Post on 06-Feb-2018
transcript
Software EMEA Performance Tour 2013
17.-19 Juni, Berlin
Gudula Küsters
Juni 2013
In 12 Schritten zur ISo27001
Tipps & Tricks zur ISO/IEC 27001:27005
IT unlimited 2013 Seite 3
Das ISO Rennen und wie Sie den Halt nicht verlieren
IT unlimited 2013 Seite 4
1. Projekt Ziel und Setup
2. TOP Management Awareness
3. Rollen und Verantwortlichkeiten im ISMS
4. Definition des Geltungsbereiches
5. Mitarbeiter Awareness
6. Erstellung einer SOA für den Geltungsbereich
7. GAP Analyse zur Standortbestimmung
8. Einführung Dokumentenmanagement
9. Dokumentationen
10. Notwendige Prozesseinführungen
11. Kontinuierlicher Verbesserungsprozess
12. Audits intern und extern
12 Schritte zur ISO 27001
IT unlimited 2013 Seite 5
1. Projekt Ziel und Setup
2. TOP Management Awareness
3. Rollen und Verantwortlichkeiten im ISMS
4. Definition des Geltungsbereiches
5. Mitarbeiter Awareness
6. Erstellung einer SOA für den Geltungsbereich
7. GAP Analyse zur Standortbestimmung
8. Einführung Dokumentenmanagement
9. Dokumentationen
10. Notwendige Prozesseinführungen
11. Kontinuierlicher Verbesserungsprozess
12. Audits intern und extern
12 Schritte zur ISO 27001
IT unlimited 2013 Seite 6
Die ISO/IEC 27001 ist aus dem britischen Standard BS 7799-2 hervorgegangen.
Ziel der Norm ISO/IEC 27001 ist die Anforderungen an ein Informationssicherheits-
Managementsystem (im folgenden ISMS genannt) im Rahmen eines Prozess-Ansatzes
darzustellen.
Die ISO/IEC 27001 beinhaltet Anforderungen an ein ISMS, das mittelbar zur
Informationssicherheit beiträgt.
Ziel der ISO/IEC 27001
Informationen
angemessen
wirksam
durchgängig
vor den jeweils identifizierten
Bedrohungen zu schützen
IT unlimited 2013 Seite 7
Definitionen - ISMS
ISMS
InformationsSicherheitsManagementSystem
Ein eingeführtes ISMS sichert die Umsetzung
der Anforderungen aus der Norm ISO/IEC 27001
IT unlimited 2013 Seite 8
Projekt Ziel und Setup
IT unlimited 2013 Seite 9
Projekt Ziel und Setup
Gesamtes Management
Mitarbeiter in Scope
ISMS Verantwortlicher
Projektleiter intern
Beratungsunterstützung
Auditor
Prozess Management
IT unlimited 2013 Seite 10
1. Projekt Ziel und Setup
2. TOP Management Awareness
3. Rollen und Verantwortlichkeiten im ISMS
4. Definition des Geltungsbereiches
5. Mitarbeiter Awareness
6. Erstellung einer SOA für den Geltungsbereich
7. GAP Analyse zur Standortbestimmung
8. Einführung Dokumentenmanagement
9. Dokumentationen
10. Notwendige Prozesseinführungen
11. Kontinuierlicher Verbesserungsprozess
12. Audits intern und extern
12 Schritte zur ISO 27001
IT unlimited 2013 Seite 11
TOP Management Arwareness
IT unlimited 2013 Seite 12
1. Projekt Ziel und Setup
2. TOP Management Awareness
3. Rollen und Verantwortlichkeiten im ISMS
4. Definition des Geltungsbereiches
5. Mitarbeiter Awareness
6. Erstellung einer SOA für den Geltungsbereich
7. GAP Analyse zur Standortbestimmung
8. Einführung Dokumentenmanagement
9. Dokumentationen
10. Notwendige Prozesseinführungen
11. Kontinuierlicher Verbesserungsprozess
12. Audits intern und extern
12 Schritte zur ISO 27001
IT unlimited 2013 Seite 13
Risikomanagement
Auftrag ISMS Risiken identifizieren Risiken bewerten
Risiken tragen
Risiken beseitigen
Ebene 3
Sicherheitskonzepte
Ebene 2
Risikobewertung
Verantwortliche Rolle im ISMS : Risikomanager
IT unlimited 2013 Seite 14
ISMS Security Board
Bericht des Risk Manager an das TOP Management, Risiken akzeptieren und tragen,
Maßnahme Katalog genehmigen
