Upload
trinhtram
View
215
Download
0
Embed Size (px)
Citation preview
©2018 Grant Thornton Austria
Schritte zur
ISO 27001 Zertifizierung
OCG Fachkonferenz
17.01.2018
Diese Präsentation finden Sie unter www.gt.at/beham
©2018 Grant Thornton Austria
Vorstellung Georg Beham
• Georg Beham arbeitet seit 1989 in der IT-
Branche, ist geschäftsführender Partner bei
Grant Thornton und Herausgeber des Buches
„Datenschutz-Audit“ zur DSGVO.
• Georg Beham und sein Team unterstützen
Kunden beim Aufbau von Managementsystemen
für Informationssicherheit und Datenschutz.
• Georg Beham ist Gerichtssachverständiger für
IT-Forensik, Datenschutz und IT-Sicherheit,
Lektor an den Fachhochschulen Hagenberg und
Burgenland, an der Donau Universität Krems und
der Universität Liechtenstein.
• Weiters ist Georg Beham Herausgeber und Autor
von Fachbüchern, wie aktuell dem Werk EU-
Datenschutz-Grundverordnung (EU-DSGVO)
• Georg Beham ist Lead Auditor der
Österreichischen Computergesellschaft für
Informationssicherheitsmanagement - ISO
27001 sowie Mitglied des
Zertifizierungskomitees.
Publikationen als Mit-Autor:
Publikationen als Herausgeber und Autor:
©2018 Grant Thornton Austria
• Kickoff/Scoping Workshop
• Identifikation von
vorhandenen Prozessen
• Reifegradanalyse
• Analyse des
Dokumentenwerks gegen ISO
27001 Anforderungen
• Analyse der Umsetzung in der
Organisation
• Identifikation von
Abweichungen zu ISO 27001
Dokumentations-
Anforderungen
• Prüfung der Organisation
gegen ISO 27001 auf Basis
der Akkreditierungsrichtlinie
ISO 27006
• Erteilung des Zertifikats
• Regelmäßige
Folgeprüfungen
(Surveillance-Audits)
Kickoff und ISO 27001
GAP-AnalyseISO 27001 Readieness-
AssessmentZertifizierung
De
r P
roze
ss
Le
istu
ng
en • Dokumentationsvorlagen
• Dokumentenstruktur
• Review Dokumente (QA)
• Anpassung der
Sicherheitsprozesse
• Internal/External Audits
• Schulung von Mitarbeitern
Unterstützung bei der
Implementierung
ISO/IEC 27001 – Informationssicherheit strukturiert sicherstellen
• Gegenüberstellung von Anforderungen der ISO 27001 mit den vorhandenen Maßnahmen im Unternehmen
• Identifikation des Erfüllungsgrades des Standards beim Unternehmen
• Ableiten fehlender Maßnahmen
• Erstellen eines Projektfahrplanes zur Umsetzung
Der Weg zur Zertifizierung
©2018 Grant Thornton Austria
Projekt Kickoff und Scoping Workshop
– Abstimmung zur weiteren Vorgangsweise
– Besprechung Aufbau der internen Informationssicherheitsorganisation
– Anforderungen und Design des Dokumentenmanagementsystem
(z.B. Sharepoint) sowie unterstützende Workflows
– Abgrenzung des technischen und des Zertifizierungsscope
ISO 27001 GAP Analyse
Die erforderlichen Kontrollen sowie Dokumentationsanforderungen des
Annex A aus ISO/IEC 27001 bzw ISO/IEC 27002 werden im Vorfeld an den
Kunden übermittelt (Excel) um so eine bessere Vorbereitung auf die GAP
Analyse zu erreichen.
Der Kunde dokumentiert die bereits vorhandene
Kontrollen und verlinkt diese auf die
Anforderungen des Standards.
Vorbereitung zur Zertifizierung
4
©2018 Grant Thornton Austria
Die bereits bestehende Informationssicherheitsdokumentation (Richtlinien, Arbeitsanweisungen und
Prozessbeschreibungen, Documented Procedures) zu den vorhandenen Kontrollen wird den Berater identifiziert
und inhaltlich hinsichtlich Vollständigkeit analysiert.
Darüber hinaus werden die vorhandenen Maßnahmen, Prozesse und Vorgangsweisen zu diesen Kontrollen
analysiert und Abweichungen zu ISO/IEC 27002 festgestellt. Zu allen Abweichungen werden durch den Berater
praktikable und mit dem Auftraggeber abgestimmte Maßnahmen vorgeschlagen.
Das Tool und die Ergebnisse der
GAP-Analyse können in weiterer
Folge durch den Kunden
weiterverwendet werden – kein
statischer Report!
