isms - der weg zur iso27001-zertifizierung• die sas checklist • gründe für eine iso 27001...
TRANSCRIPT
Juni2007 ISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
1© Copyright SQS
ISMS - der Weg zurISO27001-Zertifizierung
Erwin T. PeterLeitender Auditor
Schweizerische Vereinigung für Qualitäts-und Management-Systeme (SQS)CH-3052 Zollikofen
ISACA After Hours Seminar 26.06.2007
2Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Inhalt der Präsentation
• SQS-Profil
• Informationssicherheits-Managementsystem ISMS: Eine Einführung
• Weg zum Zertifikat und zur Aufrechterhaltung
• Die SAS Checklist
• Gründe für eine ISO 27001 Zertifizierung
3Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
SQS-Profil 2. Quartal 2007
• Gegründet 3. Juni 1983
• Trägerschaft 56 Mitglieder; hauptsächlich SchweizerischeWirtschaftsverbände, Bundesstellen, …
• Mitarbeitende 142 festangestellte Mitarbeitende253 freie Mitarbeitende weltweit
• Zertifikatsinhaber 8‘527 Unternehmungen und Organisationenwovon 2‘496 ausserhalb der Schweiz
Mitgliedschaft International Certification Networkbestehend aus 37 Partnerorganisationen,die zusammen rund einen Drittel allerweltweit gültigen Zertifikate erteilt haben
• weitere Informationen www.sqs.ch
Juni2007 ISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
4© Copyright SQS
Informationssicherheits-Managementsystem ISMS:
Eine Einführung
Juni2007 ISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
5© Copyright SQS
What is Information?
“Information is an asset which, like other important businessassets, is essential to an organization’s business and
consequently needs to be suitably protected.”
ISO/IEC 27002:2005
6Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Informationssicherheit: Definition
• Angemessenes und dauerndes Gewährleisten von:
– Verfügbarkeit,
– Vertraulichkeit,
– Integrität.
• Schutz sämtlicher Informationen ungeachtet der:
– Art ihrer Darstellung,
– Art ihrer Speicherung.
7Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Information Lifecycle
8Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Keep in Mind:
Level of protection
Cos
t
Costs ofprotectionmeasures
Risk Costs
Sum
9Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Management Systems
• ISO 9001 (QMS), ISO 14001 (EMS), ISO/IEC 27001 (ISMS),ISO/IEC 20000-1 (IT Service Management)
• Dokumentiertes System
• Übernahme des PDCA-Modells (Deming cycle)
• Fokussierung auf Management Prozesse, Verfahren und Kontrollen
• ständige Verbesserungen
• Möglichkeit der Zertifizierung
10Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Was ist ein Information Security Management System?
Ein Information Security Management System (ISMS) ist einsystematischer Ansatz sensitive Unternehmensinformationen so zuverwalten, dass sie sicher bleiben.
Es umfasst Menschen, Prozesse und IT Systeme.
11Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Merkmale des ISMS nach ISO/IEC 27001:2005
• Ganzheitlicher, präventiver Ansatz, lässt sich somit nahtlos in andereSysteme integrieren,
• prozessorientiertes, zertifizierungsfähiges Managementsystem,
• Risikomanagement als Motor des ISMS,
• unabhängig bewertbar auf Basis eines international bekannten Standards,
• neutraler Nachweis mit Zertifikat.
• Kompatibilität mit anderen Management Systemen (ISO 9001, ISO 14001,ISO/IEC 20000-1, …)
12Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
ISMS – Hauptanforderungen
• Dokumentationserfordernisse und Steuerung von Dokumenten undAufzeichnungen, einschliesslich: ISMS Richtlinien, ISMS Bereich ,Verfahren und Prozesse, Risikobeurteilungsmethodologie,Anwendbarkeitserklärung (bezüglich Anhang A)
• Managementverantwortungen: Verpflichtung, Bereitstellung vonRessourcen, Management Reviews
• Management Reviews und interne Audits in geplanten Intervallen
13Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
ISO 9001:2000
Modell eines prozessorientierten Qualitätsmanagement-Systems
Ständige Verbesserung des Qualitätsmanagement-Systems
Verantwortung derLeitung
Ressourcen-Management
Messung, Analyse,Verbesserung
FORDERUNGEN
K
U
N
D
E
K
U
N
D
EInput Produkt/
DienstleistungOutputProdukt-/
Dienstleistungs-Realisierung
ZUFRIEDENHEIT
14Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Process approach
15Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
PDCA Modell für die ISMS Prozesse
Plan (errichten des ISMS) Einführen von ISMS Richtlinien, Ziele, Prozesse und Verfahren,die für die Steuerung der Risiken und für die Verbesserung derInformationssicherheit relevant sind.
