informationssicherheit nach iso 27001 ein Überblick über ...¤sentation_solutions... ·...

AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015

Informationssicherheit nach ISO 27001ein Überblick über den Zertifizierungsprozess


� Kurzvorstellung

� ISO 270xx – eine Normenreihe für Informationssicherheit

� Vorstellung der Norm ISO/IEC 27001:2013 – Kap. 4-10

� ISO/IEC 27001:2013 – Annex A

Was Sie erwartet…


AL Consult – Unternehmenslogik

Kurzvorstellung


Unternehmenslogik ist…

… die Prozesse auf die Bedürfnisse der logischen Arbeitsabfolgen auszurichten und nicht auf die technischen Prozesse der Informationstechnologie.


Unternehmenslogik – die Schwerpunkte

• IT- Strategieentwicklung auf der Basis von CObIT®

• Informationssicherheit (ISO 27001)

• IT Servicemanagement (ISO 20000, ITIL®)

• Prozessmanagement

• Qualitätsmanagement (ISO 9001)

• Projektmanagement nach PRINCE2®

• Workshops, Trainings


� Kurzvorstellung




Was kommt jetzt


Social Engineering

Mitteilungsbedürfnis Terror/Unruhe

Internetnutzung/IT

(Über)-Regulierung

Spion vs. Spion

Diebstahl & Betrug

Unwissenheit von

Mitarbeitern

Globalisierung

Internet

Wie kann man damit umgehen?

Bedrohungen für Informationen


Online-Sicherheit herstellen

Anteil Angriffspunkte Maßnahmen

39,9 % Email-Anhänge

37,4 % Email mit schadhaften Links

16,6 % Internetzugang durch Download

3,6 % Direktinstallation

2,2 % Download durch Malware

1,9 % Fernzugriff

0,3 % Netzwerkausbreitung

54,0 % Online-Interaktion

Antivirus

Patch-Management

Online-Sicherheit – Filtern von InhaltenQuelle: Studie von Maxfocus, Juli 2015


ISMS nach ISO 27001Sicherheitsmanagement als kontinuierlicher Prozess

� Implementierung und Betrieb von Maßnahmen� Implementierung und Betrieb von Maßnahmen

� Verbesserung der Maßnahmen� Vorbeugen von Fehlern� Verbesserung der Maßnahmen� Vorbeugen von Fehlern

PL

AN

UN

GÜ

BE

RP

RÜ

FU

NG

BETRIEB

VERBESSERUNG

� Überwachung und Überprüfung

� Überwachung und Überprüfung� Definition von

Anwendungs-bereich und Zielen

� Risikoanalyse� Maßnahmen-

definition

� Definition von Anwendungs-bereich und Zielen

� Risikoanalyse� Maßnahmen-

definition


Einführung in den StandardDie ISO 2700x Familie


Einführung in den StandardVorteile der ISO/IEC 27001:2013

� Bewertung der Geschäftsprozesse in Hinblick auf Informationssicherheit

� Informationssicherheit is ein integraler Bestandteil der Geschäftsprozesse

� Kenntnis und Steuerung von Risiken / Restrisiken

� Priorität hat die Sicherheit des Geschäftsbetriebs:Business Continuity Management

� Informationsstrukturen und –prozesse werden dokumentiert

� Wachsende Sensibilisierung der Mitarbeiter zum Thema Sicherheit


� Wettbewerbsvorteile durch eine Zertifizierung

� Weltweit akzeptierter Standard

� Mögliche Senkung von Versicherungsprämien

� Kostensenkung durch gut geplante Prozesse

� ITIL (Information service management) referenziert auf die ISO/IEC 27001

Einführung in den StandardVorteile der ISO/IEC 27001:2013


Entwicklung des Standards

BS 7799 Part OneFebruary 1995

BS 7799 Part TwoFebruary 1998

ISO/IEC 17799:2000

BS 7799-2:2002

ISO/IEC 17799:2005 ISO/IEC 27001:2005

ISO/IEC 27002:2007

Vorschlag Nachweis

ISO/IEC 27002:2013 ISO/IEC 27001:2013


Haben Sie hierüber schon einmal nachgedacht?


� Werte� Verwundbarkeiten� Bedrohungen

� Werte� Verwundbarkeiten� Bedrohungen

Verstehe DeineWerte

Verstehe DeineWerte

� Vertraulichkeit� Integrität� Verfügbarkeit

� Vertraulichkeit� Integrität� Verfügbarkeit

Verstehe DeineRisiken

Verstehe DeineRisiken

� Reduzieren� Vermeiden� Verlagern� Akzeptieren

� Reduzieren� Vermeiden� Verlagern� Akzeptieren

Behandle DeineRisiken

Behandle DeineRisiken

von vornevon vorne

Was habe ich?Was habe ich? Was kann damit geschehen?Was kann damit geschehen? Wie gehe ich damit um?Wie gehe ich damit um?

