isms - der weg zur iso27001-zertifizierung• die sas checklist • gründe für eine iso 27001...

Juni2007 ISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter

1© Copyright SQS

ISMS - der Weg zurISO27001-Zertifizierung

Erwin T. PeterLeitender Auditor

Schweizerische Vereinigung für Qualitäts-und Management-Systeme (SQS)CH-3052 Zollikofen

[email protected]

ISACA After Hours Seminar 26.06.2007

2Juni2007 © Copyright SQSISACA After Hours Seminar – ISMS - der Weg zur ISO27001-Zertifizierung – Erwin T. Peter

Inhalt der Präsentation

• SQS-Profil

• Informationssicherheits-Managementsystem ISMS: Eine Einführung

• Weg zum Zertifikat und zur Aufrechterhaltung

• Die SAS Checklist

• Gründe für eine ISO 27001 Zertifizierung


SQS-Profil 2. Quartal 2007

• Gegründet 3. Juni 1983

• Trägerschaft 56 Mitglieder; hauptsächlich SchweizerischeWirtschaftsverbände, Bundesstellen, …

• Mitarbeitende 142 festangestellte Mitarbeitende253 freie Mitarbeitende weltweit

• Zertifikatsinhaber 8‘527 Unternehmungen und Organisationenwovon 2‘496 ausserhalb der Schweiz

Mitgliedschaft International Certification Networkbestehend aus 37 Partnerorganisationen,die zusammen rund einen Drittel allerweltweit gültigen Zertifikate erteilt haben

• weitere Informationen www.sqs.ch


4© Copyright SQS

Informationssicherheits-Managementsystem ISMS:

Eine Einführung


5© Copyright SQS

What is Information?

“Information is an asset which, like other important businessassets, is essential to an organization’s business and

consequently needs to be suitably protected.”

ISO/IEC 27002:2005


Informationssicherheit: Definition

• Angemessenes und dauerndes Gewährleisten von:

– Verfügbarkeit,

– Vertraulichkeit,

– Integrität.

• Schutz sämtlicher Informationen ungeachtet der:

– Art ihrer Darstellung,

– Art ihrer Speicherung.


Information Lifecycle


Keep in Mind:

Level of protection

Cos

t

Costs ofprotectionmeasures

Risk Costs

Sum


Management Systems

• ISO 9001 (QMS), ISO 14001 (EMS), ISO/IEC 27001 (ISMS),ISO/IEC 20000-1 (IT Service Management)

• Dokumentiertes System

• Übernahme des PDCA-Modells (Deming cycle)

• Fokussierung auf Management Prozesse, Verfahren und Kontrollen

• ständige Verbesserungen

• Möglichkeit der Zertifizierung


Was ist ein Information Security Management System?

Ein Information Security Management System (ISMS) ist einsystematischer Ansatz sensitive Unternehmensinformationen so zuverwalten, dass sie sicher bleiben.

Es umfasst Menschen, Prozesse und IT Systeme.


Merkmale des ISMS nach ISO/IEC 27001:2005

• Ganzheitlicher, präventiver Ansatz, lässt sich somit nahtlos in andereSysteme integrieren,

• prozessorientiertes, zertifizierungsfähiges Managementsystem,

• Risikomanagement als Motor des ISMS,

• unabhängig bewertbar auf Basis eines international bekannten Standards,

• neutraler Nachweis mit Zertifikat.

• Kompatibilität mit anderen Management Systemen (ISO 9001, ISO 14001,ISO/IEC 20000-1, …)


ISMS – Hauptanforderungen

• Dokumentationserfordernisse und Steuerung von Dokumenten undAufzeichnungen, einschliesslich: ISMS Richtlinien, ISMS Bereich ,Verfahren und Prozesse, Risikobeurteilungsmethodologie,Anwendbarkeitserklärung (bezüglich Anhang A)

• Managementverantwortungen: Verpflichtung, Bereitstellung vonRessourcen, Management Reviews

• Management Reviews und interne Audits in geplanten Intervallen


ISO 9001:2000

Modell eines prozessorientierten Qualitätsmanagement-Systems

Ständige Verbesserung des Qualitätsmanagement-Systems

Verantwortung derLeitung

Ressourcen-Management

Messung, Analyse,Verbesserung

FORDERUNGEN

K

U

N

D

E

K

U

N

D

EInput Produkt/

DienstleistungOutputProdukt-/

Dienstleistungs-Realisierung

ZUFRIEDENHEIT


Process approach


PDCA Modell für die ISMS Prozesse

Plan (errichten des ISMS) Einführen von ISMS Richtlinien, Ziele, Prozesse und Verfahren,die für die Steuerung der Risiken und für die Verbesserung derInformationssicherheit relevant sind.