Do (umsetzen undanwenden des ISMS)
Umsetzen und Anwenden der ISMS Richtlinien, Kontrollen,Prozesse und Verfahren.
Check (überwachen undüberprüfen des ISMS)
Beurteilen und, wo anwendbar, Messen der Prozessleistungenbezüglich der ISMS Richtlinien, der Ziele und den praktischenErfahrungen. Die Ergebnisse werden rapportiert.
Act (aufrechterhalten undverbessern des ISMS)
Umsetzen von fehlerbehebenden und präventiven Massnahmenals Resultat aus den internen Audits, den Management Reviewsoder anderen Quellen mit dem Ziel das ISMS kontinuierlich zuverbessern.
16Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
ISO/IEC 27001: ISMS Highlights
Klärt und verbessert vorhandenen PDCA Prozessanforderungen– ISMS Geltungsbereich (inkl. Details & Begründung der Ausschlüsse)– Ansatz zur Risikobeurteilung (um vergleichbare und reproduzierbare
Ergebnisse zu produzieren)– Auswahl der Kontrollen (Kriterien um Risiken zu akzeptieren)– Anwendbarkeitserklärung (Statement of applicability)– Risikoüberprüfung– Managementverpflichtung (Commitment)– Interne ISMS Audits– Ergebnisse der Wirksamkeit und Messungen– Aktualisierte Risikobehandlungspläne, Verfahren und Kontrollen
17Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Contents of ISO/IEC 27001:2005
0. Introduction and Process approach1. Scope2. Normative references3. Terms and definitions4. Information security management
system (ISMS)5. Management responsibility6. Internal ISMS audits7. Management review8. ISMS improvement
A Control objectives and controlsA.5 Security policyA.6 Organization of information securityA.7 Asset managementA.8 Human resources securityA.9 Physical and environmental securityA.10 Communications and operations
managementA.11 Access controlA.12 Information systems acquisition,
development and maintenanceA.13 Information security incident
managementA.14 Business continuity managementA.15 Compliance
18Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Informationssicherheits-Managementsystem (ISMS)
Informationssicherheits-
Managementsystem
Dokumentation der Sicherheits- politik und Prozesse
Anwendungsbereich desISMS definieren
Risiko- analyse
Sicherheitsziele und Massnahmen bestimmen
Erklärung zur Anwendbarkeit
W eitere relevante Dokumente und Aufzeichnungen
19Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Obligatorische Bestandteile eines ISMS (1)
• Dokument zur Sicher- heitspolitik• Prozesse
Grenzenhinsichtlich Merkmale Standorte Werte Technologie
Informationswerte
Dokumentation der Sicherheits- politik und Prozesse
Anwendungsbereich des ISMS definieren
20Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Obligatorische Bestandteile eines ISMS (2)
Bedrohungen Schwachstellen Auswirkungen
Abschnitt 4 von ISO/IEC 27001:2005 Zusätzliche, nicht in der Norm enthaltene Massnahmen
Vorgehensweise der Organisation Erforderlicher Sicher- heitsgrad
Ausgewählte Sicherheitsziele Begründung (u.A. der Aus- schluss von Massnahmen gemäss ISO/IEC 27001:2005)
Risiko-management
Risiko- analyse
Sicherheitsziele und Massnahmen bestimmen
Erklärung zur Anwendbarkeit
21Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Obligatorische Bestandteile eines ISMS (3)
Gesetzliche Vorlagen Vertragliche Verein- barungen Auflagen von Kunden etc.
Weitere relevante Dokumente und Aufzeichnungen
Juni2007 ISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
22© Copyright SQS
Weg zum Zertifikat und zur Aufrechterhaltung
23Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
SQS-Zertifizierungsablauf
fakultativ, aber empfehlenswert
Aufrechterhaltungs-audit
Wiederhol-audit
Zertifikats-erteilung
OrganisatorischesVorgespräch
Zertifizierungs-Audit
Zertifikats-erteilung
Vorgespräche
OrganisatorischesVorgespräch
Voraudit
Bericht
Akquisitionsgespräch/Anmeldung
24Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Voraudit (fakultativ)
• Ein Voraudit kann fakultativ durchgeführt werden.
• Ein Voraudit dient:
– der Sicherstellung der Zertifizierungsreife,
– der Erkennung und Behebung von noch vorhandenenSchwachstellen,
– der besseren Vorbereitung für die Mitarbeitenden,
– der Sicherstellung einer reibungsloseren Zertifizierung.
25Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Organisatorisches Vorgespräch (obligatorisch)
Hauptziel: Feststellung der Zertifizierungsreife und Feststellung derbenötigten Auditorenkompetenz.
