Post on 09-Apr-2018
transcript
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Informationssicherheit nach ISO 27001ein Überblick über den Zertifizierungsprozess
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
� Kurzvorstellung
� ISO 270xx – eine Normenreihe für Informationssicherheit
� Vorstellung der Norm ISO/IEC 27001:2013 – Kap. 4-10
� ISO/IEC 27001:2013 – Annex A
Was Sie erwartet…
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
AL Consult – Unternehmenslogik
Kurzvorstellung
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Unternehmenslogik ist…
… die Prozesse auf die Bedürfnisse der logischen Arbeitsabfolgen auszurichten und nicht auf die technischen Prozesse der Informationstechnologie.
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Unternehmenslogik – die Schwerpunkte
• IT- Strategieentwicklung auf der Basis von CObIT®
• Informationssicherheit (ISO 27001)
• IT Servicemanagement (ISO 20000, ITIL®)
• Prozessmanagement
• Qualitätsmanagement (ISO 9001)
• Projektmanagement nach PRINCE2®
• Workshops, Trainings
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
� Kurzvorstellung
� ISO 270xx – eine Normenreihe für Informationssicherheit
� Vorstellung der Norm ISO/IEC 27001:2013 – Kap. 4-10
� ISO/IEC 27001:2013 – Annex A
Was kommt jetzt
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Social Engineering
Mitteilungsbedürfnis Terror/Unruhe
Internetnutzung/IT
(Über)-Regulierung
Spion vs. Spion
Diebstahl & Betrug
Unwissenheit von
Mitarbeitern
Globalisierung
Internet
Wie kann man damit umgehen?
Bedrohungen für Informationen
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Online-Sicherheit herstellen
Anteil Angriffspunkte Maßnahmen
39,9 % Email-Anhänge
37,4 % Email mit schadhaften Links
16,6 % Internetzugang durch Download
3,6 % Direktinstallation
2,2 % Download durch Malware
1,9 % Fernzugriff
0,3 % Netzwerkausbreitung
54,0 % Online-Interaktion
Antivirus
Patch-Management
Online-Sicherheit – Filtern von InhaltenQuelle: Studie von Maxfocus, Juli 2015
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
ISMS nach ISO 27001Sicherheitsmanagement als kontinuierlicher Prozess
� Implementierung und Betrieb von Maßnahmen� Implementierung und Betrieb von Maßnahmen
� Verbesserung der Maßnahmen� Vorbeugen von Fehlern� Verbesserung der Maßnahmen� Vorbeugen von Fehlern
PL
AN
UN
GÜ
BE
RP
RÜ
FU
NG
BETRIEB
VERBESSERUNG
� Überwachung und Überprüfung
� Überwachung und Überprüfung� Definition von
Anwendungs-bereich und Zielen
� Risikoanalyse� Maßnahmen-
definition
� Definition von Anwendungs-bereich und Zielen
� Risikoanalyse� Maßnahmen-
definition
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Einführung in den StandardDie ISO 2700x Familie
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Einführung in den StandardVorteile der ISO/IEC 27001:2013
� Bewertung der Geschäftsprozesse in Hinblick auf Informationssicherheit
� Informationssicherheit is ein integraler Bestandteil der Geschäftsprozesse
� Kenntnis und Steuerung von Risiken / Restrisiken
� Priorität hat die Sicherheit des Geschäftsbetriebs:Business Continuity Management
� Informationsstrukturen und –prozesse werden dokumentiert
� Wachsende Sensibilisierung der Mitarbeiter zum Thema Sicherheit
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
� Wettbewerbsvorteile durch eine Zertifizierung
� Weltweit akzeptierter Standard
� Mögliche Senkung von Versicherungsprämien
� Kostensenkung durch gut geplante Prozesse
� ITIL (Information service management) referenziert auf die ISO/IEC 27001
Einführung in den StandardVorteile der ISO/IEC 27001:2013
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Entwicklung des Standards
BS 7799 Part OneFebruary 1995
BS 7799 Part TwoFebruary 1998
ISO/IEC 17799:2000
BS 7799-2:2002
ISO/IEC 17799:2005 ISO/IEC 27001:2005
ISO/IEC 27002:2007
Vorschlag Nachweis
ISO/IEC 27002:2013 ISO/IEC 27001:2013
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Haben Sie hierüber schon einmal nachgedacht?
