ISO/IEC 27000 Normenreihe - Security Forum 2018 · 1/10/2013 · ISO/IEC 27001:2013 Akkreditiert und ... Mapping zu 9001 und 14001) ... ISO/IEC 27001:2005 vom 1. Oktober 2013 (englisch)

www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 1/30

ISO/IEC 27000 Normenreihe –Neue Versionen und ISMS-Zertifizierung in der Praxis(Wolfgang Resch, OCG)


Gemeinnütziger Verein zur Förderung der IT in Österreich(Slogan: IT-Kompetenzen fördern und zertifizieren!)

OCG-Gründung: 1975 (u.a. Prof. Heinz Zemanek)Mitglieder: Personen, Institutionen, Firmen (dz. >1.500)Arbeitskreis IT-Sicherheit: seit 1993 (Leitung Prof. Schaumüller-Bichl)weitere AKs z.B.: IT-Governance, Forum Privacy, Forum e|Government, Forum eBusinessVeranstaltungen: OCG Horizonte, OCG Impulse, Talk am Campus,IT-Konferenzen und Workshops, VorträgePersonenzertifizierungen: ECDL (seit 1997 >500.000 Teilnehmer)seit 2012 neues Modul: ECDL IT-SecurityPublikationen: Zeitschriften, VerlagInternet: Websites, Blog, Facebook, Flickr, Xingdz. ca. 30 MA und 2,5 Mio. € Umsatz/J.

Über die


OCG als ISMS-ZertifizierungsstelleAkkreditierung nach ISO/IEC 17021 als Zertifizierungsstellefür ISO/IEC 27001 Zertifizierungen:

Projektbeginn: 2010

Officeaudit BMWFJ 2012 beendet

Pilotkunde Anfang 2013Akkreditierungsbescheid desBMWFJ: Mitte 2013

www.ocgcert.comSlogan: „Informationssicherheitfördern und zertifizieren“

BMWFJ 2012 beendet

http://www.ocgcert.com/


Komitees der ZertifizierungsstelleZertifizierungskomitee:

o. Univ.Prof. Dr. Dimitris KARAGIANNIS, Universität Wien

FH Prof. Univ.Doz. DI Dr. Ingrid SCHAUMÜLLER-BICHL, FH Hagenberg

ZT DI Dr. Wolfgang PRENTNER, ZT Prentner IT GmbH

Mag. Thomas GERETSCHLÄGER, OCG

Wolfgang RESCH, OCG

Unabhängigkeitskomitee:a.o. Univ.Prof. Dr. Gerald FUTSCHEK, TU Wien

KommR Hans-Jürgen POLLIRER, WKO/Secur-Data

DI Peter REICHEL, OVE

Mag. Michael WIESMÜLLER, BMVIT


W. Reschseit 1992 in der OCG in Wien angestelltlangjährige Betreuung OCG-Technik (zeitweise Sysadmin und Webmin) und Finanzen/Controllingseit >15 Jahren Beschäftigung mit e-Government und elektronischen SignaturenZRO der a-Trust (seit 2000 Ausgabe/Registrierungsstelle für Bürgerkarten)Mitglied im AK E-Governmentab 2009 Projektmitarbeit „Zertifizierungsstelle ISO 27001“intensive Beschäftigung mit Thema IT-Sicherheit und ISMSISO/IEC 27001 Lead-Auditor Kurs und Zertifikat (2012)Mitglied des Zertifizierungskomiteesseit Mitte 2013 Administrative Leitung der Zertifizierungsstelle innerhalb der OCG


AkkreditierungsstrukturAkkreditierung der ZertifizierungsstelleUm Zertifizierungen von Managementsystemen durchführen zu können benötigt die zertifizierende Organisation (Zertifizierungsstelle) eine Akkreditierung durch die nationale Akkreditierungsstelle

Akkreditierungsstelle (in Österreich die Akkreditierung Austria im BMWFW)

