Upload
doanthuan
View
216
Download
3
Embed Size (px)
Citation preview
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 1/30
ISO/IEC 27000 Normenreihe –Neue Versionen und ISMS-Zertifizierung in der Praxis(Wolfgang Resch, OCG)
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 2/30
Gemeinnütziger Verein zur Förderung der IT in Österreich(Slogan: IT-Kompetenzen fördern und zertifizieren!)
OCG-Gründung: 1975 (u.a. Prof. Heinz Zemanek)Mitglieder: Personen, Institutionen, Firmen (dz. >1.500)Arbeitskreis IT-Sicherheit: seit 1993 (Leitung Prof. Schaumüller-Bichl)weitere AKs z.B.: IT-Governance, Forum Privacy, Forum e|Government, Forum eBusinessVeranstaltungen: OCG Horizonte, OCG Impulse, Talk am Campus,IT-Konferenzen und Workshops, VorträgePersonenzertifizierungen: ECDL (seit 1997 >500.000 Teilnehmer)seit 2012 neues Modul: ECDL IT-SecurityPublikationen: Zeitschriften, VerlagInternet: Websites, Blog, Facebook, Flickr, Xingdz. ca. 30 MA und 2,5 Mio. € Umsatz/J.
Über die
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 3/30
OCG als ISMS-ZertifizierungsstelleAkkreditierung nach ISO/IEC 17021 als Zertifizierungsstellefür ISO/IEC 27001 Zertifizierungen:
Projektbeginn: 2010
Officeaudit BMWFJ 2012 beendet
Pilotkunde Anfang 2013Akkreditierungsbescheid desBMWFJ: Mitte 2013
www.ocgcert.comSlogan: „Informationssicherheitfördern und zertifizieren“
BMWFJ 2012 beendet
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 4/30
Komitees der ZertifizierungsstelleZertifizierungskomitee:
o. Univ.Prof. Dr. Dimitris KARAGIANNIS, Universität Wien
FH Prof. Univ.Doz. DI Dr. Ingrid SCHAUMÜLLER-BICHL, FH Hagenberg
ZT DI Dr. Wolfgang PRENTNER, ZT Prentner IT GmbH
Mag. Thomas GERETSCHLÄGER, OCG
Wolfgang RESCH, OCG
Unabhängigkeitskomitee:a.o. Univ.Prof. Dr. Gerald FUTSCHEK, TU Wien
KommR Hans-Jürgen POLLIRER, WKO/Secur-Data
DI Peter REICHEL, OVE
Mag. Michael WIESMÜLLER, BMVIT
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 5/30
W. Reschseit 1992 in der OCG in Wien angestelltlangjährige Betreuung OCG-Technik (zeitweise Sysadmin und Webmin) und Finanzen/Controllingseit >15 Jahren Beschäftigung mit e-Government und elektronischen SignaturenZRO der a-Trust (seit 2000 Ausgabe/Registrierungsstelle für Bürgerkarten)Mitglied im AK E-Governmentab 2009 Projektmitarbeit „Zertifizierungsstelle ISO 27001“intensive Beschäftigung mit Thema IT-Sicherheit und ISMSISO/IEC 27001 Lead-Auditor Kurs und Zertifikat (2012)Mitglied des Zertifizierungskomiteesseit Mitte 2013 Administrative Leitung der Zertifizierungsstelle innerhalb der OCG
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 6/30
AkkreditierungsstrukturAkkreditierung der ZertifizierungsstelleUm Zertifizierungen von Managementsystemen durchführen zu können benötigt die zertifizierende Organisation (Zertifizierungsstelle) eine Akkreditierung durch die nationale Akkreditierungsstelle
Akkreditierungsstelle (in Österreich die Akkreditierung Austria im BMWFW)
Zertifizierungsstelle
Kunden
Zertifizierungsstelle(OCG, CIS, UKAS)(OCG, CIS, UKAS)
AuditorAuditorAuditor
Kunde Kunde Kunde
Akkreditierungsstelle(Akkreditrung Austria im
Bundesministerium für Wissenschaft, Forschung und Wirtschaft)
