ISO 27001:2013 ISMS - qm- · PDF fileGmbH Zum Thema ISMS =...
Transcript of ISO 27001:2013 ISMS - qm- · PDF fileGmbH Zum Thema ISMS =...
ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau
secunomic GmbH
www.secunomic.com
1
2
014 s
ecunom
ic G
mbH
Zur Person
2
Geschftsfhrer
Senior Security Consultant
Berater fr Informationssicherheit seit 1999
Akkreditierter Auditor fr ISO 27001 (DQS)
Christian Wahl Dipl. Ing. (FH) Nachrichtentechnik
secunomic GmbH
Kloppenheimer Strae 105
D-68239 Mannheim
www.secunomic.com
Telefon: +49-621-48 25 745
Fax: +49-621-48 25 796
Mobil: +49-162-27 65 834
IT, Security & Risk Management
Management Consulting
Projektmanagement
2
014 s
ecunom
ic G
mbH
Zum Thema
ISMS = Informations-Sicherheits-Management-System
ISO 27001 beschreibt Aufzucht und Hege eines ISMS
ISO 2700[2 bis xx] beschreiben konkrete Mglichkeiten
ein ISMS
nach ISO 27001 zu betreiben
und zu auditieren (ISO 27006)
31.03.2014 / Intern 3
2
014 s
ecunom
ic G
mbH
Agenda
Teil 1: Des Pudels Kern und zu viel Respekt
Teil 2: Informationssicherheit und der Bezug zum Standard
Teil 3: Praktische Beispiele
Teil 4: Diskussion
31.03.2014 / Intern 4
2
014 s
ecunom
ic G
mbH
ber Pudel, Kerne und Respekt
31.03.2014 / Intern 5
Was ist Informationssicherheit?
Informationssicherheit IT Sicherheit
> Das kann ich Ihnen nicht sagen
> es lsst sich jedoch herausfinden
> Eine belastbare Aussage ist jedoch nur unter Anwendung
sinnvoller Methoden mglich
> Einige dieser Methoden sind Bestandteile eines ISMS
> Andere Bestandteile des ISMS braucht es erst spter
> Informationssicherheit ist alles, was damit zu tun hat Informationswerte des Unternehmens zu schtzen
> Informationswerte sind die Informationen, die einen besonderen Wert fr das Unternehmen oder
berechtigte Dritte haben (Information Assets)
> Also Informationen, von denen nicht gewnscht wird, dass Unbefugte sie haben oder verndern
> IT = Information Technology
> IT Sicherheit ist also die Sicherheit der Technologie und nicht der Informationen
> Eine sichere IT schtzt die Informationswerte
> IT ist also nur Mittel zum Zweck
Warum Ich?
2
014 s
ecunom
ic G
mbH
ber Pudel, Kerne und Respekt
31.03.2014 / Intern 6
These Hintergrund
> Informationssicherheit ist zu 75% gesunder Menschenverstand
> Technologien ndern sich, Konzepte bleiben gleich
> Komplexitt ist der Feind der Informationssicherheit
> Informationssicherheit muss den Geschftszweck untersttzen
> (Fast) jeder schtzt seine Werte auch privat und berlegt wie viel Aufwand er wofr treibt
> Es ist gut, zuerst Zeit in ein Konzept zu investieren, die Technologie findet sich meist
> Mit wachsender Komplexitt steigt die Fehlerwahrscheinlichkeit und Anwendbarkeit
> Alles andere wre eine Fehlinvestition aber es ist auch mit Reibung zu rechnen
> Informationssicherheit behindert nur bei der Arbeit
> Ohne Schlssel wren Tren auch praktischer es geht um das Ma
2
014 s
ecunom
ic G
mbH
Fazit
31.03.2014 / Intern 7
Des Pudels Kern Respekt
> Es gibt Informationswerte
> Informationssicherheit IT Sicherheit > Fokussieren Sie sich auf die
Wertschpfungsprozesse
> Analysieren Sie die Relevanz des Themas Informationssicherheit
> Nehmen Sie sich Zeit fr Konzepte und Analysen. Sie sparen die Zeit wieder bei
der Umsetzung.
> Akzeptieren Sie, dass einige Ablufe sich ndern und Arbeit hinzukommt
> Akzeptieren Sie nicht, dass Wertschpfung verunmglicht wird
> Informationssicherheit hat viel mit gesundem Menschenverstand zu tun
> Halten Sie die Themen so einfach wie mglich und so komplex wie notwendig
> berlegen Sie sich genau, warum Sie was brauchen und konzentrieren Sie
sich auf das Wichtige
> Die einfachen Lsungen sind oftmals die Besten, weil sie verstanden und
angewendet werden
Informationssicherheit ist nicht schlimm, aber es muss strukturiert organisiert
und gefhrt (gemanaget) werden. Hier hilft ein ISMS nach ISO 27001.