Zertifizierungsstelle

Kunden

Zertifizierungsstelle(OCG, CIS, UKAS)(OCG, CIS, UKAS)

AuditorAuditorAuditor

Kunde Kunde Kunde

Akkreditierungsstelle(Akkreditrung Austria im

Bundesministerium für Wissenschaft, Forschung und Wirtschaft)

Akkreditierungsstruktur Normen

ISO/IEC 27001:2013

ISO/IEC 17021:2011Akkreditiert und überwacht nach

Auditiert, zertifiziert und überwacht nach

Betreiben ISMS, beauftragen Zertifizierung, werden auditiert, zertifiziert und überwacht ISO/IEC 27002:2013

ISO/IEC 27006:2011Richtlinien und Leitlinien für die Stelle


Akkreditierungsanforderungen an ZertifizierungsstellenDie Akkreditierungsstelle überwacht die Einhaltung der ISO/IEC 17021:2011 durch die akkreditierten Zertifizierungsstellen (Officeaudits in der Zertifizierungsstelle, begleitete Audits bei Kunden, Jahresberichte)

Wichtige Aspekte für Zertifizierungsstellen Organisationsstruktur der Stelle Kompetenz (Personal, Fachliches Wissen, Normenkenntnis, Auditerfahrung, Weiterbildung) Unparteilichkeit (u.a. Beratungsverbot, wirtschaftliche und Personelle Unabhängigkeit!) Ressourcen Managementsystem für den Zertifizierungsprozess Dokumentation, Transparenz, Offenheit

Maßnahmen daraus u.a. Ausbildung von Personal Normenbeobachtung Know-how der Stelle bewahren und ausbauen Managementsystem, Dokumente und Aufzeichnungen pflegen und verbessern Vertraulichkeit, Objektivität und Offenheit der Stelle sicherstellen Kommunikation mit Kunden bzw. mögliche betroffene Kreise (Interessensvertretungen, Behörden, Firmen, Universitäten)

Akkreditierungsanforderungen


ISO 27000 NormenreiheWerdegang:• 1992-1999: BS 7799 (code of practice f. Informationssicherheit)• 1999: BS 7799-1 ISO/IEC 17799:2000 ISO/IEC 27002:2005• 1998: BS 7799-2 (Spezifikationen für ein ISMS) BS 7799-2:2002

(hier taucht erstmals PDCA auf!)• 2005: ISO/IEC 27001:2005

Erste Version aus 2005 vom Joint Technical Committee (ISO/IEC JTC 1, Information Technology, Subcommittee SC 27, IT Security techniques)

Überarbeitung in den letzten Jahren und am 1.10.2013 Neuausgabe der ISO/IEC 27001:2013 (auf englisch), Deutsche Übersetzung in Arbeit, Veröffentlichung ca. März/April 2014

Subcommittee


ISO/IEC 27001Kern der ISO/IEC 27001:

Risiko basiertes Management Tool um IS-Risiken zuverwalten/behandlen (ist Management-Norm keine rein technische Norm!)Ständige Verbesserungsprozess institutionalisieren um Herausforderungen sich ändernder Bedrohungen gerecht zuwerdenRahmen für Audits und Zertifizierung eines ISMS durch Dritte

ISMS eingeführtadequat für Branche, Größe, Stand der Technik und gegenüberKunden und ShareholdernBeweis dass Governance und Risk Management effektiv sind

Zertifizierung


Was ist neu?Harmonisierung mit Anhang SL der ISO/IEC DirektivenDefinitionen (Pkt.3) wandern in ISO/IEC 27000Norm ist schlanker/dünner gewordenAnpassungen an neue technische Entwicklungen:6.1 Maßnahmen zum Umgang mit Risiken und Chancen jetzt Pkt. 4-10 (früher 4-8)Annex A: bleibt normativ (jetzt A5-A18 gg. früher A5-A15); Zahl der Kontrollen von 133 114 gesunkenAnnex B (PDCA-Modell; war normativ) u. Annex C (informatives Mapping zu 9001 und 14001) wurden beide gestrichen!


