Schritte zur ISO 27001 Zertifizierung - grantthornton.at · ©2018 Grant Thornton Austria • Kickoff/Scoping Workshop • Identifikation von vorhandenen Prozessen • Reifegradanalyse

©2018 Grant Thornton Austria

Schritte zur

ISO 27001 Zertifizierung

OCG Fachkonferenz

17.01.2018

Diese Präsentation finden Sie unter www.gt.at/beham


Vorstellung Georg Beham

• Georg Beham arbeitet seit 1989 in der IT-

Branche, ist geschäftsführender Partner bei

Grant Thornton und Herausgeber des Buches

„Datenschutz-Audit“ zur DSGVO.

• Georg Beham und sein Team unterstützen

Kunden beim Aufbau von Managementsystemen

für Informationssicherheit und Datenschutz.

• Georg Beham ist Gerichtssachverständiger für

IT-Forensik, Datenschutz und IT-Sicherheit,

Lektor an den Fachhochschulen Hagenberg und

Burgenland, an der Donau Universität Krems und

der Universität Liechtenstein.

• Weiters ist Georg Beham Herausgeber und Autor

von Fachbüchern, wie aktuell dem Werk EU-

Datenschutz-Grundverordnung (EU-DSGVO)

• Georg Beham ist Lead Auditor der

Österreichischen Computergesellschaft für

Informationssicherheitsmanagement - ISO

27001 sowie Mitglied des

Zertifizierungskomitees.

Publikationen als Mit-Autor:

Publikationen als Herausgeber und Autor:


• Kickoff/Scoping Workshop

• Identifikation von

vorhandenen Prozessen

• Reifegradanalyse

• Analyse des

Dokumentenwerks gegen ISO

27001 Anforderungen

• Analyse der Umsetzung in der

Organisation

• Identifikation von

Abweichungen zu ISO 27001

Dokumentations-

Anforderungen

• Prüfung der Organisation

gegen ISO 27001 auf Basis

der Akkreditierungsrichtlinie

ISO 27006

• Erteilung des Zertifikats

• Regelmäßige

Folgeprüfungen

(Surveillance-Audits)

Kickoff und ISO 27001

GAP-AnalyseISO 27001 Readieness-

AssessmentZertifizierung

De

r P

roze

ss

Le

istu

ng

en • Dokumentationsvorlagen

• Dokumentenstruktur

• Review Dokumente (QA)

• Anpassung der

Sicherheitsprozesse

• Internal/External Audits

• Schulung von Mitarbeitern

Unterstützung bei der

Implementierung

ISO/IEC 27001 – Informationssicherheit strukturiert sicherstellen

• Gegenüberstellung von Anforderungen der ISO 27001 mit den vorhandenen Maßnahmen im Unternehmen

• Identifikation des Erfüllungsgrades des Standards beim Unternehmen

• Ableiten fehlender Maßnahmen

• Erstellen eines Projektfahrplanes zur Umsetzung

Der Weg zur Zertifizierung


Projekt Kickoff und Scoping Workshop

– Abstimmung zur weiteren Vorgangsweise

– Besprechung Aufbau der internen Informationssicherheitsorganisation

– Anforderungen und Design des Dokumentenmanagementsystem

(z.B. Sharepoint) sowie unterstützende Workflows

– Abgrenzung des technischen und des Zertifizierungsscope

ISO 27001 GAP Analyse

Die erforderlichen Kontrollen sowie Dokumentationsanforderungen des

Annex A aus ISO/IEC 27001 bzw ISO/IEC 27002 werden im Vorfeld an den

Kunden übermittelt (Excel) um so eine bessere Vorbereitung auf die GAP

Analyse zu erreichen.

Der Kunde dokumentiert die bereits vorhandene

Kontrollen und verlinkt diese auf die

Anforderungen des Standards.

Vorbereitung zur Zertifizierung

4


Die bereits bestehende Informationssicherheitsdokumentation (Richtlinien, Arbeitsanweisungen und

Prozessbeschreibungen, Documented Procedures) zu den vorhandenen Kontrollen wird den Berater identifiziert

und inhaltlich hinsichtlich Vollständigkeit analysiert.

Darüber hinaus werden die vorhandenen Maßnahmen, Prozesse und Vorgangsweisen zu diesen Kontrollen

analysiert und Abweichungen zu ISO/IEC 27002 festgestellt. Zu allen Abweichungen werden durch den Berater

praktikable und mit dem Auftraggeber abgestimmte Maßnahmen vorgeschlagen.