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
� Werte� Verwundbarkeiten� Bedrohungen
� Werte� Verwundbarkeiten� Bedrohungen
Verstehe DeineWerte
Verstehe DeineWerte
� Vertraulichkeit� Integrität� Verfügbarkeit
� Vertraulichkeit� Integrität� Verfügbarkeit
Verstehe DeineRisiken
Verstehe DeineRisiken
� Reduzieren� Vermeiden� Verlagern� Akzeptieren
� Reduzieren� Vermeiden� Verlagern� Akzeptieren
Behandle DeineRisiken
Behandle DeineRisiken
von vornevon vorne
Was habe ich?Was habe ich? Was kann damit geschehen?Was kann damit geschehen? Wie gehe ich damit um?Wie gehe ich damit um?
ISMS nach ISO 27001PLAN – Risikobasierte Steuerung von icherheitsmaßnahmen
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
GeschäftsprozesseGeschäftsprozesse
ManagementManagement � Informationssicherheitspolitik (5.2, A.5)� ISMS-Organisation (5.3, A.6)� Information Asset Management (A.8)
Personal
� Personelle Sicherheit (A.7)
Personal
� Personelle Sicherheit (A.7)
� IS Risiko Management (8.2, 8.3)� Business Continuity Management (A.17)
Zugang / Zugriff
�Zugangskontrolle (A.9)
Zugang / Zugriff
�Zugangskontrolle (A.9)
Zutritt / Gebäude / Umgebung
�Physische Sicherheit (A.11)
Zutritt / Gebäude / Umgebung
�Physische Sicherheit (A.11)
Tagesgeschäft� Betrieb (A.12)� Kryptographie (A.10)� Kommunikations-
sicherheit A.13)
Tagesgeschäft� Betrieb (A.12)� Kryptographie (A.10)� Kommunikations-
sicherheit A.13)
Planung / Projekte
� Beschaffung, Entwicklung und Wartung von Systemen (A.14)
Planung / Projekte
� Beschaffung, Entwicklung und Wartung von Systemen (A.14)
� IS Incident Management (A.16)� Compliance (A.18)� Leadership (5)� Beziehungen zu Lieferanten (A.15)
ISMS nach ISO 27001:2013Gliederung
� IS-Themen
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
ISO 270xx: die Standards (1)
ISO 27000 ISMS – Übersicht und BegriffeGrundlegende Prinzipien, Konzepte, Begriffe, Definitionen für die Normenreihe ISO/IEC 27000ff.
ISO 27001 ISMS – AnforderungenISO 27002 ISMS – Leitfaden für das Management der IS
ISO 27003 ISMS – Leitfaden zur UmsetzungAnleitung zur praktischen Umsetzung und weitereInformationen zum ISMS nach ISO/IEC 27001
ISO 27004 ISMS – MessungenEmpfehlungen zur Nutzung von Sicherheitsmessungenfür ISMS incl. Kennzahlensystemen und Kontrollzielen
ISO 27005 Management der Informationssicherheits-Risiken
ISO 27006 Anforderungen an Zertifizierungsstellen für ISMSAkkreditierungsanforderungen in Ergänzung zu ISO/IEC 17021
ISO 27007 Leitfaden zur Auditierung von ISMSDurchführung von ISMS-Audits in Ergänzung zu ISO 19011
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
ISO 2700x: die Standards (2)
ISO 27008 Leitfaden zur Auditierung von ISMS-Controls
ISO 27009 Sector-specific application of ISO/IEC 27001 — Requirements
ISO 27010 IS management for inter-sector communications
ISO 27011 Leitfaden zum IS-Management in der Telekommunikation
ISO 27012 ISM guidelines for e-government services
ISO 27013 Guidance on the integrated implementation ofISO/IEC 20000-1 and ISO/IEC 27001
ISO 27014 ISMS for the service sector
ISO 27015 ISM guidelines for financial and insurance services
ISO 27016 ISM – Organizational economics
ISO 27017 Code of practice based on ISO/IEC 27002 for cloud services
ISO 27018 Code of practice for protection of Personally IdentifiableInformation (PII) in public clouds acting as PII processors
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
ISO 2700x: die Standards (3)
ISO 27019 ISM guidelines based on ISO/IEC 27002 for process control systems specific to the energy industry
ISO 27021 Competence requirements for ISM professionals
ISO 27023 Mapping the revised editions of ISO/IEC 27001 and 27002