Nach Abschluss der GAP-Analyse
kann der zu erwartende Aufwand für
die Implementierung der
erforderlichen Maßnahmen geschätzt
werden.
ISO 27001 GAP Analyse
5
©2018 Grant Thornton Austria
Implementierung fehlender MaßnahmenAufgaben eines Beraters
1. Unterstützung bei der initialen Koordination der erforderlichen
Maßnahmenpakete (Projektplan).
2. Bereitstellung von initialen Berichts- und Dokumentationstemplates,
welche in weiterer Folge als Ausgangsbasis für weitere Dokumente
herangezogen werden können.
3. Sicherstellung der Qualität und Feedback zu den durch den Kunden
angepassten und erstellten Dokumenten. Der Berater wird
sicherstellen, dass die erforderlichen Inhalte vollständig abgebildet
werden.
4. Regelmäßiges Coaching im Rahmen der Umsetzungsphase. Der
Berater kann den Projektfortschritt nachverfolgt sowie offene
Fragestellungen bei der Umsetzung klären.
5. Unterstützung bei der Erarbeitung von erforderlichen Dokumenten
und Sicherheitsprozessen (z.B. Risikomanagement) in Rahmen von
Workshops.
6. Durchführung von Schulungen von Schlüsselpersonen (z.B. CISO)
und Mitarbeitern.
7. Unterstützung bei der Planung und Durchführung von internen
Audits.
Ergebnisse der GAP-Analyse können als Ausgangsbasis für weitere
Audits verwendet werden.
6
©2018 Grant Thornton Austria
Der Berater wird im Rahmen dieses Arbeitspaketes ein Pre-Audit durchführen, um die
Wirksamkeit der geplanten Maßnahmen bewerten zu können. Im Rahmen von Interviews,
Dokumentenaudits, Evaluierung von Nachweisen, Samples, usw wird die Effektivität der
dokumentierten Kontrollen bewertet.
ERGEBNIS
• Nach Abschluss der erforderlichen Tätigkeiten wird der Status für die ISO 27001 Zertifizierung
bewertet. Das aktive ISMS muss mindestens 3 Monate aktiv vorhanden sein, damit die
erforderlichen Nachweise produziert wurden.
• Die Durchführung dieses Arbeitspaketes spiegelt eine Audit-nahe Situation wider, sodass die
betroffene Mitarbeiter gleichzeitig für das eigentliche Zertifizierungsaudit vorbereitet werden.
• Die Durchführung des ISO 27001 Readiness Assessments beruht wieder auf den Ergebnissen der
GAP-Analyse um den Auditaufwand weitgehendst reduzieren zu können
• Im Rahmen des Assessments werden fehlende Nachweise oder sonstiges
Verbesserungspotential aufgezeigt.
ISO 27001 Readiness Assessmentdurch die Zertifizierungsstelle oder dem Berater
7
©2018 Grant Thornton Austria
Zertifizierungsablauf
Akkreditierungsstruktur
Um Zertifizierungen von Managementsystemen durchführen zu können benötigt die zertifizierende Organisation
(Zertifizierungsstelle) eine Akkreditierung durch die nationale Akkreditierungsstelle
• Akkreditierungsstelle (in Österreich die Akkreditierung Austria im BMWFW)
• Zertifizierungsstelle
• Kunde (zertifiziertes
Unternehmen)
Zertifizierungsstelle
(OCG,CIS, …)
AuditorAuditorAuditor
Kunde Kunde Kunde
Akkreditierungsstelle
(Akkreditrung Austria im
Bundesministerium für Wissenschaft,
Forschung und Wirtschaft)
Akkreditierungsstruktur Normen
ISO/IEC 27001:2013
ISO/IEC 17021:2015Akkreditiert und
überwacht nach
Auditiert, zertifiziert
und überwacht nach
Betreiben ISMS, beauftragen Zertifizierung,
werden auditiert, zertifiziert und überwacht ISO/IEC 27002:2013
8
©2018 Grant Thornton Austria
Zertifizierungsablauf
Anforderungen an die Zertifizierungsstelle
Die Akkreditierungsstelle überwacht die Einhaltung der ISO/IEC 17021 durch die akkreditierten
Zertifizierungsstellen (Officeaudits in der Zertifizierungsstelle, begleitete Audits bei Kunden, Jahresberichte)
• Wichtige Aspekte für Zertifizierungsstellen
– Organisationsstruktur der Stelle
– Kompetenz (Personal, Fachliches Wissen, Normenkenntnis, Auditerfahrung, Weiterbildung)
– Unparteilichkeit
– Ressourcen
– Managementsystem für den Zertifizierungsprozess
– Dokumentation, Transparenz, Offenheit
• Maßnahmen daraus u.a.