Das Tool und die Ergebnisse der

GAP-Analyse können in weiterer

Folge durch den Kunden

weiterverwendet werden – kein

statischer Report!

Nach Abschluss der GAP-Analyse

kann der zu erwartende Aufwand für

die Implementierung der

erforderlichen Maßnahmen geschätzt

werden.

ISO 27001 GAP Analyse

5


Implementierung fehlender MaßnahmenAufgaben eines Beraters

1. Unterstützung bei der initialen Koordination der erforderlichen

Maßnahmenpakete (Projektplan).

2. Bereitstellung von initialen Berichts- und Dokumentationstemplates,

welche in weiterer Folge als Ausgangsbasis für weitere Dokumente

herangezogen werden können.

3. Sicherstellung der Qualität und Feedback zu den durch den Kunden

angepassten und erstellten Dokumenten. Der Berater wird

sicherstellen, dass die erforderlichen Inhalte vollständig abgebildet

werden.

4. Regelmäßiges Coaching im Rahmen der Umsetzungsphase. Der

Berater kann den Projektfortschritt nachverfolgt sowie offene

Fragestellungen bei der Umsetzung klären.

5. Unterstützung bei der Erarbeitung von erforderlichen Dokumenten

und Sicherheitsprozessen (z.B. Risikomanagement) in Rahmen von

Workshops.

6. Durchführung von Schulungen von Schlüsselpersonen (z.B. CISO)

und Mitarbeitern.

7. Unterstützung bei der Planung und Durchführung von internen

Audits.

Ergebnisse der GAP-Analyse können als Ausgangsbasis für weitere

Audits verwendet werden.

6


Der Berater wird im Rahmen dieses Arbeitspaketes ein Pre-Audit durchführen, um die

Wirksamkeit der geplanten Maßnahmen bewerten zu können. Im Rahmen von Interviews,

Dokumentenaudits, Evaluierung von Nachweisen, Samples, usw wird die Effektivität der

dokumentierten Kontrollen bewertet.

ERGEBNIS

• Nach Abschluss der erforderlichen Tätigkeiten wird der Status für die ISO 27001 Zertifizierung

bewertet. Das aktive ISMS muss mindestens 3 Monate aktiv vorhanden sein, damit die

erforderlichen Nachweise produziert wurden.

• Die Durchführung dieses Arbeitspaketes spiegelt eine Audit-nahe Situation wider, sodass die

betroffene Mitarbeiter gleichzeitig für das eigentliche Zertifizierungsaudit vorbereitet werden.

• Die Durchführung des ISO 27001 Readiness Assessments beruht wieder auf den Ergebnissen der

GAP-Analyse um den Auditaufwand weitgehendst reduzieren zu können

• Im Rahmen des Assessments werden fehlende Nachweise oder sonstiges

Verbesserungspotential aufgezeigt.

ISO 27001 Readiness Assessmentdurch die Zertifizierungsstelle oder dem Berater

7


Zertifizierungsablauf

Akkreditierungsstruktur

Um Zertifizierungen von Managementsystemen durchführen zu können benötigt die zertifizierende Organisation

(Zertifizierungsstelle) eine Akkreditierung durch die nationale Akkreditierungsstelle

• Akkreditierungsstelle (in Österreich die Akkreditierung Austria im BMWFW)

• Zertifizierungsstelle

• Kunde (zertifiziertes

Unternehmen)

Zertifizierungsstelle

(OCG,CIS, …)

AuditorAuditorAuditor

Kunde Kunde Kunde

Akkreditierungsstelle

(Akkreditrung Austria im

Bundesministerium für Wissenschaft,

Forschung und Wirtschaft)

Akkreditierungsstruktur Normen

ISO/IEC 27001:2013

ISO/IEC 17021:2015Akkreditiert und

überwacht nach

Auditiert, zertifiziert

und überwacht nach

Betreiben ISMS, beauftragen Zertifizierung,

werden auditiert, zertifiziert und überwacht ISO/IEC 27002:2013

8



Anforderungen an die Zertifizierungsstelle

Die Akkreditierungsstelle überwacht die Einhaltung der ISO/IEC 17021 durch die akkreditierten

Zertifizierungsstellen (Officeaudits in der Zertifizierungsstelle, begleitete Audits bei Kunden, Jahresberichte)

• Wichtige Aspekte für Zertifizierungsstellen

– Organisationsstruktur der Stelle

– Kompetenz (Personal, Fachliches Wissen, Normenkenntnis, Auditerfahrung, Weiterbildung)

– Unparteilichkeit

– Ressourcen

– Managementsystem für den Zertifizierungsprozess

– Dokumentation, Transparenz, Offenheit

• Maßnahmen daraus u.a.