ISO 27031 ICT Readiness for Business Continuity
ISO 27032 Guidelines for Cybersecurity
ISO 27033 Guidelines for Network Security
ISO 27034 Guidelines for Application Security
ISO 27035 Information security incident management
ISO 27036 Guidelines for security of outsourcing
ISO 27037 Guidelines for identification, collection and/oracquisition and preservation of digital evidence
ISO 27038 Specification for digital redaction
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
ISO 2700x: die Standards (4)
ISO 27039 Selection, deployment and operation of intrusion detection and prevention systems (IDPS)
ISO 27040 Storage security
ISO 27041 Guidance on assuring suitability and adequacy ofincident investigative methods
ISO 27042 Guidelines for the analysis and interpretation ofdigital evidence
ISO 27043 Incident investigation principles and processes
ISO 27044 Guidelines for Security Information and Event Management
ISO 27050 Electronic discovery
ISO 27799 Health informatics — Information security management inhealth using ISO/IEC 27002
…weitere Informationen z.B. unter www.iso27001security.com
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
� Kurzvorstellung
� ISO 270xx – eine Normenreihe für Informationssicherheit
� Vorstellung der Norm ISO/IEC 27001:2013 – Kap. 4-10
� ISO/IEC 27001:2013 – Annex A
Was kommt jetzt
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
ISO 27001:2013
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Struktur der ISO 27001:2013
0. Einleitung
1. Anwendungsbereich
2. Normative Verweise
3. Begriffe
4. Kontext der Organisation
5. Führung
6. Planung
7. Unterstützung
8. Einsatz (Operation)
9. Leistungsauswertung
10. Verbesserung
Anhang A (normativ): Referenz-Maßnahmenziele und
-Maßnahmen
Grundlagen
Management-rahmen
Katalog
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Aufbau des Standards Kontinuierlicher Verbesserungsprozess
Die neuen Abschnitte des Standards lassen sich auch weiterhin den PDCA-Phasen zuordnen, wie die folgende Tabelle illustriert:
Phase Abschnitt in ISO/IEC 27001:2013
PLAN 4. Kontext der Organisation6. Planung des ISMS
DO 7. Support des ISMS8. Betrieb des ISMS
CHECK 9. Leistungsbewertung
ACT 10. Verbesserung
5. F
ühru
ng
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Aufbau des Standards Übersicht des Inhalts
Verbindlicher Teil (Mandatory part)
� Definitionen (3)
� Kontext der Organisation (4)
- Verständnis der Organisation und ihres (ISMS-)Kontextes (4.1)
- Verständnis der Bedürfnisse und Erwartungen von „interessierten
Parteien“ (bzgl. ISMS) (4.2)
- Festlegung des ISMS-Geltungsbereichs (4.3)
- Informationssicherheits-Management System (ISMS) (4.4)
� Führung und Kommunikation (5)
- Führung und Engagement (5.1)
- Leitlinie (5.2)
- Organisatorische Aufgaben, Zuständigkeiten und Befugnisse (5.3)
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Aufbau des Standards Übersicht des Inhalts
Verbindlicher Teil (Mandatory part)
� Planung (6)
- Maßnahmen zum Umgang mit Risiken und Chancen (6.1)
- IS-Ziele und Pläne für deren Erreichung (6.2)
� Unterstützung (7)
- Ressourcen (7.1)
- Kompetenz (7.2)
- Bewusstsein (7.3)
- Kommunikation (7.4)
- Dokumentierte Informationen (7.5)
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Aufbau des Standards Übersicht des Inhalts
Verbindlicher Teil (Mandatory part)
� Einsatz (8)
- Einsatzplanung und –kontrolle (8.1)
- IS-Risikoeinschätzung (8.2)
- IS-Risikobehandlung (8.3)
� Leistungsauswertung (9)
- Überwachung, Messung, Analyse und Auswertung (9.1)
- Internes Audit (9.2)
- Prüfung durch die Leitung (Management Review) (9.3)
