicherheitspolitik/
ISMS-Policy
es
Andere, für die Informationssicherheit relevante Managementrollen sollen ebenfalls unterstützt werden, damit diese
in ihren jeweiligen Bereichen den notwendigen „Respekt“
erfahren.
Wichtig ist, dass die Informationssicherheitspolitik jedem
Mitarbeiter dokumentiert zugänglich ist und dass sie im
Unternehmen aktiv bekannt gemacht wurde. Wo sinnvoll
und angemessen, soll sie auch anderen, sog. „interessierten
Parteien“ außerhalb des Unternehmens zur Verfügung gestellt werden.
© TÜV Media GmbH
Seite 9