CISO
Chief Information Security Officer
Einhaltung, Durchführung, Umsetzung des ISMS
Prüfung und Überwachung des Maßnahme Kataloges
Informationssicherheitsbeauftragter
Ist mit definierten Tätigkeiten im Rahmen des ISMS betraut (z.B. Audits, Monitoring)
Risk Manager
Risiko Management
Bestimmt den Schutzbedarf (Risikoklassifizierung, Bedrohungsszenario, Risikobewertung,
Erstellung und Pflege des Maßnahme Kataloges)
etc. …
Mögliche Rollen in einem ISMS
IT unlimited 2013 Seite 15
1. Projekt Ziel und Setup
2. TOP Management Awareness
3. Rollen und Verantwortlichkeiten im ISMS
4. Definition des Geltungsbereiches
5. Mitarbeiter Awareness
6. Erstellung einer SOA für den Geltungsbereich
7. GAP Analyse zur Standortbestimmung
8. Einführung Dokumentenmanagement
9. Dokumentationen
10. Notwendige Prozesseinführungen
11. Kontinuierlicher Verbesserungsprozess
12. Audits intern und extern
12 Schritte zur ISO 27001
IT unlimited 2013 Seite 16
Kapitel 4 Punkt 4.2.1 fordert die Definition des Anwendungsbereiches und der Grenzen des
Informationssicherheitsmanagementsystems (ISMS), unter Berücksichtigung der
Eigenschaften des Geschäfts, der Organisation, ihres Standortes, ihrer Werte (Assets) und
ihrer Technologie, einschließlich der Details über und Rechtfertigung von jeglichen
Ausschlüssen aus dem Anwendungsbereich.
Scope – Definition des Scope eines ISMS
IT unlimited 2013 Seite 17
1. Projekt Ziel und Setup
2. TOP Management Awareness
3. Rollen und Verantwortlichkeiten im ISMS
4. Definition des Geltungsbereiches
5. Mitarbeiter Awareness
6. Erstellung einer SOA für den Geltungsbereich
7. GAP Analyse zur Standortbestimmung
8. Einführung Dokumentenmanagement
9. Dokumentationen
10. Notwendige Prozesseinführungen
11. Kontinuierlicher Verbesserungsprozess
12. Audits intern und extern
12 Schritte zur ISO 27001
IT unlimited 2013 Seite 18
Alle Mitarbeiter, die beteiligt sind an der Erbringung der definierten Services sind sogenannte
„Mitarbeiter in Scope“
Der ISMS Verantwortliche meldet alle beteiligten Mitarbeiter für einen Audit an
Jeder betroffene Mitarbeiter sollte zumindest grundlegenden Fragen zum ISMS im Rahmen
eines Auditprozesses beantworten können
Scope – Mitarbeiter in Scope
Mitarbeiter ISO 27001
Training & Coaching
IT unlimited 2013 Seite 19
1. Projekt Ziel und Setup
2. TOP Management Awareness
3. Rollen und Verantwortlichkeiten im ISMS
4. Definition des Geltungsbereiches
5. Mitarbeiter Awareness
6. Erstellung einer SOA für den Geltungsbereich
7. GAP Analyse zur Standortbestimmung
8. Einführung Dokumentenmanagement
9. Dokumentationen
10. Notwendige Prozesseinführungen
11. Kontinuierlicher Verbesserungsprozess
12. Audits intern und extern
12 Schritte zur ISO 27001
IT unlimited 2013 Seite 20
Controlls ISO/IEC 27001
A.5 Sicherheitsleitlinie
A.6 Organisation
der Informationssicherheit
A.7 Management von
organisationseigenen Werten
A.8 Personelle Sicherheit
A.9 Physische und
umgebungsbezogene Sicherheit
A.10 Betriebs- und
Kommunikationsmanagement
A.11 Zugangskontrolle
A.12 Beschaffung, Entwicklung
und Wartung von
Informationssystemen
A.13 Umgang mit
Informationssicherheitsvorfällen
A.14 Sicherstellung des Geschäftsbetriebs
(Business Continuity Management)
A.15 Einhaltung von Vorgaben
(Compliance)
Segmente
…
IT unlimited 2013 Seite 21
The statement of applicability is a document which identifies the controls chosen for your
environment, and explains how and why they are appropriate.