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Aufbau des Standards Übersicht des Inhalts
Verbindlicher Teil (Mandatory part)
� Verbesserung (10)
- Abweichung und Korrekturmaßnahmen (10.1)
- Laufende Verbesserung (10.2)
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Dokumentierte Informationen
Kapitel Information
4.3 ISMS-Geltunsbereich
5.2 IS-Leitlinie
6.1.2 Prozess zur IS-Risikoeinschätzung
6.1.3 Prozess zur IS-Risikobehandlung
6.1.3 d) Erklärung zur Anwendbarkeit
6.2 IS-Ziele
7.2 d) Kompetenznachweise
7.5.1 b) Relevante Informationen zur Wirksamkeit des ISMS
8.1 Einsatzplanung und Kontrolle der Umsetzung
8.2 Ergebnisse der IS-Risikoeinschätzung
8.3 Ergebnisse der IS-Risikobehandlung
9.1 Nachweis der Überwachungs- und Messergebnisse
9.2 g) Nachweis des Auditprogramms und der Audit-Ergebnisse
9.3 Nachweis der Ergebnisse des Management Reviews
10.1 f) Nachweis über die Ursache der Abweichungen und ergriffene Folgemaßnahmen
10.1 g) Nachweis über die Ergebnisse von Korrekturmaßnahmen
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
� Kurzvorstellung
� ISO 270xx – eine Normenreihe für Informationssicherheit
� Vorstellung der Norm ISO/IEC 27001:2013 – Kap. 4-10
� ISO/IEC 27001:2013 – Annex A
Was kommt jetzt
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
ISO 27001:2013 – Annex A
14 Themenbereiche (Clauses) mit
35 Sicherheitszielen (Reference control objectives) und
114 Maßnahmen (Reference controls)
Korrespondierende Aktualisierung der ISO 27002
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Annex A - Themenbereiche
A.5 Sicherheitsleitlinien
A.6 Organisation der Informationssicherheit
A.7 Personelle Sicherheit
A.8 Management von organisationseigenen Werten
A.9 Zugangs- und Zugriffskontrolle
A.10 Kryptographie
A.11 Physische und umgebungsbezogene Sicherheit
A.12 Betriebssicherheit
A.13 Kommunikationssicherheit
A.14 Beschaffung, Entwicklung und Instandhaltung von Systemen
A.15 Lieferantenbeziehungen
A.16 Management von Informationssicherheitsvorfällen
A.17 IS-Aspekte des Business Continuity Managements
A.18 Richtlinienkonformität (Compliance)
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Schaffung der ISMS-Dokumentation
Ebene 2
Prozesse
Prozeduren, Zuordnung
Ebene 3
konkrete Handlungs-
Anweisungen:
Arbeitsanweisungen, Checklisten, Formulare
Ebene 4
Nachweise:
Aufzeichnungen,
Records
Ebene 1
Management Rahmenwerk,
Policies bezogen auf ISO 27001 Clauses 4
Ebene der Vorgaben
„Security Manuals“
Policy, Scope, SoA,
Risk Management
Policy, Scope, SoA,
Risk Management
Prozessbeschreibungen zur Umsetzung – wer, was wann, wo – Kap. 04 bis 10
Prozessbeschreibungen zur Umsetzung – wer, was wann, wo – Kap. 04 bis 10
Beschreibung, wie Aktivitäten und Aufgaben abgearbeitet werden
Beschreibung, wie Aktivitäten und Aufgaben abgearbeitet werden
Aufzeichnungen: objektive revisionssichere Nachweise, dass die Vorgaben des ISMS erfüllt
werden
Aufzeichnungen: objektive revisionssichere Nachweise, dass die Vorgaben des ISMS erfüllt
werden
ISMS nach ISO 27001Einführung eines ISMS – Konzeption / Dokumentation 3
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Ihr Weg zu Ihrem ISO/IEC 27001 Zertifikat
Scopefestlegen Schutz-
bedarffeststellen und Risikenbewerten
SoA festlegen und Controls auswählen bzw. Maßnahmen festlegen
Controls implementieren, Management Review und interne Audits durchführen
Zertifizierung durchführen
Bestands-aufnahme
Implementierung (evtl. mit Berater)
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Vorteil ErläuterungAuswirkungen erkennen Bei einer Bestandsaufnahme werden die einzelnen Kapitel der
Norm mit den Gegebenheiten im Unternehmen verglichen.
