Information Security Management System (ISMS ... - Digicomp
Information Security Management System (ISMS ... - Digicomp
Information Security Management System (ISMS ... - Digicomp
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>Information</strong> <strong>Information</strong> <strong>Security</strong> <strong>Security</strong> <strong>Management</strong> <strong>Management</strong> <strong>System</strong> <strong>System</strong> (<strong>ISMS</strong>)<br />
(<strong>ISMS</strong>)<br />
konform konform zu zu ISO/IEC ISO/IEC 27001<br />
27001<br />
<strong>Security</strong> Day 2008, 29. April, Version 1.00f<br />
<strong>ISMS</strong> von der Idee bis zum umsetzbaren<br />
Konzept<br />
Christoph Koch, ckoch@koch-is.ch,<br />
Geschäftsführer Koch IS GmbH<br />
1
Agenda Agenda<br />
Agenda<br />
� Vorstellung Christoph Koch<br />
� <strong>Information</strong>ssicherheit, Risikomanagement<br />
� <strong>Management</strong> <strong>System</strong><br />
� <strong>ISMS</strong> basierend auf dem ganzheitlichen Risikomanagement-Ansatz<br />
� Schnittstellen in Prozessen<br />
�� Adaption PDCA für spezifische <strong>ISMS</strong>-Anforderungen<br />
� Zertifizierungshinweise & Schlüsselkriterien <strong>ISMS</strong><br />
� Ausblick<br />
� Fragen und Antworten<br />
www.digicomp.ch<br />
2
Christoph Christoph Koch<br />
Koch<br />
� Geschäftsführer bei Koch IS GmbH<br />
� Spezialisiert auf <strong>Information</strong>ssicherheit für die Praxis<br />
� Portfolio: Sicherheitsanalysen, Audits, Reviews, Schulung; Begleitung zur<br />
Zertifizierung ISO 27001, ISO 9001; Unterstützung für IKS konform zu revOR,<br />
Mandate zur Unterstützung <strong>Security</strong> Officers, IT-Leiter-Sparringspartner<br />
� Ausbildung:<br />
�� Elektromechaniker, Studium HTL, NDS BWL, i.A. DAS IRM, ZHAW<br />
� Berufserfahrung: Seit 1987 in der IT tätig<br />
� <strong>System</strong>s Engineer, Stv. Leiter Center-of-Competence C/S & Com, <strong>System</strong>s Architect<br />
� Berufserfahrung <strong>Information</strong>ssicherheit IS & ITSec:<br />
� Als <strong>Security</strong> Architect seit 2001 spezialisiert auf IT <strong>Security</strong> Projektleitung und die<br />
Umsetzung von <strong>Information</strong>ssicherheits-Kundenprojekten, z.B.:<br />
� Design, Planung & Leitung der Implementation <strong>Security</strong>-Infrastrukturen gemäss <strong>Security</strong> Konzept<br />
bei BDO Visura in der Schweiz<br />
� Leitung <strong>Security</strong> Audits, -Analysen (z.B. bei Privatbanken, ASPs, Hosting Data Centers, Telcos)<br />
� Begleitung zur ISO Zertifizierung (Telco-Unternehmen)<br />
� Unterstützung zu SOX-Compliance (internationale Rückversicherungsgesellschaft)<br />
� <strong>Security</strong> Officer Schulung (internationale Industriebetriebe)<br />
www.digicomp.ch<br />
3
Einstieg<br />
Einstieg<br />
Zwei Denkanstösse:<br />
Risiko ist eine bewusste Wahl, kein Schicksal.<br />
Zu Risiken gehören immer Chancen und umgekehrt.<br />
www.digicomp.ch<br />
4
What What is <strong>Information</strong>?<br />
<strong>Information</strong>?<br />
� „<strong>Information</strong> is an asset which, like other important business<br />
assets, is essential to to organization‘s business business and<br />
consequently needs to be suitable suitable suitable protected protected.“ protected<br />
(ISO/IEC 27002:2005)<br />
www.digicomp.ch<br />
5
What What is is an an <strong>Information</strong> <strong>Information</strong> <strong>Security</strong> <strong>Security</strong> <strong>Security</strong> <strong>Management</strong><br />
<strong>Management</strong><br />
<strong>System</strong>?<br />
<strong>System</strong>?<br />