HarmonisierungBesseres Risikomanagement durch vergleichbare Strukturen in den Normen (Anhang SL)

Funktionell: Qualität (9001), Umwelt (14001), Business-Continuity (22301), Informationssicherheit (27001), Sektorspezifisch: Finanzen (27012?), IT-Services (20000), Telekoms (27011), Energie (50001), Gesundheit (27799), Manufacturing (27013?)

das zeigt sich im Wording und in der Struktursoll Normen vergleichbarer, übersichtlicher machenKombiaudits erleichtern (z.B.: 20000/27001)


ÜbergangsfristenISO/IEC 27001:2005 vom 1. Oktober 2013 (englisch)

Resolution 2013-13 der IAF:ab dem 1. Oktober 2014, nur noch Zertifizierungen nach ISO/IEC 27001:2013 Bis dahin müssen die Zertifizierungsstellen für die neue Norm akkreditiert sein- ab 1. Oktober 2015, verlieren alle Zertifikatenach ISO/IEC 27001:2005 ihre Gültigkeit- d.h. spätestens beim Überwachungs- bzw. Rezertifizierungsaudit zwischen 10/2014 und 10/2015 muss Umstellung auf neue Normversion erfolgen (inkl. Neuausstellung d. Zertifikates)!


ISO/IEC 27001:2013seit 1.10.2013: ISO/IEC 27001:2013 (Norm auf Englisch)

2. Draft deutsche Ausgabe 02/2014

endgültige deutsche Version voraussichtlich 04/2014

Mapping der Normenpunkte alt:neu z.B. bei BSI od. ISO

http://www.bsigroup.com/en-GB/iso-27001-information-security/ISOIEC-27001-Revision/

http://www.jtc1sc27.din.de/sbe/wg1sd3


ZertifizierungsprojekteÜblicher/möglicher Ablauf eines Zertifizierungsprojektes bei Kunden

Systemgrenzen (Scopeing)Werte identifizierenRisikoanalyse und Risikobehandlung

Checklisten und KontrollenPrä-Audit (optional)Ergebnisse evaluieren und Maßnehmen umsetzen Zertifizierungsreife

ProjektplanungManagement-entscheidungRessourcen-bereitstellung (Personal, finanzielle Mittel, Zeitressourcen)

AnalysephaseProjektbeginn

Dokumetation u.ISMS-Einführung Reifegrad bestimmen


Prozesse vor dem Audit

Branche, Standorte, Scope, IT-ServicesAuditoren und Termine koordinierenAuditplan mit dem Kunden abstimmen

Vertragsabschlusszw. Kundenund Stelle

Auditorenauswahlund Auditplanung

Zertifizierungsantrag prüfenMachbarkeit prüfenUnabhängigkeit prüfenAuditzeiten errechnenAngebot erstellen

Zertifizierungsantragtrifft ein/wird geprüft

Aufwand ermittelnAuftrag erteilenZertifizierungsreife evaluieren (event. auch erst nach dem Vertragsabschluss)Verbesserungen umsetzen

Antragsformular bearbeitenZertifizierungsantrag stellenzusätzliche Informationen nachreichen

Zertifizierungsantragan Stelle

Zertifizierungsstellensuchen (Websites, Prospekte, ...)Interessens-bekundung abgebenErhebungsformularErstgespräch

optionales Pre-Audit durch Stelle od. Berater

Informationsphasedes Kunden

Formale Prozesse zw. Kunden und Zertifizierungsstelle vor dem 1. Audit


Überblick ZertifizierungszyklusDer Zertifizierungszyklus im Überblick (über 3 Jahre)

Stage IDokumenten Audit

Stage IICompliance/Implementation Audit

Überwachungs-Audit I

ÜA II ÜA III(meist gibt es nur2 ÜAs)