Akkreditierungsstruktur Normen
ISO/IEC 27001:2013
ISO/IEC 17021:2011Akkreditiert und überwacht nach
Auditiert, zertifiziert und überwacht nach
Betreiben ISMS, beauftragen Zertifizierung, werden auditiert, zertifiziert und überwacht ISO/IEC 27002:2013
ISO/IEC 27006:2011Richtlinien und Leitlinien für die Stelle
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 7/30
Akkreditierungsanforderungen an ZertifizierungsstellenDie Akkreditierungsstelle überwacht die Einhaltung der ISO/IEC 17021:2011 durch die akkreditierten Zertifizierungsstellen (Officeaudits in der Zertifizierungsstelle, begleitete Audits bei Kunden, Jahresberichte)
Wichtige Aspekte für Zertifizierungsstellen Organisationsstruktur der Stelle Kompetenz (Personal, Fachliches Wissen, Normenkenntnis, Auditerfahrung, Weiterbildung) Unparteilichkeit (u.a. Beratungsverbot, wirtschaftliche und Personelle Unabhängigkeit!) Ressourcen Managementsystem für den Zertifizierungsprozess Dokumentation, Transparenz, Offenheit
Maßnahmen daraus u.a. Ausbildung von Personal Normenbeobachtung Know-how der Stelle bewahren und ausbauen Managementsystem, Dokumente und Aufzeichnungen pflegen und verbessern Vertraulichkeit, Objektivität und Offenheit der Stelle sicherstellen Kommunikation mit Kunden bzw. mögliche betroffene Kreise (Interessensvertretungen, Behörden, Firmen, Universitäten)
Akkreditierungsanforderungen
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 8/30
ISO 27000 NormenreiheWerdegang:• 1992-1999: BS 7799 (code of practice f. Informationssicherheit)• 1999: BS 7799-1 ISO/IEC 17799:2000 ISO/IEC 27002:2005• 1998: BS 7799-2 (Spezifikationen für ein ISMS) BS 7799-2:2002
(hier taucht erstmals PDCA auf!)• 2005: ISO/IEC 27001:2005
Erste Version aus 2005 vom Joint Technical Committee (ISO/IEC JTC 1, Information Technology, Subcommittee SC 27, IT Security techniques)
Überarbeitung in den letzten Jahren und am 1.10.2013 Neuausgabe der ISO/IEC 27001:2013 (auf englisch), Deutsche Übersetzung in Arbeit, Veröffentlichung ca. März/April 2014
Subcommittee
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 9/30
ISO/IEC 27001Kern der ISO/IEC 27001:
Risiko basiertes Management Tool um IS-Risiken zuverwalten/behandlen (ist Management-Norm keine rein technische Norm!)Ständige Verbesserungsprozess institutionalisieren um Herausforderungen sich ändernder Bedrohungen gerecht zuwerdenRahmen für Audits und Zertifizierung eines ISMS durch Dritte
ISMS eingeführtadequat für Branche, Größe, Stand der Technik und gegenüberKunden und ShareholdernBeweis dass Governance und Risk Management effektiv sind
Zertifizierung
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 10/30
Was ist neu?Harmonisierung mit Anhang SL der ISO/IEC DirektivenDefinitionen (Pkt.3) wandern in ISO/IEC 27000Norm ist schlanker/dünner gewordenAnpassungen an neue technische Entwicklungen:6.1 Maßnahmen zum Umgang mit Risiken und Chancen jetzt Pkt. 4-10 (früher 4-8)Annex A: bleibt normativ (jetzt A5-A18 gg. früher A5-A15); Zahl der Kontrollen von 133 114 gesunkenAnnex B (PDCA-Modell; war normativ) u. Annex C (informatives Mapping zu 9001 und 14001) wurden beide gestrichen!