Do (umsetzen undanwenden des ISMS)

Umsetzen und Anwenden der ISMS Richtlinien, Kontrollen,Prozesse und Verfahren.

Check (überwachen undüberprüfen des ISMS)

Beurteilen und, wo anwendbar, Messen der Prozessleistungenbezüglich der ISMS Richtlinien, der Ziele und den praktischenErfahrungen. Die Ergebnisse werden rapportiert.

Act (aufrechterhalten undverbessern des ISMS)

Umsetzen von fehlerbehebenden und präventiven Massnahmenals Resultat aus den internen Audits, den Management Reviewsoder anderen Quellen mit dem Ziel das ISMS kontinuierlich zuverbessern.


ISO/IEC 27001: ISMS Highlights

Klärt und verbessert vorhandenen PDCA Prozessanforderungen– ISMS Geltungsbereich (inkl. Details & Begründung der Ausschlüsse)– Ansatz zur Risikobeurteilung (um vergleichbare und reproduzierbare

Ergebnisse zu produzieren)– Auswahl der Kontrollen (Kriterien um Risiken zu akzeptieren)– Anwendbarkeitserklärung (Statement of applicability)– Risikoüberprüfung– Managementverpflichtung (Commitment)– Interne ISMS Audits– Ergebnisse der Wirksamkeit und Messungen– Aktualisierte Risikobehandlungspläne, Verfahren und Kontrollen


Contents of ISO/IEC 27001:2005

0. Introduction and Process approach1. Scope2. Normative references3. Terms and definitions4. Information security management

system (ISMS)5. Management responsibility6. Internal ISMS audits7. Management review8. ISMS improvement

A Control objectives and controlsA.5 Security policyA.6 Organization of information securityA.7 Asset managementA.8 Human resources securityA.9 Physical and environmental securityA.10 Communications and operations

managementA.11 Access controlA.12 Information systems acquisition,

development and maintenanceA.13 Information security incident

managementA.14 Business continuity managementA.15 Compliance


Informationssicherheits-Managementsystem (ISMS)

Informationssicherheits-

Managementsystem

Dokumentation der Sicherheits- politik und Prozesse

Anwendungsbereich desISMS definieren

Risiko- analyse

Sicherheitsziele und Massnahmen bestimmen

Erklärung zur Anwendbarkeit

W eitere relevante Dokumente und Aufzeichnungen


Obligatorische Bestandteile eines ISMS (1)

• Dokument zur Sicher- heitspolitik• Prozesse

Grenzenhinsichtlich Merkmale Standorte Werte Technologie

Informationswerte

Dokumentation der Sicherheits- politik und Prozesse

Anwendungsbereich des ISMS definieren



Bedrohungen Schwachstellen Auswirkungen

Abschnitt 4 von ISO/IEC 27001:2005 Zusätzliche, nicht in der Norm enthaltene Massnahmen

Vorgehensweise der Organisation Erforderlicher Sicher- heitsgrad

Ausgewählte Sicherheitsziele Begründung (u.A. der Aus- schluss von Massnahmen gemäss ISO/IEC 27001:2005)

Risiko-management

Risiko- analyse

Sicherheitsziele und Massnahmen bestimmen

Erklärung zur Anwendbarkeit



Gesetzliche Vorlagen Vertragliche Verein- barungen Auflagen von Kunden etc.

Weitere relevante Dokumente und Aufzeichnungen


22© Copyright SQS

Weg zum Zertifikat und zur Aufrechterhaltung


SQS-Zertifizierungsablauf

fakultativ, aber empfehlenswert

Aufrechterhaltungs-audit

Wiederhol-audit

Zertifikats-erteilung

OrganisatorischesVorgespräch

Zertifizierungs-Audit

Zertifikats-erteilung

Vorgespräche

OrganisatorischesVorgespräch

Voraudit

Bericht

Akquisitionsgespräch/Anmeldung


Voraudit (fakultativ)

• Ein Voraudit kann fakultativ durchgeführt werden.

• Ein Voraudit dient:

– der Sicherstellung der Zertifizierungsreife,

– der Erkennung und Behebung von noch vorhandenenSchwachstellen,

– der besseren Vorbereitung für die Mitarbeitenden,

– der Sicherstellung einer reibungsloseren Zertifizierung.


Organisatorisches Vorgespräch (obligatorisch)

Hauptziel: Feststellung der Zertifizierungsreife und Feststellung derbenötigten Auditorenkompetenz.