Geltungsbereich Anhand der Bestandsaufnahme kann der Geltungsbereich für die anstehende Zertifizierung ggf. eingegrenzt werden. Somit können die Kosten für die Zertifizierung reduziert werden.
Stärken und Schwächen erkennen
Nach der Bestandsaufnahme kennt das Unternehmen seine Stärken und Schwächen. So können Ressourcen besser eingesetzt und somit Kosten reduziert und die Dauer der Vorbereitung verringert werden.
Mitarbeiter einbinden Mitarbeiter und Führungskräfte kennen die Herausforderungen und können somit besser motiviert und eingebunden werden.
Dokumentation, Technik und Infrastruktur
Mit der Bestandsaufnahme werden Schwächen in der Dokumentation und der technischen Infrastruktur deutlich, so dass genügend Zeit bleibt, Maßnahmen zu treffen.
Vorteile einer vorgelagerten Bestandsaufnahme
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
• Nachweis der Sicherheit gegenüber Dritten
(Gesetzgeber, Mitarbeitern, Lieferanten, Kunden und
Partner)
• Wettbewerbsvorteil: „Dokumentierte Qualität“ durch
eine unabhängige Instanz
• Kostenreduktion durch transparente und optimierte
Strukturen
• Sicherheit als integraler Bestandteil der
Geschäftsprozesse
• Kenntnis und Kontrolle der IT-Risiken / -Restrisiken
• Dokumentation von Strukturen und Prozessen
• Absicherung des CIO & IT-Sicherheitsverantwortlichen
Zertifizierung nach ISO 27001Nutzen
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
• Gesteigertes Sicherheitsbewusstsein der Mitarbeiter
• Beurteilen der Organisationsprozesse nach
Sicherheitsgesichtspunkten
• Vorrang der Sicherheit des Geschäftsbetriebes:
Business Continuity Management
• Weltweit anerkannter Standard
• Mögliche Senkung von Versicherungsprämien
• Referenzierung des IT-Prozess-Management-
Standards „ITIL“ auf ISO 27001
• Nahtloses Einpassen von ISO 27001 in evtl.
bestehende Managementsysteme, wie z.B. ISO 9001
Zertifizierung nach ISO 27001weiterer Nutzen
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
AL Consult - Unternehmenslogik
… weil Ihr Unternehmen es wert ist!
Andreas LentwojtBetriebswirt
AL Consult - UnternehmenslogikAlfred-Jessen-Weg 10D-22946 Trittau bei Hamburg
Tel +49 4154-82972Mobil +49 174-931 6269Mail A.Lentwojt@unternehmenslogik.dewww.unternehmenslogik.de
Auditor ISO/IEC 27001Auditor ISO/IEC 20000Auditor DIN EN ISO 9001
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Fragen?
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
© 2015, AL Consult - Unternehmenslogik. Alle Rechte vorbehalten.
Alle Angaben ohne Gewähr. Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch AL Consult - Unternehmenslogik nicht gestattet.
In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden.
AL Consult - Unternehmenslogik solutions.hamburg, 11.09.2015
Exkurs: ISO 31000