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 11/30
HarmonisierungBesseres Risikomanagement durch vergleichbare Strukturen in den Normen (Anhang SL)
Funktionell: Qualität (9001), Umwelt (14001), Business-Continuity (22301), Informationssicherheit (27001), Sektorspezifisch: Finanzen (27012?), IT-Services (20000), Telekoms (27011), Energie (50001), Gesundheit (27799), Manufacturing (27013?)
das zeigt sich im Wording und in der Struktursoll Normen vergleichbarer, übersichtlicher machenKombiaudits erleichtern (z.B.: 20000/27001)
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 12/30
ÜbergangsfristenISO/IEC 27001:2005 vom 1. Oktober 2013 (englisch)
Resolution 2013-13 der IAF:ab dem 1. Oktober 2014, nur noch Zertifizierungen nach ISO/IEC 27001:2013 Bis dahin müssen die Zertifizierungsstellen für die neue Norm akkreditiert sein- ab 1. Oktober 2015, verlieren alle Zertifikatenach ISO/IEC 27001:2005 ihre Gültigkeit- d.h. spätestens beim Überwachungs- bzw. Rezertifizierungsaudit zwischen 10/2014 und 10/2015 muss Umstellung auf neue Normversion erfolgen (inkl. Neuausstellung d. Zertifikates)!
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 13/30
ISO/IEC 27001:2013seit 1.10.2013: ISO/IEC 27001:2013 (Norm auf Englisch)
2. Draft deutsche Ausgabe 02/2014
endgültige deutsche Version voraussichtlich 04/2014
Mapping der Normenpunkte alt:neu z.B. bei BSI od. ISO
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 14/30
ZertifizierungsprojekteÜblicher/möglicher Ablauf eines Zertifizierungsprojektes bei Kunden
Systemgrenzen (Scopeing)Werte identifizierenRisikoanalyse und Risikobehandlung
Checklisten und KontrollenPrä-Audit (optional)Ergebnisse evaluieren und Maßnehmen umsetzen Zertifizierungsreife
ProjektplanungManagement-entscheidungRessourcen-bereitstellung (Personal, finanzielle Mittel, Zeitressourcen)
AnalysephaseProjektbeginn
Dokumetation u.ISMS-Einführung Reifegrad bestimmen
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 15/30
Prozesse vor dem Audit
Branche, Standorte, Scope, IT-ServicesAuditoren und Termine koordinierenAuditplan mit dem Kunden abstimmen
Vertragsabschlusszw. Kundenund Stelle
Auditorenauswahlund Auditplanung
Zertifizierungsantrag prüfenMachbarkeit prüfenUnabhängigkeit prüfenAuditzeiten errechnenAngebot erstellen
Zertifizierungsantragtrifft ein/wird geprüft
Aufwand ermittelnAuftrag erteilenZertifizierungsreife evaluieren (event. auch erst nach dem Vertragsabschluss)Verbesserungen umsetzen
Antragsformular bearbeitenZertifizierungsantrag stellenzusätzliche Informationen nachreichen
Zertifizierungsantragan Stelle
Zertifizierungsstellensuchen (Websites, Prospekte, ...)Interessens-bekundung abgebenErhebungsformularErstgespräch
optionales Pre-Audit durch Stelle od. Berater
Informationsphasedes Kunden
Formale Prozesse zw. Kunden und Zertifizierungsstelle vor dem 1. Audit
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 16/30
Überblick ZertifizierungszyklusDer Zertifizierungszyklus im Überblick (über 3 Jahre)
Stage IDokumenten Audit
Stage IICompliance/Implementation Audit
Überwachungs-Audit I
ÜA II ÜA III(meist gibt es nur2 ÜAs)
RezertifizierungsAudit (beginnt wieder oben aber oft ohne Stage I, wieder gefolgt von ÜA I u. ÜA II)
2-4 Wochen(max. 6 Mo.) 4 Wochen
Zertifizierungsentscheidungund Zertifikatsausstellung
nach 3 Jahren
Audit Report Stage I+ Audit Maßnahmenbericht
ÜA Report I+ Audit Maßnahmenbericht
ÜA Report II+ Audit Maßnahmenbericht
…ÜA Report III (falls notwendig)+ Audit Maßnahmenbericht
Test of Design Test of Effectiveness
6-12 Monate(üblich 12 Mo.)