� An <strong>Information</strong> <strong>Security</strong> <strong>Management</strong> <strong>System</strong> (<strong>ISMS</strong>) is an<br />
systematic approach to managing sensitive company<br />
information so that it remains secure. It encompasses people people, people<br />
process process and IT IT systems<br />
www.digicomp.ch<br />
6
Idee Idee & & & Anwendungsbereich Anwendungsbereich des des <strong>ISMS</strong><br />
<strong>ISMS</strong><br />
� Das <strong>ISMS</strong> ist ein <strong>Management</strong>-Modell mit dem Fokus auf<br />
<strong>Information</strong>ssicherheit (<strong>Information</strong> <strong>Security</strong>) spezifiziert in der Norm<br />
ISO/IEC 27001:2005 (kurz ISO 27001).<br />
Es spezifiziert<br />
� Erstellen<br />
� Umsetzen<br />
� Betreiben & Unterhalten<br />
� Überprüfen & Verbessern<br />
� Monitoring<br />
eines dokumentierten <strong>System</strong>s (<strong>ISMS</strong>-Prozess) innerhalb des<br />
Kontextes der betreffende Organisation bezüglich aller<br />
aller<br />
Geschäftsrisiken Geschäftsrisiken (1.1).<br />
www.digicomp.ch<br />
7
Ziele Ziele & & & Voraussetzung<br />
Voraussetzung<br />
Voraussetzung<br />
� Ziele des <strong>ISMS</strong>:<br />
� Die unternehmensspezifischen unternehmensspezifischen (‚richtigen‘) (‚richtigen‘) <strong>Security</strong> <strong>Security</strong> Controls Controls sind<br />
zu bestimmen, damit die Unternehmens- bzw. <strong>Information</strong>swerte<br />
(<strong>Information</strong> Assets) angemessen geschützt werden können, alles<br />
im Interesse der Anspruchsgruppen (Stakeholder) und unter<br />
Einhaltung der Gesetze & Normen (Compliance).<br />
� Nachhaltiger, skalierbarer Schutz<br />
� Unabdingbare Voraussetzung für die Umsetzung Umsetzung des des <strong>ISMS</strong> <strong>ISMS</strong> ist die<br />
Anwendung Anwendung des des ‚Code ‚Code of of of Practice Practice for for for <strong>Information</strong> <strong>Security</strong><br />
<strong>Management</strong>‘ <strong>Management</strong>‘ (ISO/IEC 17799, neu ISO/IEC 27002).<br />
� Schutz der Vertraulichkeit Vertraulichkeit (Confidentiality), der Integrität Integrität (Integrity) und<br />
der Verfügbarkeit Verfügbarkeit (Availability) aller relevanten <strong>Information</strong>en im<br />
Geschäftsumfeld im Zusammenhang mit Personen (->Datenschutz,<br />
revDSG), Prozessen und IT-<strong>System</strong>en. Mit spricht auch von ‚CIA‘.<br />
www.digicomp.ch<br />
8
Hinweise Hinweise Hinweise & & Fakten<br />
Fakten<br />
� Unternehmen, die bereits operative Geschäftsprozesse in Anlehnung<br />
an oder konform zu ISO 9001, ISO 14001 haben, können in den<br />
meisten Fällen mit relativ wenig Aufwendungen die Unternehmens-<br />
Werte gemäss <strong>ISMS</strong> Spezifikation (ISO 27001) schützen (1.2 Abs. 3).<br />
� Das Das <strong>ISMS</strong> <strong>ISMS</strong> <strong>ISMS</strong> muss muss auf auf auf den den Kontext Kontext des des des strategischen<br />
strategischen<br />
Risikomanagements Risikomanagements Risikomanagements ausgerichtet ausgerichtet werden werden (u.a. 4.2.1 Abs. 3)<br />
� <strong>ISMS</strong> und ISO 9001 (Qualitätsmanagement, QMS) basieren auf dem<br />
Risiko-<strong>Management</strong>-Ansatz<br />
� Bestrebungen in Richtung <strong>ISMS</strong> bzw. QMS müssen daher auf einem<br />
spezifischen, entweder existierenden oder noch zu schaffenden<br />
Risikomanagement-Ansatz aufsetzen, der den Kriterien der jeweiligen<br />
Unternehmung genügt (3.4).<br />
� Top <strong>Management</strong> Commitment ist zwingend notwendig (5.1)<br />
www.digicomp.ch<br />
9
Risikomanagement Risikomanagement & & <strong>ISMS</strong> <strong>ISMS</strong>-Prozess<br />