ISMS nach ISO 27001PLAN – Risikobasierte Steuerung von icherheitsmaßnahmen


GeschäftsprozesseGeschäftsprozesse

ManagementManagement � Informationssicherheitspolitik (5.2, A.5)� ISMS-Organisation (5.3, A.6)� Information Asset Management (A.8)

Personal

� Personelle Sicherheit (A.7)

Personal

� Personelle Sicherheit (A.7)

� IS Risiko Management (8.2, 8.3)� Business Continuity Management (A.17)

Zugang / Zugriff

�Zugangskontrolle (A.9)

Zugang / Zugriff

�Zugangskontrolle (A.9)

Zutritt / Gebäude / Umgebung

�Physische Sicherheit (A.11)

Zutritt / Gebäude / Umgebung

�Physische Sicherheit (A.11)

Tagesgeschäft� Betrieb (A.12)� Kryptographie (A.10)� Kommunikations-

sicherheit A.13)

Tagesgeschäft� Betrieb (A.12)� Kryptographie (A.10)� Kommunikations-

sicherheit A.13)

Planung / Projekte

� Beschaffung, Entwicklung und Wartung von Systemen (A.14)

Planung / Projekte

� Beschaffung, Entwicklung und Wartung von Systemen (A.14)

� IS Incident Management (A.16)� Compliance (A.18)� Leadership (5)� Beziehungen zu Lieferanten (A.15)

ISMS nach ISO 27001:2013Gliederung

� IS-Themen


ISO 270xx: die Standards (1)

ISO 27000 ISMS – Übersicht und BegriffeGrundlegende Prinzipien, Konzepte, Begriffe, Definitionen für die Normenreihe ISO/IEC 27000ff.

ISO 27001 ISMS – AnforderungenISO 27002 ISMS – Leitfaden für das Management der IS

ISO 27003 ISMS – Leitfaden zur UmsetzungAnleitung zur praktischen Umsetzung und weitereInformationen zum ISMS nach ISO/IEC 27001

ISO 27004 ISMS – MessungenEmpfehlungen zur Nutzung von Sicherheitsmessungenfür ISMS incl. Kennzahlensystemen und Kontrollzielen

ISO 27005 Management der Informationssicherheits-Risiken

ISO 27006 Anforderungen an Zertifizierungsstellen für ISMSAkkreditierungsanforderungen in Ergänzung zu ISO/IEC 17021

ISO 27007 Leitfaden zur Auditierung von ISMSDurchführung von ISMS-Audits in Ergänzung zu ISO 19011


ISO 2700x: die Standards (2)

ISO 27008 Leitfaden zur Auditierung von ISMS-Controls

ISO 27009 Sector-specific application of ISO/IEC 27001 — Requirements

ISO 27010 IS management for inter-sector communications

ISO 27011 Leitfaden zum IS-Management in der Telekommunikation

ISO 27012 ISM guidelines for e-government services

ISO 27013 Guidance on the integrated implementation ofISO/IEC 20000-1 and ISO/IEC 27001

ISO 27014 ISMS for the service sector

ISO 27015 ISM guidelines for financial and insurance services

ISO 27016 ISM – Organizational economics

ISO 27017 Code of practice based on ISO/IEC 27002 for cloud services

ISO 27018 Code of practice for protection of Personally IdentifiableInformation (PII) in public clouds acting as PII processors



ISO 27019 ISM guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry

ISO 27021 Competence requirements for ISM professionals

ISO 27023 Mapping the revised editions of ISO/IEC 27001 and 27002

ISO 27031 ICT Readiness for Business Continuity

ISO 27032 Guidelines for Cybersecurity

ISO 27033 Guidelines for Network Security

ISO 27034 Guidelines for Application Security

ISO 27035 Information security incident management

ISO 27036 Guidelines for security of outsourcing

ISO 27037 Guidelines for identification, collection and/oracquisition and preservation of digital evidence

ISO 27038 Specification for digital redaction



ISO 27039 Selection, deployment and operation of intrusion detection and prevention systems (IDPS)

ISO 27040 Storage security

ISO 27041 Guidance on assuring suitability and adequacy ofincident investigative methods

ISO 27042 Guidelines for the analysis and interpretation ofdigital evidence

ISO 27043 Incident investigation principles and processes

ISO 27044 Guidelines for Security Information and Event Management

ISO 27050 Electronic discovery

ISO 27799 Health informatics — Information security management inhealth using ISO/IEC 27002