6-12 Monate(üblich 12 Mo.)
Planung
Follow-up/remediation
Follow-up/remediation
Berichterstattung
& NachbereitungPlanung Vorbereitung Durchführung
Berichterstattung
& NachbereitungPlanung Vorbereitung Durchführung
Berichterstattung
& NachbereitungPlanung Vorbereitung Durchführung
Audit Report Stage II+ Audit Maßnahmenbericht
6-12 Monate(üblich 12 Mo.)
6-12 Monate(üblich 12 Mo.)
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 17/30
Scope – Assets – Gaps – Readyness• Definitio
n Scope
■Kick-off Projekt mit den Entscheidungsträgern
■Festlegung der gesetzlichen Anforderungen / Rahmenbedingungen
■Definition des Scopes:
WO: Regionale Ausrichtung
WER: Org. Ausrichtung
WAS: Welche Applikationen
■ Definierter Scope
■ Definierte Compliance Anforderungen
■ Erstellung des Assetverzeichnissesgegliedert nach: Informationen:
Daten, Verträge, Dokumente
Software: Applikationen, Systemsoftware
Physische Assets: Server, Medien
Grundversorgung: Klima, Strom, RZ
Personal: Schüsselpersonal
■ Definierte wesentliche Assetsdes Unternehmens
Definition Assets
Definition Scope
■ Mapping der laut Scope benötigten Anforderungen zurISO 27002
■ Eliminierung redundanter Kontrollanforderungen
■ Definition eines zentralen Templates zur Erfassung der Kontrollen
■ Workshop zur Abstimmung der notwendigen Kontrollen
■ Templates Kontrollframework
■ Abgestimmte Kontrollen
EntwicklungKontroll-framework
■ Review der bestehenden Dokumentation (Dokumentenanalyse)
■ Erhebung der bestehenden Kontrollen, Policies und Methoden im Rahmen von Interviews und Workshops
■ Identifikation der Kontrolllücken und Erstellung eines Verbesserungsplans
■ Report Gap Analyse
■ Plan zur Behebung Kontrollschwächen
Gap Analyse
Definition
Plan
■ Dokumentation von bereits existierenden, aber nicht schriftlich vorhandenen Kontrollen
■ Wiederverwertung von passenden Kontrollen
■ Anpassung bzw. Neuentwicklung von fehlenden Kontrollen
■ Training der Kontroll-verantwortlichen
■ Dokumentierte Kontrollen
■ Definierte Ver-antwortlichkeiten
Entwicklung fehlender Maßnahmen
■ Nach dem Go-Live wird eine Überprüfung auf Kontrolleinhaltung sowie Kontrolladap-tierung durchgeführt
■ Aufdecken von Schwachstellen
■ Zusammenstellung der Verbesserungs-maßnahmen
■ Kommunikation zu den wesentlichen Stakeholdern
■ Schwachstellen-Analyse
■ Verbesserungen
ReadinessCheck
Gap
Do
Readiness
Check
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 18/30
Der Weg zur Zertifizierung
■ Identifikation von vorhandenen Prozessen
■ Reifegradanalyse
■ Readiness Check
■
■ Analyse der Umsetzung in der Organisation
■ Prüfung der Organisation gegen ISO 27001 auf Basis der Akkreditierungsrichtlinie ISO 27006
■ Erteilung des Zertifikats
■ Regelmäßige Surveillance-Audits
ISO 27001 GAP-Analyse und Coaching
ISO 27001 Pre-Assessment
Zertifizierung
ISO/IEC 27001 – Pre-Assessment
Im Rahmen der GAP Analyse werden Anforderungen von ISO 27001 bzw. Annex A den vorhandenen Maßnahmen im Unternehmen gegenübergestellt.