– Ausbildung von Personal
– Normenbeobachtung
– Know-how der Stelle bewahren und ausbauen
– Managementsystem, Dokumente und Aufzeichnungen pflegen und verbessern
– Vertraulichkeit, Objektivität und Offenheit der Stelle sicherstellen
– Kommunikation mit Kunden bzw. mögliche betroffene Kreise (Interessensvertretungen, Behörden, Firmen)
9
©2018 Grant Thornton Austria
Zertifizierungsablauf
Schritte VOR der Zertifizierung
Üblicher bzw. möglicher Ablauf eines Zertifizierungsprojektes:
Systemgrenzen
(Scopeing)
Werte identifizieren
Risikoanalyse und
Risikobehandlung
SOA, Policies, Prozesse
MA-Schulung
Beobachtungen und
interne Audits
Dokumentation und
Aufzeichnungen
Checklisten und Kontrollen
Pre-Assessment
Ergebnisse evaluieren und
Maßnahmen umsetzen
Zertifizierungsreife
Projektplanung
Management-
entscheidung
Ressourcen-bereitstellung
(Personal, finanzielle
Mittel, Zeitressourcen)
AnalysephaseProjektbeginn
Dokumentation u.
ISMS-Einführung Reifegrad bestimmen
10
©2018 Grant Thornton Austria
Zertifizierungsablauf
Informations- und Antragsphase des Kunden
Der Weg zum Zertifizierungsantrag:
Aufwand ermitteln
Auftrag erteilen
Zertifizierungsreife
evaluieren (event.
auch erst nach dem
Vertragsabschluss)
Verbesserungen
umsetzen
Antragsformular
bearbeiten
Zertifizierungsantrag
stellen
zusätzliche
Informationen
nachreichen
Zertifizierungsantrag
an Stelle
Zertifizierungsstellen
suchen (Websites,
Prospekte, ...)
Interessens-
bekundung abgeben
Erhebungsformular
Erstgespräch
Pre-Assessment durch
Stelle od. Berater
(optional)
Informationsphase
des Kunden
11
©2018 Grant Thornton Austria
Zertifizierungsablauf
Vertragsabschluss und Planungsphase der Zertifizierungsstelle
Der Weg vom Antrag auf Zertifizierung bis zur Auditplanung:
Angebot wird
angenommen
Vertrag übermitteln
Zertifizierungsvertrag
unterzeichnen
allfällige Voraus-
zahlungen
verrechnen
Branche, Standorte,
Scope, IT-Services
Auditoren und
Termine
koordinieren
Auditplan mit dem
Kunden abstimmen
Vertragsabschluss
zwischen Kunden
und Stelle
Auditorenauswahl
und Auditplanung
Zertifizierungsantrag
prüfen
Machbarkeit prüfen
Unabhängigkeit
prüfen
Auditzeiten
errechnen
Angebot erstellen
Zertifizierungsantrag
langt ein und wird
bearbeitet
12
©2018 Grant Thornton Austria
Zertifizierungsablauf
Der Zertifizierungszyklus im Überblick (über 3 Jahre)
Stage I
Dokumenten
Audit
Stage II
Compliance/
Implementation
Audit
Überwachungs-
Audit I
ÜA II ÜA III
(meist gibt
es nur
2 ÜAs)
Rezertifizierungs
Audit (beginnt
wieder oben aber
oft ohne Stage I,
wieder gefolgt
von ÜA I u. ÜA
II)
Ca. 4 Wochen4 Wochen
Zertifizierungsentscheidung
und Zertifikatsausstellung
nach 3 Jahren
Audit Report Stage I
+ Audit Maßnahmenbericht
ÜA Report I
+ Audit Maßnahmenbericht
ÜA Report II
+ Audit Maßnahmenbericht
…
ÜA Report III (falls notwendig)
+ Audit Maßnahmenbericht
Test of Design Test of Effectiveness
6-12 Monate
(üblich 12 Mo.)
6-12 Monate
(üblich 12 Mo.)
Planung
Follow-up/
remediation
Follow-up/
remediation
Berichterstattung
& NachbereitungPlanung Vorbereitung Durchführung
Berichterstattung
& NachbereitungPlanung Vorbereitung Durchführung
Berichterstattung
& NachbereitungPlanung Vorbereitung Durchführung
Audit Report Stage II
+ Audit Maßnahmenbericht
6-12 Monate
(üblich 12 Mo.)
6-12 Monate
(üblich 12 Mo.)
13
©2018 Grant Thornton Austria
Zertifizierungsablauf
Auditphase und Reporting
Die Zertifizierungsstelle entsendet Auditoren und ggf. zusätzliche Experten und Übersetzer/Dolmetscher um beim Kunden vor
Ort die Wirksamkeit des ISMS sicherzustellen.