<strong>ISMS</strong> Prozess Prozess<br />
� ISO 27001 zeigt den mittlerweile bekannten aber generischen <strong>ISMS</strong>-<br />
Prozess ‚Plan-Do-Check-Act‘ auf<br />
� Was heisst das? Wie kann dieser Prozess interpretiert werden?<br />
www.digicomp.ch<br />
10
Anforderung Anforderung an an das das <strong>ISMS</strong> <strong>ISMS</strong> Konzept Konzept<br />
Konzept<br />
� Ganzheitliche <strong>Management</strong> <strong>System</strong>e setzen einen für das<br />
Unternehmen optimal passenden, integrierten Risikomanagement-<br />
Ansatz voraus. Optimal bedeutet: Skalierbar (z.B. für Kriterien wie<br />
<strong>Security</strong>, Qualität, Umwelt, Arbeitssicherheit, Gesundheitsschutz)<br />
www.digicomp.ch<br />
11
Ganzheitlicher Ganzheitlicher <strong>ISMS</strong> <strong>ISMS</strong> Ansatz<br />
Ansatz<br />
� Ein ganzheitliches <strong>ISMS</strong> nutzt einen für das Unternehmen optimal<br />
passenden Risikomanagement-Ansatz<br />
� Wir empfehlen den integrierten Risikomanagement-Ansatz, der nicht<br />
ausschliesslich auf <strong>Information</strong>ssicherheit fokussiert ist, aber die<br />
Spezifikationen (ISO 27001) und den ‚Code-of-Practice‘ (ISO 27002<br />
ex 17799) für <strong>Information</strong>ssicherheit soweit soweit wie wie notwendig notwendig für die<br />
betreffende Unternehmung adaptiert adaptiert adaptiert adaptiert adaptiert adaptiert adaptiert (Statement-of-Applicability, 3.16)<br />
www.digicomp.ch<br />
12
Ganzheitlicher Ganzheitlicher Risikomanagement<br />
Risikomanagement-Ansatz<br />
Risikomanagement Ansatz Ansatz<br />
� Das optimale Regelwerk zum ganzheitlichen Risikomanagement-<br />
Ansatz basiert unter anderem auf ONR 49000ff und dem in<br />
Entwicklung befindlichen ISO 31000 Standard, erwartet im Jahr 2009.<br />
� ONR 49000-4:2004/2008, (ISO 31000:2009)<br />
� AS/NZS 4360:2004, MIL STD 882: A-D<br />
�� Zurich Risk <strong>Management</strong> <strong>System</strong> (ZRMS)<br />
www.digicomp.ch<br />
13
Ganzheitlicher Ganzheitlicher Risikomanagement<br />
Risikomanagement-Ansatz<br />
Risikomanagement Ansatz Ansatz<br />
� Risikomanagement Risikomanagement im im im Kontext Kontext der der Organisation<br />
Organisation:<br />
Organisation<br />
Ein ganzheitliches <strong>ISMS</strong> nutzt einen für das Unternehmen optimal<br />
passenden Risikomanagement-Ansatz (Kontext=<strong>System</strong>grenzen)<br />
www.digicomp.ch<br />
14
<strong>System</strong>grenzen: <strong>System</strong>grenzen: Zum Zum Beispiel Beispiel Beispiel die die Organisation<br />
Organisation<br />
Organisation<br />
� Zentrales Element des ganzheitlichen RM-Ansatzes ist die<br />
‚Risk Risk Policy Policy‘ Policy ‘ in Verantwortung der Unternehmens-Oberleitung:<br />
� Formuliert Inhalte<br />
� Bestimmt Art der Durchführung Risikomanagement<br />
� Wird im Risiko-<strong>Management</strong>-Prozess kontinuierlich der Situation<br />
angepasst<br />
www.digicomp.ch<br />
15
Risikomanagement Risikomanagement als als Prozess<br />
Prozess<br />
� Das Risikomanagement (RM) als Führungstätigkeit nutzt den<br />
dazugehörigen RM-Prozess basierend z.B. auf:<br />
� <strong>System</strong>definition<br />
� Risikobeurteilung<br />
� Risikobewältigung<br />
�� Risikoüberwachung<br />
www.digicomp.ch<br />
16
Risikomanagement<br />
Risikomanagement-<strong>System</strong><br />
Risikomanagement <strong>System</strong><br />
� Das Risikomanagement ist oder wird die Führungsaufgabe. Aus der<br />
Politik der Organisation leitet sich die Risikopolitik ab. Als Werkzeug<br />
werden <strong>Management</strong>-<strong>System</strong>e und ISO-Normen herangezogen.<br />