1. Die Begutachtung– Der Vollständigkeit und Zweckmässigkeit der ISMS-Dokumentation,
– Der identifizierten Risiken aus dem Bereich der Informationssicherheit,
– Der Anwendbarkeitserklärung des ISMS.
2. Die Beurteilung der Zertifizierungsreife und des Umfangs deszertifizierten Bereiches.
3. Die Erstellung des Auditprogrammes auf der Basis des Risiko-ansatzes der Unternehmung.
26Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Zertifizierungsaudit (obligatorisch)
• Das Zertifizierungsaudit erfolgt nach dem gleichen Vorgehen wie beieiner normalen ISO 9001:2000-Zertifizierung. Die Auditzeit wird jenach Komplexität der Unternehmung mit Faktor 1.5 bis 2 berechnet.
• Für eine optimale Vorbereitung werden alle relevanten Dokumenteder Unternehmung benötigt, sicher aber Managementsystem,IS-Politik, IS-Konzept.
• Hilfsmittel zum Audit sind die Checkliste der SQS ISO/IEC27001:2005 und das Auditprogramm.
• Auditbericht / Antragsstellung / Zertifikatdruck.• Aufrechterhaltung über ein jährliches Aufrechterhaltungsaudit und
dreijährliche Wiederholaudits.
Juni2007 ISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
27© Copyright SQS
Die SAS Checklist
28Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
SAS Checklist (1)
Erläuterungen zum Dokument:• “Statement of applicability”: Hinweis, dass das verlangte Verfahren typischerweise
in vielen Unternehmen nicht anwendbar ist, und der Auditor daher besonderssorgfältig die Anwendbarkeit abklären muss.
• “organisatorische/technische Kontrolle”: Organisatorische Kontrollen lassen sichdurch Studium entsprechender Prozessbeschreibungen, Befragung, Beobachtungoder Inspektion überprüfen. Bei technischen Kontrollen besteht oftmals dieMöglichkeit, „an der Konsole“ die Wirksamkeit der Kontrolle zu überprüfen.
• “Visuelle Inspektion”: Bedingt typischerweise eine visuelle Inspektion.• “Konsolprüfung”: direkte Prüftätigkeit an der Maschine durch entsprechende
Fragestellung des Fachexperten.
29Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
SAS Checklist (2)
30Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
SAS Checklist (3)
31Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
SAS Checklist (4)
32Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
SAS Checklist (5)
33Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
SAS Checklist (6)
34Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
SAS Checklist (7)
35Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
SAS Checklist (8)
Juni2007 ISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
36© Copyright SQS
Gründe für eine ISO 27001 Zertifizierung
37Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Ziele: Was soll erreicht werden
• Die Zertifizierung von Informationssicherheits-Managementsystemenbewirkt:– die systematische Umsetzung der Sicherheitspolitik,– ein unternehmensweites Risikomanagement betreffend Sicherheit,– die wirksame Überwachung und ständige Verbesserung der
Informationssicherheit,– den Einbezug der relevanten gesetzlichen und vertraglichen Grundlagen wie
z.B. das Datenschutzgesetz, die Geschäftsbücherverordnung (OR),Urheberrechte, Geheimhaltungspflichten (Arztgeheimnis, Fernmeldegeheimnis,Bankgeheimnis), Bestimmungen der Eidg. Bankenkommission (z.B. dasRundschreiben für Outsourcing), Basler Eigenkapitalvereinbarung Basel II,Banken- und Versicherungsgesetz, Entsorgungsverordnung VREG, etc.,
– die Umsetzung ganzheitlicher Methoden (nicht nur technische, auchorganisatorische),
– die Vertrauensförderung im Kontakt mit Kunden, öffentlichen Organisationensowie im E-Business Bereich.
38Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Gründe für eine ISO 27001 Zertifizierung
• Marketing-Zwecke
• Wettbewerbsvorteil
• Einhaltung von regulatorischen und vertraglichen Anforderungen
• Organisatorische Optimierung
• Verbindung mit anderen Management Systeme wie ISO 9001 undISO 20000
39Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
ISO 27001 in Switzerland
• SQS: - Alp Transit Gotthard AG- Bedag Informatik AG- innova Versicherungen AG- RTC Real Time Center AG- SRG SSR idée suisse- Swisscom IT Services
• KPMG: - Centris AG- Post Finance
• SGS: - CPG Market.com SA- Serono International SA
• BSi: - Reuters SA
• DQS: - T-Systems Schweiz AG
40Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
Web Sites
• http://www.iso27001certificates.com/
• http://www.17799.com/
• http://www.seco.admin.ch/sas/00229/00239/index.html?lang=de
• http://www.snv.ch
• http://www.sqs.ch
41Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter
ISO/IEC 27001:2005 Certification