1. Die Begutachtung– Der Vollständigkeit und Zweckmässigkeit der ISMS-Dokumentation,

– Der identifizierten Risiken aus dem Bereich der Informationssicherheit,

– Der Anwendbarkeitserklärung des ISMS.

2. Die Beurteilung der Zertifizierungsreife und des Umfangs deszertifizierten Bereiches.

3. Die Erstellung des Auditprogrammes auf der Basis des Risiko-ansatzes der Unternehmung.


Zertifizierungsaudit (obligatorisch)

• Das Zertifizierungsaudit erfolgt nach dem gleichen Vorgehen wie beieiner normalen ISO 9001:2000-Zertifizierung. Die Auditzeit wird jenach Komplexität der Unternehmung mit Faktor 1.5 bis 2 berechnet.

• Für eine optimale Vorbereitung werden alle relevanten Dokumenteder Unternehmung benötigt, sicher aber Managementsystem,IS-Politik, IS-Konzept.

• Hilfsmittel zum Audit sind die Checkliste der SQS ISO/IEC27001:2005 und das Auditprogramm.

• Auditbericht / Antragsstellung / Zertifikatdruck.• Aufrechterhaltung über ein jährliches Aufrechterhaltungsaudit und

dreijährliche Wiederholaudits.


27© Copyright SQS

Die SAS Checklist


SAS Checklist (1)

Erläuterungen zum Dokument:• “Statement of applicability”: Hinweis, dass das verlangte Verfahren typischerweise

in vielen Unternehmen nicht anwendbar ist, und der Auditor daher besonderssorgfältig die Anwendbarkeit abklären muss.

• “organisatorische/technische Kontrolle”: Organisatorische Kontrollen lassen sichdurch Studium entsprechender Prozessbeschreibungen, Befragung, Beobachtungoder Inspektion überprüfen. Bei technischen Kontrollen besteht oftmals dieMöglichkeit, „an der Konsole“ die Wirksamkeit der Kontrolle zu überprüfen.

• “Visuelle Inspektion”: Bedingt typischerweise eine visuelle Inspektion.• “Konsolprüfung”: direkte Prüftätigkeit an der Maschine durch entsprechende

Fragestellung des Fachexperten.


SAS Checklist (2)


SAS Checklist (3)


SAS Checklist (4)


SAS Checklist (5)


SAS Checklist (6)


SAS Checklist (7)


Ziele: Was soll erreicht werden

• Die Zertifizierung von Informationssicherheits-Managementsystemenbewirkt:– die systematische Umsetzung der Sicherheitspolitik,– ein unternehmensweites Risikomanagement betreffend Sicherheit,– die wirksame Überwachung und ständige Verbesserung der

Informationssicherheit,– den Einbezug der relevanten gesetzlichen und vertraglichen Grundlagen wie

z.B. das Datenschutzgesetz, die Geschäftsbücherverordnung (OR),Urheberrechte, Geheimhaltungspflichten (Arztgeheimnis, Fernmeldegeheimnis,Bankgeheimnis), Bestimmungen der Eidg. Bankenkommission (z.B. dasRundschreiben für Outsourcing), Basler Eigenkapitalvereinbarung Basel II,Banken- und Versicherungsgesetz, Entsorgungsverordnung VREG, etc.,

– die Umsetzung ganzheitlicher Methoden (nicht nur technische, auchorganisatorische),

– die Vertrauensförderung im Kontakt mit Kunden, öffentlichen Organisationensowie im E-Business Bereich.


Gründe für eine ISO 27001 Zertifizierung

• Marketing-Zwecke

• Wettbewerbsvorteil

• Einhaltung von regulatorischen und vertraglichen Anforderungen

• Organisatorische Optimierung

• Verbindung mit anderen Management Systeme wie ISO 9001 undISO 20000


ISO 27001 in Switzerland

• SQS: - Alp Transit Gotthard AG- Bedag Informatik AG- innova Versicherungen AG- RTC Real Time Center AG- SRG SSR idée suisse- Swisscom IT Services

• KPMG: - Centris AG- Post Finance

• SGS: - CPG Market.com SA- Serono International SA

• BSi: - Reuters SA

• DQS: - T-Systems Schweiz AG


Web Sites

• http://www.iso27001certificates.com/

• http://www.17799.com/

• http://www.seco.admin.ch/sas/00229/00239/index.html?lang=de

• http://www.snv.ch

• http://www.sqs.ch


ISO/IEC 27001:2005 Certification

isms - der weg zur iso27001-zertifizierung• die sas checklist • gründe für eine iso 27001...

Documents