RezertifizierungsAudit (beginnt wieder oben aber oft ohne Stage I, wieder gefolgt von ÜA I u. ÜA II)

2-4 Wochen(max. 6 Mo.) 4 Wochen

Zertifizierungsentscheidungund Zertifikatsausstellung

nach 3 Jahren

Audit Report Stage I+ Audit Maßnahmenbericht

ÜA Report I+ Audit Maßnahmenbericht

ÜA Report II+ Audit Maßnahmenbericht

…ÜA Report III (falls notwendig)+ Audit Maßnahmenbericht

Test of Design Test of Effectiveness

6-12 Monate(üblich 12 Mo.)


Planung

Follow-up/remediation

Follow-up/remediation

Berichterstattung

& NachbereitungPlanung Vorbereitung Durchführung

Berichterstattung


Berichterstattung


Audit Report Stage II+ Audit Maßnahmenbericht




Scope – Assets – Gaps – Readyness• Definitio

n Scope

■Kick-off Projekt mit den Entscheidungsträgern

■Festlegung der gesetzlichen Anforderungen / Rahmenbedingungen

■Definition des Scopes:

WO: Regionale Ausrichtung

WER: Org. Ausrichtung

WAS: Welche Applikationen

■ Definierter Scope

■ Definierte Compliance Anforderungen

■ Erstellung des Assetverzeichnissesgegliedert nach: Informationen:

Daten, Verträge, Dokumente

Software: Applikationen, Systemsoftware

Physische Assets: Server, Medien

Grundversorgung: Klima, Strom, RZ

Personal: Schüsselpersonal

■ Definierte wesentliche Assetsdes Unternehmens

Definition Assets

Definition Scope

■ Mapping der laut Scope benötigten Anforderungen zurISO 27002

■ Eliminierung redundanter Kontrollanforderungen

■ Definition eines zentralen Templates zur Erfassung der Kontrollen

■ Workshop zur Abstimmung der notwendigen Kontrollen

■ Templates Kontrollframework

■ Abgestimmte Kontrollen

EntwicklungKontroll-framework

■ Review der bestehenden Dokumentation (Dokumentenanalyse)

■ Erhebung der bestehenden Kontrollen, Policies und Methoden im Rahmen von Interviews und Workshops

■ Identifikation der Kontrolllücken und Erstellung eines Verbesserungsplans

■ Report Gap Analyse

■ Plan zur Behebung Kontrollschwächen

Gap Analyse

Definition

Plan

■ Dokumentation von bereits existierenden, aber nicht schriftlich vorhandenen Kontrollen

■ Wiederverwertung von passenden Kontrollen

■ Anpassung bzw. Neuentwicklung von fehlenden Kontrollen

■ Training der Kontroll-verantwortlichen

■ Dokumentierte Kontrollen

■ Definierte Ver-antwortlichkeiten

Entwicklung fehlender Maßnahmen

■ Nach dem Go-Live wird eine Überprüfung auf Kontrolleinhaltung sowie Kontrolladap-tierung durchgeführt

■ Aufdecken von Schwachstellen

■ Zusammenstellung der Verbesserungs-maßnahmen

■ Kommunikation zu den wesentlichen Stakeholdern

■ Schwachstellen-Analyse

■ Verbesserungen

ReadinessCheck

Gap

Do

Readiness

Check


Der Weg zur Zertifizierung

■ Identifikation von vorhandenen Prozessen

■ Reifegradanalyse

■ Readiness Check

■

■ Analyse der Umsetzung in der Organisation

■ Prüfung der Organisation gegen ISO 27001 auf Basis der Akkreditierungsrichtlinie ISO 27006

■ Erteilung des Zertifikats

■ Regelmäßige Surveillance-Audits

ISO 27001 GAP-Analyse und Coaching

ISO 27001 Pre-Assessment

Zertifizierung

ISO/IEC 27001 – Pre-Assessment

Im Rahmen der GAP Analyse werden Anforderungen von ISO 27001 bzw. Annex A den vorhandenen Maßnahmen im Unternehmen gegenübergestellt.