– Ausbildung von Personal

– Normenbeobachtung

– Know-how der Stelle bewahren und ausbauen

– Managementsystem, Dokumente und Aufzeichnungen pflegen und verbessern

– Vertraulichkeit, Objektivität und Offenheit der Stelle sicherstellen

– Kommunikation mit Kunden bzw. mögliche betroffene Kreise (Interessensvertretungen, Behörden, Firmen)

9



Schritte VOR der Zertifizierung

Üblicher bzw. möglicher Ablauf eines Zertifizierungsprojektes:

Systemgrenzen

(Scopeing)

Werte identifizieren

Risikoanalyse und

Risikobehandlung

SOA, Policies, Prozesse

MA-Schulung

Beobachtungen und

interne Audits

Dokumentation und

Aufzeichnungen

Checklisten und Kontrollen

Pre-Assessment

Ergebnisse evaluieren und

Maßnahmen umsetzen

Zertifizierungsreife

Projektplanung

Management-

entscheidung

Ressourcen-bereitstellung

(Personal, finanzielle

Mittel, Zeitressourcen)

AnalysephaseProjektbeginn

Dokumentation u.

ISMS-Einführung Reifegrad bestimmen

10



Informations- und Antragsphase des Kunden

Der Weg zum Zertifizierungsantrag:

Aufwand ermitteln

Auftrag erteilen

Zertifizierungsreife

evaluieren (event.

auch erst nach dem

Vertragsabschluss)

Verbesserungen

umsetzen

Antragsformular

bearbeiten

Zertifizierungsantrag

stellen

zusätzliche

Informationen

nachreichen


an Stelle

Zertifizierungsstellen

suchen (Websites,

Prospekte, ...)

Interessens-

bekundung abgeben

Erhebungsformular

Erstgespräch

Pre-Assessment durch

Stelle od. Berater

(optional)

Informationsphase

des Kunden

11



Vertragsabschluss und Planungsphase der Zertifizierungsstelle

Der Weg vom Antrag auf Zertifizierung bis zur Auditplanung:

Angebot wird

angenommen

Vertrag übermitteln

Zertifizierungsvertrag

unterzeichnen

allfällige Voraus-

zahlungen

verrechnen

Branche, Standorte,

Scope, IT-Services

Auditoren und

Termine

koordinieren

Auditplan mit dem

Kunden abstimmen

Vertragsabschluss

zwischen Kunden

und Stelle

Auditorenauswahl

und Auditplanung


prüfen

Machbarkeit prüfen

Unabhängigkeit

prüfen

Auditzeiten

errechnen

Angebot erstellen


langt ein und wird

bearbeitet

12



Der Zertifizierungszyklus im Überblick (über 3 Jahre)

Stage I

Dokumenten

Audit

Stage II

Compliance/

Implementation

Audit

Überwachungs-

Audit I

ÜA II ÜA III

(meist gibt

es nur

2 ÜAs)

Rezertifizierungs

Audit (beginnt

wieder oben aber

oft ohne Stage I,

wieder gefolgt

von ÜA I u. ÜA

II)

Ca. 4 Wochen4 Wochen

Zertifizierungsentscheidung

und Zertifikatsausstellung

nach 3 Jahren

Audit Report Stage I

+ Audit Maßnahmenbericht

ÜA Report I


ÜA Report II


…

ÜA Report III (falls notwendig)


Test of Design Test of Effectiveness

6-12 Monate

(üblich 12 Mo.)

6-12 Monate

(üblich 12 Mo.)

Planung

Follow-up/

remediation

Follow-up/

remediation

Berichterstattung

& NachbereitungPlanung Vorbereitung Durchführung

Berichterstattung


Berichterstattung


Audit Report Stage II


6-12 Monate

(üblich 12 Mo.)

6-12 Monate

(üblich 12 Mo.)

13



Auditphase und Reporting

Die Zertifizierungsstelle entsendet Auditoren und ggf. zusätzliche Experten und Übersetzer/Dolmetscher um beim Kunden vor

Ort die Wirksamkeit des ISMS sicherzustellen.