SOA – Statement of Applicability
Das bedeutet:
Auflistung der Controlls aus der Norm
Dokumentation der Relevanz
SOA
Leitdokument bei der Vorbereitung
…
IT unlimited 2013 Seite 22
1. Projekt Ziel und Setup
2. TOP Management Awareness
3. Rollen und Verantwortlichkeiten im ISMS
4. Definition des Geltungsbereiches
5. Mitarbeiter Awareness
6. Erstellung einer SOA für den Geltungsbereich
7. GAP Analyse zur Standortbestimmung
8. Einführung Dokumentenmanagement
9. Dokumentationen
10. Notwendige Prozesseinführungen
11. Kontinuierlicher Verbesserungsprozess
12. Audits intern und extern
12 Schritte zur ISO 27001
IT unlimited 2013 Seite 23
The statement of applicability is a document which identifies the controls chosen for your
environment, and explains how and why they are appropriate.
SOA – Statement of Applicability
Das bedeutet:
Auflistung der Controlls aus der Norm
Dokumentation der Relevanz
Dokumentation des IST Zustandes
Gap Analyse mit Handlungsempfehlungen
SOA
Leitdokument bei der Vorbereitung
…
IT unlimited 2013 Seite 24
1. Projekt Ziel und Setup
2. TOP Management Awareness
3. Rollen und Verantwortlichkeiten im ISMS
4. Definition des Geltungsbereiches
5. Mitarbeiter Awareness
6. Erstellung einer SOA für den Geltungsbereich
7. GAP Analyse zur Standortbestimmung
8. Einführung Dokumentenmanagement
9. Dokumentationen
10. Notwendige Prozesseinführungen
11. Kontinuierlicher Verbesserungsprozess
12. Audits intern und extern
12 Schritte zur ISO 27001
IT unlimited 2013 Seite 25
müssen geschützt und gelenkt werden
dokumentierte Verfahren z.B. Dokumentationsrichtlinie einführen
erstellen oder aktualisieren
prüfen
genehmigen
kontrollierte und dokumentierte Verteilung
alle diese Schritte nachvollziehbar dokumentieren
Änderungen und Überarbeitungsstatus kennzeichnen
Verfügbarkeit sicherstellen
lesbar und leicht erkennbar
Kennzeichnen gemäß Klassifizierungsrichtlinie
ordnungsgemäße Entsorgung
…
Dokumentenmanagement - Dokumente
IT unlimited 2013 Seite 26
1. Projekt Ziel und Setup
2. TOP Management Awareness
3. Rollen und Verantwortlichkeiten im ISMS
4. Definition des Geltungsbereiches
5. Mitarbeiter Awareness
6. Erstellung einer SOA für den Geltungsbereich
7. GAP Analyse zur Standortbestimmung
8. Einführung Dokumentenmanagement
9. Dokumentationen
10. Notwendige Prozesseinführungen
11. Kontinuierlicher Verbesserungsprozess
12. Audits intern und extern
12 Schritte zur ISO 27001
IT unlimited 2013 Seite 27
erstellen und Instand halten
schützen und kontrollieren
gesetzliche oder amtliche Anforderungen
und vertragliche Verpflichtungen beachten
lesbar, leicht erkennbar und wieder auffindbar
einhalten von Kennzeichnung, Aufbewahrung, Schutz, Wiederauffindbarkeit,
Aufbewahrungsfrist und Benutzung der Aufzeichnungen
nicht nur Prozessabläufe, sondern auch Nachweise über die Prozessaktivitätsdurchläufe