Das ISO 27001 Pre-Assessment dient zur Identifikation von vorhandenen Dokumenten sowie der Gegenüberstellung von geforderten Inhalten aus ISO 27001 bzw. Annex A.

Im Rahmen der Zertifizierung wird zunächst die Reife des Managementsystems (Dokumentenaudit) und danach die Umsetzung im Rahmen des Implementierungsaudits geprüft. Stage 1: Dokumentenaudit Stage 2: Zertifizierungsaudit- Interviews und Besichtigung Durchführung von Surveillance Audits im Abstand von 6-12 Monaten


Auditphase und ReportingDie Zertifizierungsstelle entsendet Auditoren und ggf. zusätzliche Experten und Übersetzer/Dolmetscher um beim Kunden vor Ort die Wirksamkeit des ISMS sicherzustellen.

Dokumentenaudit (bei Rezertifizierung verkürzt) Dokumentation des ISMS prüfen Umfang/Standorte/Systeme kennenlernen Vollständigkeit und Compliece Auditbericht Planung Umsetzungsaudit

Umsetzungsaudit Überprüfung der Umsetzung vor Ort Abweichungen dokumentieren Maßnahmen und Termine abnehmen Auditbericht verfassen Empfehlung zur Zertifizierung

Überwachungsaudit (fallweise auch außerplanmäßige Audits aus besonderen Anlass) Überprüfung von Observations und Feststellungen früherer Audits sowie Überwachung des zertifizierten ISMS Auditbericht Maßnahmenumsetzungen gemäß vereinbarter Fristen überprüfen


Methodik2-teiliges Audit:

Stage 1: Dokumentenaudit (Test of Design) Stage 2: Implimentierungsaudit - Interviews und Besichtigung

(Test of Effectiveness)Ergebnisse aus Stage 1 Audit als Basis f. Auditplanung Stage II

InterviewsMitarbeiter

Überprüfung von DokumentenVorgangsweisenGrundsätze

BeobachtungenUnternehmens-besichtigungSpezielle Bereiche, Tätigkeiten

Daten und Aufzeichnung Überwachung von Aufzeichnungen

Verstehen des Wirkungsgrades des Managementsystems


■ Ziele und Merkmale des Audits■ Auditor Ressourcen■ Informationen zum Unternehmen

(Größe, Branche, Prozesse, Systeme) ■ Ausmaß des Audits und von ISMS (Scope)

■ Team mit relevanten Fähigkeiten(Branchenkenntnis, Sprachen, Technologien)

■ Dauer des Audit■ Wer? Wann? Wo?

Planung Vorbereitung Durchführung Bericht und Follow-up

Auditplanung


Beschaffung und Überprüfung von Dokumenten bezüglich■ Grundsätzen■ Inventaranlagen ■ Liste von Regelungen und Verfahren ■ Aufzeichnungen von Risikoauswertung ■ Organisatorisches Schema zur Sicherheit

■ Vorgangsweise■ Checkliste■ Informationen zum Team ■ Kommunikation mit Kunden


Auditvorbereitung


■ Kommunikation zwischen Kunden und Auditoren■ Interviews■ Beobachtung■ Überprüfung der Kontrollen■ Analyse der Aufzeichnung

Objektives Beweismaterial

■ Ergebnisse basierend auf objektivem Beweismaterial■ Identifizierung von Bereichen, die nicht mit den

Richtlinien übereinstimmen und risikogefährdet sind■ Möglichkeiten zur Verbesserung


Auditdurchführung


■ Ausmaß■ Methodologie■ Ergebnisse■ Schlussfolgerung

■ Aufnahme als Eingangsbasis für zukünftige Audits

■ Abschluss von Abweichung, Empfehlungen etc.