• Dokumentenaudit (bei Rezertifizierung verkürzt)

Dokumentation des ISMS prüfen

Umfang/Standorte/Systeme kennenlernen

Vollständigkeit und Compliece

Auditbericht

Planung Umsetzungsaudit

• Umsetzungsaudit

Überprüfung der Umsetzung vor Ort

Abweichungen dokumentieren

Maßnahmen und Termine abnehmen

Auditbericht verfassen

Empfehlung zur Zertifizierung

• Überwachungsaudit (fallweise auch außerplanmäßige Audits aus besonderen Anlass)

Überprüfung von Observations und Feststellungen früherer Audits sowie Überwachung des zertifizierten ISMS

Auditbericht

Maßnahmenumsetungen gemäß vereinbarter Fristen überprüfen

14



Zertifizierungsentscheidung und Überwachung

Die Zertifizierungsstelle erhält von den Auditoren den/die Auditbericht/e

• Zertifizierungsentscheidungen

Erteilung/Erweiterung/Einschränkung/Aussetzung/Aberkennung des Zertifikats

Entscheidungsgrundlagen dazu:

Auditberichte

Beobachtungen, Beschwerden

Einsprüche des Kunden

Input des Unabhängigkeitsausschusses

• Überwachungsaufgaben der Zertifizierungsstelle

Überwachung der aktuell zertifizierten Kunden (öffentlicher Auftritt, Dokumente, Beobachtungen und Beschwerden)

bei Änderungen: event. Überwachungsaudit od. Rezertifizierungsaudit notwendig

bei Zweifel an Effektivität des ISMS: event. außerordentliches Audit (Inflight Audit)

mögliche Folgen:

Einschränkung/Aussetzung/Aberkennung des Zertifikats bzw.

Neuausstellung/Entzug des Zertifikates

und ggf. Änderung in der Liste der zertifizierten Kunden

15



Änderungen und möglicherweise auftretenden Probleme

Hier unterscheidet man einerseits

• Änderungen im Scope (Erweiterungen oder Einschränkungen)

neue bzw. zusätzliche/weniger Standorte

zusätzliche/weniger Prozesse/Services oder Personengruppen im Scope

Folgen: event. Erweiterungsaudit durchführen und dann Zertifikat anpassen

Einschränkung bzw. Erweiterung des Zertifikates

• Änderungen im Firmen/Organisationswortlaut bzw. Gesellschaftsform

Neuausstellung des Zertifikats (falls sich sonst substanziell nichts am Scope geändert hat)

• mögliche sonstige Probleme

Beschwerden gegen Zertifikatsinhaber durch Dritte

Zweifel an Wirksamkeit des Managementsystems durch Überwachungsergebnisse

vorzeitige Vertragsauflösung (Insolvenzverfahren, Kündigung, etc.)

sonstige Probleme (z.B.: Gerichtsverfahren, Zahlungsverzug, Interessenskonflikte, Machbarkeitshindernisse)

• mögliche Folgen

Einschränkung, Aussetzung, Aberkennung des Zertifikates

Einspruch des Kunden gegen Entscheidungen der Zertifizierungsstelle

Schlichtungsverfahren bzw. Eskalation an Unabhängigkeitsausschuss od. Akkreditierungsstelle

16


Grant Thornton Unitreu Advisory GmbH

Standort Wien: T + 43 1 26 262-0

Standort Linz: T + 43 732 272975 0

W www.grantthornton.at

© 2017 Grant Thornton Unitreu Advisory GmbH. All rights reserved.

Grant Thornton” refers to the brand under which the Grant Thornton member firms provide assurance, tax and advisory services to their clients and/or refers to one or more member firms, as the context requires. Grant Thornton Unitreu Advisory GmbH is a member firm of Grant Thornton International Ltd (GTIL). GTIL and the member firms are not a worldwide partnership. GTIL and each member firm is a separate legal entity. Services are delivered by the member firms. GTIL does not provide services to clients. GTIL and its member firms are not agents of, and do not obligate, one another and are not liable for one another’s acts or omissions.

www.gti.orgwww.grantthornton.at

KONTAKT

Georg Beham, MSc | Partner

ISBN 978-3-7007-6322-2 ISBN 978-3-85402-354-8

www.gt.at/beham

https://www.linkedin.com/in/georgbeham/

https://www.xing.com/profile/Georg_Beham

http://www.gt.at/beham

https://www.linkedin.com/in/georgbeham/

https://www.xing.com/profile/Georg_Beham

Documents

Schritte zur ISO 27001 Zertifizierung - grantthornton.at · ©2018 Grant Thornton Austria • Kickoff/Scoping Workshop • Identifikation von vorhandenen Prozessen • Reifegradanalyse