…weitere Informationen z.B. unter www.iso27001security.com


� Kurzvorstellung




Was kommt jetzt


ISO 27001:2013


Struktur der ISO 27001:2013

0. Einleitung

1. Anwendungsbereich

2. Normative Verweise

3. Begriffe

4. Kontext der Organisation

5. Führung

6. Planung

7. Unterstützung

8. Einsatz (Operation)

9. Leistungsauswertung

10. Verbesserung

Anhang A (normativ): Referenz-Maßnahmenziele und

-Maßnahmen

Grundlagen

Management-rahmen

Katalog


Aufbau des Standards Kontinuierlicher Verbesserungsprozess

Die neuen Abschnitte des Standards lassen sich auch weiterhin den PDCA-Phasen zuordnen, wie die folgende Tabelle illustriert:

Phase Abschnitt in ISO/IEC 27001:2013

PLAN 4. Kontext der Organisation6. Planung des ISMS

DO 7. Support des ISMS8. Betrieb des ISMS

CHECK 9. Leistungsbewertung

ACT 10. Verbesserung

5. F

ühru

ng


Aufbau des Standards Übersicht des Inhalts

Verbindlicher Teil (Mandatory part)

� Definitionen (3)

� Kontext der Organisation (4)

- Verständnis der Organisation und ihres (ISMS-)Kontextes (4.1)

- Verständnis der Bedürfnisse und Erwartungen von „interessierten

Parteien“ (bzgl. ISMS) (4.2)

- Festlegung des ISMS-Geltungsbereichs (4.3)

- Informationssicherheits-Management System (ISMS) (4.4)

� Führung und Kommunikation (5)

- Führung und Engagement (5.1)

- Leitlinie (5.2)

- Organisatorische Aufgaben, Zuständigkeiten und Befugnisse (5.3)




� Planung (6)

- Maßnahmen zum Umgang mit Risiken und Chancen (6.1)

- IS-Ziele und Pläne für deren Erreichung (6.2)

� Unterstützung (7)

- Ressourcen (7.1)

- Kompetenz (7.2)

- Bewusstsein (7.3)

- Kommunikation (7.4)

- Dokumentierte Informationen (7.5)




� Einsatz (8)

- Einsatzplanung und –kontrolle (8.1)

- IS-Risikoeinschätzung (8.2)

- IS-Risikobehandlung (8.3)

� Leistungsauswertung (9)

- Überwachung, Messung, Analyse und Auswertung (9.1)

- Internes Audit (9.2)

- Prüfung durch die Leitung (Management Review) (9.3)




� Verbesserung (10)

- Abweichung und Korrekturmaßnahmen (10.1)

- Laufende Verbesserung (10.2)


Dokumentierte Informationen

Kapitel Information

4.3 ISMS-Geltunsbereich

5.2 IS-Leitlinie

6.1.2 Prozess zur IS-Risikoeinschätzung

6.1.3 Prozess zur IS-Risikobehandlung

6.1.3 d) Erklärung zur Anwendbarkeit

6.2 IS-Ziele

7.2 d) Kompetenznachweise

7.5.1 b) Relevante Informationen zur Wirksamkeit des ISMS

8.1 Einsatzplanung und Kontrolle der Umsetzung

8.2 Ergebnisse der IS-Risikoeinschätzung

8.3 Ergebnisse der IS-Risikobehandlung

9.1 Nachweis der Überwachungs- und Messergebnisse

9.2 g) Nachweis des Auditprogramms und der Audit-Ergebnisse

9.3 Nachweis der Ergebnisse des Management Reviews

10.1 f) Nachweis über die Ursache der Abweichungen und ergriffene Folgemaßnahmen

10.1 g) Nachweis über die Ergebnisse von Korrekturmaßnahmen


� Kurzvorstellung




Was kommt jetzt


ISO 27001:2013 – Annex A

14 Themenbereiche (Clauses) mit

35 Sicherheitszielen (Reference control objectives) und

114 Maßnahmen (Reference controls)

Korrespondierende Aktualisierung der ISO 27002


Annex A - Themenbereiche

A.5 Sicherheitsleitlinien

A.6 Organisation der Informationssicherheit

A.7 Personelle Sicherheit

A.8 Management von organisationseigenen Werten

A.9 Zugangs- und Zugriffskontrolle

A.10 Kryptographie

A.11 Physische und umgebungsbezogene Sicherheit

A.12 Betriebssicherheit

A.13 Kommunikationssicherheit

A.14 Beschaffung, Entwicklung und Instandhaltung von Systemen

A.15 Lieferantenbeziehungen

A.16 Management von Informationssicherheitsvorfällen

A.17 IS-Aspekte des Business Continuity Managements

A.18 Richtlinienkonformität (Compliance)


Schaffung der ISMS-Dokumentation

Ebene 2

Prozesse

Prozeduren, Zuordnung

Ebene 3

konkrete Handlungs-

Anweisungen:

Arbeitsanweisungen, Checklisten, Formulare

Ebene 4

Nachweise:

Aufzeichnungen,

Records

Ebene 1

Management Rahmenwerk,

Policies bezogen auf ISO 27001 Clauses 4

Ebene der Vorgaben

„Security Manuals“

Policy, Scope, SoA,

Risk Management

Policy, Scope, SoA,

Risk Management

Prozessbeschreibungen zur Umsetzung – wer, was wann, wo – Kap. 04 bis 10

Prozessbeschreibungen zur Umsetzung – wer, was wann, wo – Kap. 04 bis 10

Beschreibung, wie Aktivitäten und Aufgaben abgearbeitet werden

Beschreibung, wie Aktivitäten und Aufgaben abgearbeitet werden

Aufzeichnungen: objektive revisionssichere Nachweise, dass die Vorgaben des ISMS erfüllt

werden

Aufzeichnungen: objektive revisionssichere Nachweise, dass die Vorgaben des ISMS erfüllt

werden

ISMS nach ISO 27001Einführung eines ISMS – Konzeption / Dokumentation 3


Ihr Weg zu Ihrem ISO/IEC 27001 Zertifikat

Scopefestlegen Schutz-

bedarffeststellen und Risikenbewerten

SoA festlegen und Controls auswählen bzw. Maßnahmen festlegen

Controls implementieren, Management Review und interne Audits durchführen

Zertifizierung durchführen

Bestands-aufnahme

Implementierung (evtl. mit Berater)


Vorteil ErläuterungAuswirkungen erkennen Bei einer Bestandsaufnahme werden die einzelnen Kapitel der

Norm mit den Gegebenheiten im Unternehmen verglichen.

Geltungsbereich Anhand der Bestandsaufnahme kann der Geltungsbereich für die anstehende Zertifizierung ggf. eingegrenzt werden. Somit können die Kosten für die Zertifizierung reduziert werden.

Stärken und Schwächen erkennen

Nach der Bestandsaufnahme kennt das Unternehmen seine Stärken und Schwächen. So können Ressourcen besser eingesetzt und somit Kosten reduziert und die Dauer der Vorbereitung verringert werden.

Mitarbeiter einbinden Mitarbeiter und Führungskräfte kennen die Herausforderungen und können somit besser motiviert und eingebunden werden.

Dokumentation, Technik und Infrastruktur

Mit der Bestandsaufnahme werden Schwächen in der Dokumentation und der technischen Infrastruktur deutlich, so dass genügend Zeit bleibt, Maßnahmen zu treffen.

Vorteile einer vorgelagerten Bestandsaufnahme


• Nachweis der Sicherheit gegenüber Dritten

(Gesetzgeber, Mitarbeitern, Lieferanten, Kunden und

Partner)

• Wettbewerbsvorteil: „Dokumentierte Qualität“ durch

eine unabhängige Instanz

• Kostenreduktion durch transparente und optimierte

Strukturen

• Sicherheit als integraler Bestandteil der

Geschäftsprozesse

• Kenntnis und Kontrolle der IT-Risiken / -Restrisiken

• Dokumentation von Strukturen und Prozessen

• Absicherung des CIO & IT-Sicherheitsverantwortlichen

Zertifizierung nach ISO 27001Nutzen


• Gesteigertes Sicherheitsbewusstsein der Mitarbeiter

• Beurteilen der Organisationsprozesse nach

Sicherheitsgesichtspunkten

• Vorrang der Sicherheit des Geschäftsbetriebes:

Business Continuity Management

• Weltweit anerkannter Standard

• Mögliche Senkung von Versicherungsprämien

• Referenzierung des IT-Prozess-Management-

Standards „ITIL“ auf ISO 27001

• Nahtloses Einpassen von ISO 27001 in evtl.

bestehende Managementsysteme, wie z.B. ISO 9001

Zertifizierung nach ISO 27001weiterer Nutzen


AL Consult - Unternehmenslogik

… weil Ihr Unternehmen es wert ist!

Andreas LentwojtBetriebswirt

AL Consult - UnternehmenslogikAlfred-Jessen-Weg 10D-22946 Trittau bei Hamburg

Tel +49 4154-82972Mobil +49 174-931 6269Mail [email protected]

Auditor ISO/IEC 27001Auditor ISO/IEC 20000Auditor DIN EN ISO 9001


Fragen?


© 2015, AL Consult - Unternehmenslogik. Alle Rechte vorbehalten.

Alle Angaben ohne Gewähr. Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch AL Consult - Unternehmenslogik nicht gestattet.

In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden.


Exkurs: ISO 31000

informationssicherheit nach iso 27001 ein Überblick über ...¤sentation_solutions... ·...

Documents