Bericht und Follow-up


Behandlung von Abweichungen

Auditor erkennt Auditor klassifiziert und gibt aus

Auditor bewirkt Abschluss Unternehmen untersucht und misst

Auditor überprüft Wirksamkeit

Unternehmen findet Ursachen

Unternehmen führt Bedingung und Leistungen durch

Auditor bestätigt Bedingungen & Leistung

Unternehmen bestimmt Bedingungen & Leistung

Auditor dokumentiert

2-4 Wochen bis max. 6 Monate


ZertifizierungsentscheidungDie Zertifizierungsstelle erhält von den Auditoren den/die Auditbericht/e

Zertifizierungsentscheidungen:

Erteilung/Erweiterung/Einschränkung/Aussetzung/Aberkennung des Zertifikats u.a. wegen

Änderungen im Scope mehr/weniger Standorte schwerwiegende Mängel im ISMS Übernahmen, Wechsel des Geschäftsfelden

Entscheidungsgrundlagen dazu: Auditberichte (von planmäßigen und außerordentlichen Audits) Beobachtungen, Beschwerden Einsprüche des Kunden Input des Unabhängigkeitsausschusses


ÜberwachungsaufgabenNach erfolgreicher Zertifizierung bzw. bei allen bestehenden aufrechten Zertifizierungen:

Überwachungsaufgaben der Zertifizierungsstelle

Überwachung der aktuell zertifizierten Kunden (öffentlicher Auftritt, Dokumente, Beobachtungen und Beschwerden)

bei Änderungen: event. Überwachungsaudit od. Rezertifizierungsauditnotwendig

bei Zweifel an Effektivität des ISMS: event. außerordentliches Audit

mögliche Folgen: Einschränkung/Aussetzung/Aberkennung des Zertifikats bzw. Neuausstellung/Entzug des Zertifikates und ggf. Änderung in der Liste der zertifizierten Kunden


Änderungen der ZertifizierungÄnderungen im Scope (Erweiterungen oder Einschränkungen) neue bzw. zusätzliche/weniger Standorte zusätzliche/weniger Prozesse/Services innerhalb des Scopes mehr/weniger Personen/gruppen innerhalb des Scopes Folgen daraus: event. Erweiterungsaudit durchführen und dann Zertifikat anpassen Einschränkung bzw. Erweiterung des Zertifikates

Änderungen im Firmen/Organisationswortlaut bzw. Gesellschaftsform Neuausstellung des Zertifikats

(falls sich sonst substanziell nichts am Scope geändert hat) Änderungen im Verzeichnis darstellen (Website)


Mögliche Problemmögliche sonstige Probleme Beschwerden gegen Zertifikatsinhaber durch Dritte Zweifel an Wirksamkeit des Managementsystems durch Überwachungsergebnisse vorzeitige Vertragsauflösung (Insolvenzverfahren, Kündigung, etc.) sonstige Probleme (z.B.: Gerichtsverfahren, Zahlungsverzug, Interessenskonflikte,

Machbarkeitshindernisse)

mögliche Folgen Einschränkung, Aussetzung, Aberkennung des Zertifikates Einspruch des Kunden gegen Entscheidungen der Zertifizierungsstelle Schlichtungsverfahren bzw. Eskalation an Unabhängigkeitsausschuss od.

Akkreditierungsstelle (Akkreditierung Austria im BMFWF)


KontaktWolfgang ReschÖsterreichische Computer Gesellschaft (OCG)Wollzeile 1, 1010 Wien

T: +43 1 5120235 13M: +43 664 886 74 [email protected] bzw. www.ocgcert.com

Documents

ISO/IEC 27000 Normenreihe - Security Forum 2018 · 1/10/2013 · ISO/IEC 27001:2013 Akkreditiert und ... Mapping zu 9001 und 14001) ... ISO/IEC 27001:2005 vom 1. Oktober 2013 (englisch)