2
014 s
ecunom
ic G
mbH
Agenda
Teil 1: Des Pudels Kern und zu viel Respekt
Teil 2: Informationssicherheit und der Bezug zum Standard
Teil 3: Praktische Beispiele
Teil 4: Diskussion
31.03.2014 / Intern 8
2
014 s
ecunom
ic G
mbH
Informationssicherheit und der
Bezug zum Standard
31.03.2014 / Intern 9
Schlsselfragen Zu erarbeiten
> Was sind die Wertschpfungsprozesse zur Erreichung der Geschftsziele?
> Welche Parteien haben Interesse am Schutz der Informationswerte?
> Welche Bedrohungen und Risiken existieren fr die Geschftsziele?
> Welche dieser Risiken sollten getragen und welche Risiken behandelt werden?
> Alles womit Geld verdient wird und die dafr wichtigen Support Prozesse
> Interessierte Parteien: Unternehmen, Kunden, Gesetzgeber, Aufsichtsbehrden
> Identifikation Risikopotential zur Erreichung der Geschftsziele
> Risikoavers oder Risikotolerant? Oder eine gesunde Mischung?
> Welche Manahmen mssen ergriffen werden um die Risiken zu behandeln?
> Technisch, organisatorisch, prozedural etc.
> Wie kann dies strukturiert organisiert und nachhaltig gefhrt werden?
> Entwurf, Aufbau und Betrieb eines ISMS nach ISO 27001
2
014 s
ecunom
ic G
mbH
Informationssicherheit und der
Bezug zum Standard
Alle Ziele und damit verbundenen Manahmen mssen hinsichtlich ihrer Anwendbarkeit analysiert werden. Das Ergebnis muss in einem Statement of Applicability dokumentiert werden.
A.18
A.X A.5
31.03.2014 / Intern 10
27001:2013 Annex A 27001:2013 Kap. 1 - 10
Kapitel 1 bis 10 beschreiben das Management System und die
Anforderungen an dieses.
Alle Anforderungen aus diesen Kapiteln mssen erfllt werden.
Eine der Anforderungen ist, dass die Ziele und Manahmen aus dem (normativen) Anhang im Detail
betrachtet werden. Nicht anwendbare Ziele und Manahmen drfen
ausgeschlossen werden.
2
014 s
ecunom
ic G
mbH
Informationssicherheit und der
Bezug zum Standard
31.03.2014 / Intern 11
ISO 27001:2013
4 Context of the Organisation (P)
5 Leadership (P)
6 Planning (P)
7 Support (P)
8 Operation (D)
9 Performance Evaluation (C)
10 Improvement (A)
> Was sind die Wertschpfungsprozesse zur Erreichung der Geschftsziele?
> Welche Parteien haben Interesse am Schutz der Informationswerte?
> Welche Bedrohungen und Risiken existieren fr die Geschftsziele?
> Welche dieser Risiken sollten getragen und welche Risiken behandelt werden?
> Wie kann das alles strukturiert organisiert und gefhrt werden?
> Welche Manahmen mssen ergriffen werden um die Risiken zu behandeln?
Aus einer Mischung all dieser berlegungen knnen Ziele formuliert werden.
Das Management muss die Erreichung dieser Ziele untersttzen.
2
014 s
ecunom
ic G
mbH
Informationssicherheit und der
Bezug zum Standard
31.03.2014 / Intern 12
4 Context of the Organisation (P)
> Wer hat warum, welches Interesse an Informationssicherheit?
> Hieraus soll abgeleitet werden, was warum gemacht wird
> Es werden die Eckpfeiler definiert
> Anforderungen des Standards
> Understanding the organization and its context
> Understanding the needs and expectations of interested parties
> Determining the scope of the information security management
system
5 Leadership (P)
> Informationssicherheit muss man wollen
> Vor allem das Top Management muss dahinter stehen
> Notwendige Rahmenbedingungen mssen vorhanden sein
> Anforderungen des Standards
> Leadership and commitment
> Policy
> Organizational roles, responsibilities and authorities
2
014 s
ecunom
ic G
mbH
Informationssicherheit und der
Bezug zum Standard
31.03.2014 / Intern 13
6 Planning (P)
> Verantwortungsvolles Management von Informationssicherheit setzt eine
serise Planung voraus
> Identifikation und Behandlung vorhandener Risiken
> Setzen angemessener Ziele
> Erreichen der Ziele
> Hier kommt der Annex A ins Spiel!
> Anforderungen des Standards
> Actions to address risks and opportunities
> Information security objectives and planning to achieve them
7 Support (P)
> Ein ISMS ist nicht umsonst, es muss gefrdert und gepflegt werden
> Ohne die Bereitstellung von Zeit, Material und organisatorischen
Mechanismen kann kein ISMS
nutzstiftend existieren
> Anforderungen des Standards
> Resources
> Competence
> Awareness
> Communication
> Documented Information
2
014 s
ecunom
ic G