Das ISO 27001 Pre-Assessment dient zur Identifikation von vorhandenen Dokumenten sowie der Gegenüberstellung von geforderten Inhalten aus ISO 27001 bzw. Annex A.
Im Rahmen der Zertifizierung wird zunächst die Reife des Managementsystems (Dokumentenaudit) und danach die Umsetzung im Rahmen des Implementierungsaudits geprüft. Stage 1: Dokumentenaudit Stage 2: Zertifizierungsaudit- Interviews und Besichtigung Durchführung von Surveillance Audits im Abstand von 6-12 Monaten
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 19/30
Auditphase und ReportingDie Zertifizierungsstelle entsendet Auditoren und ggf. zusätzliche Experten und Übersetzer/Dolmetscher um beim Kunden vor Ort die Wirksamkeit des ISMS sicherzustellen.
Dokumentenaudit (bei Rezertifizierung verkürzt) Dokumentation des ISMS prüfen Umfang/Standorte/Systeme kennenlernen Vollständigkeit und Compliece Auditbericht Planung Umsetzungsaudit
Umsetzungsaudit Überprüfung der Umsetzung vor Ort Abweichungen dokumentieren Maßnahmen und Termine abnehmen Auditbericht verfassen Empfehlung zur Zertifizierung
Überwachungsaudit (fallweise auch außerplanmäßige Audits aus besonderen Anlass) Überprüfung von Observations und Feststellungen früherer Audits sowie Überwachung des zertifizierten ISMS Auditbericht Maßnahmenumsetzungen gemäß vereinbarter Fristen überprüfen
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 20/30
Methodik2-teiliges Audit:
Stage 1: Dokumentenaudit (Test of Design) Stage 2: Implimentierungsaudit - Interviews und Besichtigung
(Test of Effectiveness)Ergebnisse aus Stage 1 Audit als Basis f. Auditplanung Stage II
InterviewsMitarbeiter
Überprüfung von DokumentenVorgangsweisenGrundsätze
BeobachtungenUnternehmens-besichtigungSpezielle Bereiche, Tätigkeiten
Daten und Aufzeichnung Überwachung von Aufzeichnungen
Verstehen des Wirkungsgrades des Managementsystems
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 21/30
■ Ziele und Merkmale des Audits■ Auditor Ressourcen■ Informationen zum Unternehmen
(Größe, Branche, Prozesse, Systeme) ■ Ausmaß des Audits und von ISMS (Scope)
■ Team mit relevanten Fähigkeiten(Branchenkenntnis, Sprachen, Technologien)
■ Dauer des Audit■ Wer? Wann? Wo?
Planung Vorbereitung Durchführung Bericht und Follow-up
Auditplanung
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 22/30
Beschaffung und Überprüfung von Dokumenten bezüglich■ Grundsätzen■ Inventaranlagen ■ Liste von Regelungen und Verfahren ■ Aufzeichnungen von Risikoauswertung ■ Organisatorisches Schema zur Sicherheit
■ Vorgangsweise■ Checkliste■ Informationen zum Team ■ Kommunikation mit Kunden
Planung Vorbereitung Durchführung Bericht und Follow-up
Auditvorbereitung
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 23/30
■ Kommunikation zwischen Kunden und Auditoren■ Interviews■ Beobachtung■ Überprüfung der Kontrollen■ Analyse der Aufzeichnung
Objektives Beweismaterial
■ Ergebnisse basierend auf objektivem Beweismaterial■ Identifizierung von Bereichen, die nicht mit den
Richtlinien übereinstimmen und risikogefährdet sind■ Möglichkeiten zur Verbesserung
Planung Vorbereitung Durchführung Bericht und Follow-up
Auditdurchführung
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 24/30
■ Ausmaß■ Methodologie■ Ergebnisse■ Schlussfolgerung
■ Aufnahme als Eingangsbasis für zukünftige Audits
■ Abschluss von Abweichung, Empfehlungen etc.