• Dokumentenaudit (bei Rezertifizierung verkürzt)
Dokumentation des ISMS prüfen
Umfang/Standorte/Systeme kennenlernen
Vollständigkeit und Compliece
Auditbericht
Planung Umsetzungsaudit
• Umsetzungsaudit
Überprüfung der Umsetzung vor Ort
Abweichungen dokumentieren
Maßnahmen und Termine abnehmen
Auditbericht verfassen
Empfehlung zur Zertifizierung
• Überwachungsaudit (fallweise auch außerplanmäßige Audits aus besonderen Anlass)
Überprüfung von Observations und Feststellungen früherer Audits sowie Überwachung des zertifizierten ISMS
Auditbericht
Maßnahmenumsetungen gemäß vereinbarter Fristen überprüfen
14
©2018 Grant Thornton Austria
Zertifizierungsablauf
Zertifizierungsentscheidung und Überwachung
Die Zertifizierungsstelle erhält von den Auditoren den/die Auditbericht/e
• Zertifizierungsentscheidungen
Erteilung/Erweiterung/Einschränkung/Aussetzung/Aberkennung des Zertifikats
Entscheidungsgrundlagen dazu:
Auditberichte
Beobachtungen, Beschwerden
Einsprüche des Kunden
Input des Unabhängigkeitsausschusses
• Überwachungsaufgaben der Zertifizierungsstelle
Überwachung der aktuell zertifizierten Kunden (öffentlicher Auftritt, Dokumente, Beobachtungen und Beschwerden)
bei Änderungen: event. Überwachungsaudit od. Rezertifizierungsaudit notwendig
bei Zweifel an Effektivität des ISMS: event. außerordentliches Audit (Inflight Audit)
mögliche Folgen:
Einschränkung/Aussetzung/Aberkennung des Zertifikats bzw.
Neuausstellung/Entzug des Zertifikates
und ggf. Änderung in der Liste der zertifizierten Kunden
15
©2018 Grant Thornton Austria
Zertifizierungsablauf
Änderungen und möglicherweise auftretenden Probleme
Hier unterscheidet man einerseits
• Änderungen im Scope (Erweiterungen oder Einschränkungen)
neue bzw. zusätzliche/weniger Standorte
zusätzliche/weniger Prozesse/Services oder Personengruppen im Scope
Folgen: event. Erweiterungsaudit durchführen und dann Zertifikat anpassen
Einschränkung bzw. Erweiterung des Zertifikates
• Änderungen im Firmen/Organisationswortlaut bzw. Gesellschaftsform
Neuausstellung des Zertifikats (falls sich sonst substanziell nichts am Scope geändert hat)
• mögliche sonstige Probleme
Beschwerden gegen Zertifikatsinhaber durch Dritte
Zweifel an Wirksamkeit des Managementsystems durch Überwachungsergebnisse
vorzeitige Vertragsauflösung (Insolvenzverfahren, Kündigung, etc.)
sonstige Probleme (z.B.: Gerichtsverfahren, Zahlungsverzug, Interessenskonflikte, Machbarkeitshindernisse)
• mögliche Folgen
Einschränkung, Aussetzung, Aberkennung des Zertifikates
Einspruch des Kunden gegen Entscheidungen der Zertifizierungsstelle
Schlichtungsverfahren bzw. Eskalation an Unabhängigkeitsausschuss od. Akkreditierungsstelle
16
©2018 Grant Thornton Austria
Grant Thornton Unitreu Advisory GmbH
Standort Wien: T + 43 1 26 262-0
Standort Linz: T + 43 732 272975 0
W www.grantthornton.at
© 2017 Grant Thornton Unitreu Advisory GmbH. All rights reserved.
Grant Thornton” refers to the brand under which the Grant Thornton member firms provide assurance, tax and advisory services to their clients and/or refers to one or more member firms, as the context requires. Grant Thornton Unitreu Advisory GmbH is a member firm of Grant Thornton International Ltd (GTIL). GTIL and the member firms are not a worldwide partnership. GTIL and each member firm is a separate legal entity. Services are delivered by the member firms. GTIL does not provide services to clients. GTIL and its member firms are not agents of, and do not obligate, one another and are not liable for one another’s acts or omissions.
www.gti.orgwww.grantthornton.at
KONTAKT
Georg Beham, MSc | Partner
ISBN 978-3-7007-6322-2 ISBN 978-3-85402-354-8
www.gt.at/beham
https://www.linkedin.com/in/georgbeham/
https://www.xing.com/profile/Georg_Beham