dokumentieren
…
Dokumentenmanagement - Aufzeichnungen
IT unlimited 2013 Seite 28
1. Projekt Ziel und Setup
2. TOP Management Awareness
3. Rollen und Verantwortlichkeiten im ISMS
4. Definition des Geltungsbereiches
5. Mitarbeiter Awareness
6. Erstellung einer SOA für den Geltungsbereich
7. GAP Analyse zur Standortbestimmun
8. Einführung Dokumentenmanagement
9. Dokumentationen
10. Notwendige Prozesseinführungen
11. Kontinuierlicher Verbesserungsprozess
12. Audits intern und extern
12 Schritte zur ISO 27001
IT unlimited 2013 Seite 29
ITSM Prozesse
Service Strategy Service Design CSI Service Operation Service Transition
IT unlimited 2013 Seite 30
1. Projekt Ziel und Setup
2. TOP Management Awareness
3. Rollen und Verantwortlichkeiten im ISMS
4. Definition des Geltungsbereiches
5. Mitarbeiter Awareness
6. Erstellung einer SOA für den Geltungsbereich
7. GAP Analyse zur Standortbestimmun
8. Einführung Dokumentenmanagement
9. Dokumentationen
10. Notwendige Prozesseinführungen
11. Kontinuierlicher Verbesserungsprozess
12. Audits intern und extern
12 Schritte zur ISO 27001
IT unlimited 2013 Seite 31
PDCA Cycle
IT unlimited 2013 Seite 32
1. Projekt Ziel und Setup
2. TOP Management Awareness
3. Rollen und Verantwortlichkeiten im ISMS
4. Definition des Geltungsbereiches
5. Mitarbeiter Awareness
6. Erstellung einer SOA für den Geltungsbereich
7. GAP Analyse zur Standortbestimmun
8. Einführung Dokumentenmanagement
9. Dokumentationen
10. Notwendige Prozesseinführungen
11. Kontinuierlicher Verbesserungsprozess
12. Audits intern und extern
12 Schritte zur ISO 27001
IT unlimited 2013 Seite 33
Umgang mit Auditoren
Gewisse Gelassenheit
Klare Vorgehensweise Messerscharfer Verstand
Der Auditor hat Recht IMMER!
Auditore
n
Wir
IT unlimited 2013 Seite 34
Der Ablauf eines Audit
Vor-Audit
Interne Vorbereitung
Anmeldung zum Audit
Aufforderung zur
Dokumentenabgabe
Dokumentenabgabe
Dokumentenprüfung
durch Auditor
Anmeldung der Auditoren
Vor-Ort Termin
Prüfung vergleichbar
der SOA
Befragungen von
Mitarbeiter in Scope
Mitteilung der
Ergebnistendenz Vor-Ort
Mitteilung des offiziellen
Ergebnisses
Bereitstellung der
Mängelliste
Anmeldung zur
Zertifikatsausstellung
Prüfung des Scopes
und Freigabe
Bei Bedarf Nachprüfung
Zertifikatsausstellung
Einführung eines ISMS
Re-Audit
* Legende= Team involviert
IT unlimited 2013 Seite 35
Wodurch entsteht Zeitstress ?
Kein gelebtes, kontinuierliches ISMS Zeitstress
Audit Vor-Audit KVP Re-Audit
SOLL
IST
Inte
nsität h
Audit Prozess im Turnus
IT unlimited 2013 Seite 36
Weiterer Austausch später gerne in der Pause …
IT unlimited 2013 Seite 37
Viel Erfolg!
Gudula Küsters
Telefon: +49 171 4778600
E-Mail: gudula.kuesters@ITunlimited.de
IT unlimited AG
Otto-Lilienthal-Straße 36
71034 Böblingen
www.ITunlimited.de