Planung Vorbereitung Durchführung Bericht und Follow-up
Bericht und Follow-up
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 25/30
Behandlung von Abweichungen
Auditor erkennt Auditor klassifiziert und gibt aus
Auditor bewirkt Abschluss Unternehmen untersucht und misst
Auditor überprüft Wirksamkeit
Unternehmen findet Ursachen
Unternehmen führt Bedingung und Leistungen durch
Auditor bestätigt Bedingungen & Leistung
Unternehmen bestimmt Bedingungen & Leistung
Auditor dokumentiert
2-4 Wochen bis max. 6 Monate
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 26/30
ZertifizierungsentscheidungDie Zertifizierungsstelle erhält von den Auditoren den/die Auditbericht/e
Zertifizierungsentscheidungen:
Erteilung/Erweiterung/Einschränkung/Aussetzung/Aberkennung des Zertifikats u.a. wegen
Änderungen im Scope mehr/weniger Standorte schwerwiegende Mängel im ISMS Übernahmen, Wechsel des Geschäftsfelden
Entscheidungsgrundlagen dazu: Auditberichte (von planmäßigen und außerordentlichen Audits) Beobachtungen, Beschwerden Einsprüche des Kunden Input des Unabhängigkeitsausschusses
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 27/30
ÜberwachungsaufgabenNach erfolgreicher Zertifizierung bzw. bei allen bestehenden aufrechten Zertifizierungen:
Überwachungsaufgaben der Zertifizierungsstelle
Überwachung der aktuell zertifizierten Kunden (öffentlicher Auftritt, Dokumente, Beobachtungen und Beschwerden)
bei Änderungen: event. Überwachungsaudit od. Rezertifizierungsauditnotwendig
bei Zweifel an Effektivität des ISMS: event. außerordentliches Audit
mögliche Folgen: Einschränkung/Aussetzung/Aberkennung des Zertifikats bzw. Neuausstellung/Entzug des Zertifikates und ggf. Änderung in der Liste der zertifizierten Kunden
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 28/30
Änderungen der ZertifizierungÄnderungen im Scope (Erweiterungen oder Einschränkungen) neue bzw. zusätzliche/weniger Standorte zusätzliche/weniger Prozesse/Services innerhalb des Scopes mehr/weniger Personen/gruppen innerhalb des Scopes Folgen daraus: event. Erweiterungsaudit durchführen und dann Zertifikat anpassen Einschränkung bzw. Erweiterung des Zertifikates
Änderungen im Firmen/Organisationswortlaut bzw. Gesellschaftsform Neuausstellung des Zertifikats
(falls sich sonst substanziell nichts am Scope geändert hat) Änderungen im Verzeichnis darstellen (Website)
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 29/30
Mögliche Problemmögliche sonstige Probleme Beschwerden gegen Zertifikatsinhaber durch Dritte Zweifel an Wirksamkeit des Managementsystems durch Überwachungsergebnisse vorzeitige Vertragsauflösung (Insolvenzverfahren, Kündigung, etc.) sonstige Probleme (z.B.: Gerichtsverfahren, Zahlungsverzug, Interessenskonflikte,
Machbarkeitshindernisse)
mögliche Folgen Einschränkung, Aussetzung, Aberkennung des Zertifikates Einspruch des Kunden gegen Entscheidungen der Zertifizierungsstelle Schlichtungsverfahren bzw. Eskalation an Unabhängigkeitsausschuss od.
Akkreditierungsstelle (Akkreditierung Austria im BMFWF)
www.ocg.at ISO/IEC 27000 und ISMS Zertifizierung in der Praxis 04/2014; 30/30
KontaktWolfgang ReschÖsterreichische Computer Gesellschaft (OCG)Wollzeile 1, 1010 Wien
T: +43 1 5120235 13M: +43 664 886 74 [email protected] bzw. www.ocgcert.com