� Das Risikomanagement muss nahtlos nahtlos in in verankertes (allenfalls in<br />
geplantes) <strong>Management</strong><br />
<strong>Management</strong>-<strong>System</strong> <strong>Management</strong> <strong>System</strong> integriert integriert werden werden (z.B. ISO 9001, ISO<br />
27001). Gründe: Investitionsschutz, vorhandene Erfahrungen (z.B.<br />
bezüglich Prozessen) nutzen, Kostenersparnis.<br />
� Ausgangspunkt: Verankertes Verankertes <strong>Management</strong><br />
<strong>Management</strong>- <strong>Management</strong> bzw. bzw. Führungs Führungs-Modell<br />
Führungs Modell Modell, Modell<br />
d.h. Spannungsfeld zwischen Kundenbedürfnissen, -zufriedenheit und<br />
den Anforderungen der Anspruchsgruppen (Share- und Stakeholder).<br />
www.digicomp.ch<br />
17
Risikomanagement<br />
Risikomanagement-<strong>System</strong><br />
Risikomanagement <strong>System</strong><br />
� Der Führungsprozess umschliesst (auch) das Risikomanagement:<br />
www.digicomp.ch<br />
18
Interpretation Interpretation Plan Plan-Do Plan Do Do-Check Do Check Check-Act Check Act (PDCA) (PDCA)<br />
� Das Risikomanagement-<strong>System</strong> zur Unterstützung der<br />
Führungstätigkeit erfolgt durch die Anbindung an den ‚bekannten‘<br />
Prozess ‚Plan-Do-Check-Act‘.<br />
� Kriterien: Controls Controls = = zu zu überprüfende überprüfende überprüfende Elemente Elemente gemäss<br />
gemäss<br />
Anforderungen<br />
Anforderungen<br />
Schnittstelle<br />
Schnittstelle<br />
Schnittstelle<br />
<strong>Management</strong><br />
<strong>Management</strong>-Prozess<br />
<strong>Management</strong> Prozess<br />
an an an Risikomanagement<br />
Risikomanagement-<br />
Risikomanagement<br />
Risikomanagement<br />
Prozess<br />
Prozess<br />
www.digicomp.ch<br />
19
Adaption Adaption PDCA PDCA PDCA für für <strong>ISMS</strong><br />
<strong>ISMS</strong><br />
� Bei der Adaption ‚Plan-Do-Check-Act‘ gemäss Spezifikationen ISO<br />
27001 (<strong>ISMS</strong>) werden die Prozesse <strong>ISMS</strong> und RM analog verknüpft.<br />
� Kriterien: Controls Controls = = zu zu überprüfende überprüfende Elemente Elemente aus aus Anforderungen<br />
Anforderungen<br />
(relevante Kriterien gemäss Anhang A, ISO 27001)<br />
www.digicomp.ch<br />
Schnittstelle Schnittstelle Risikomanagement<br />
Risikomanagement-<br />
Risikomanagement<br />
Risikomanagement<br />
Risikomanagement<br />
Risikomanagement<br />
Prozess Prozess (Do) (Do) an an <strong>ISMS</strong> <strong>ISMS</strong>-Prozess<br />
<strong>ISMS</strong> Prozess<br />
(Maintain Maintain & & Improve Improve)<br />
Improve<br />
20
Besonderheiten Besonderheiten Besonderheiten des des des ganzheitlichen ganzheitlichen <strong>ISMS</strong> <strong>ISMS</strong>-Konzepts<br />
<strong>ISMS</strong> Konzepts<br />
� Ganzheitliche, Ganzheitliche, Differenzierte Differenzierte Risikobetrachtung<br />
Risikobetrachtung<br />
� Organisationen (Privat- und öffentlich-rechtliche, auch Non-Profit-<br />
Organisationen) und <strong>System</strong>e (technische <strong>System</strong>e, Prozesse,<br />
Projekte, sowie beteiligte Personen) können ganzheitlich betrachtet<br />
werden.<br />
� Anwendung bewährter Methoden zur Risikobeurteilung und Risikobewirtschaftung<br />
� Einbindung Einbindung <strong>ISMS</strong> <strong>ISMS</strong> & & Risikomanagement Risikomanagement in in das das Führungssystem<br />
Führungssystem<br />
� Einbindung in ein integriertes <strong>Management</strong>system, u.a. durch<br />
Schaffen von Wechselbeziehungen zwischen Kernprozessen und<br />
Risikomanagement<br />
� Eigenständiges Eigenständiges Risikomanagement<br />
Risikomanagement<br />
� KMU‘s verfügen oft nicht über ein formalisiertes<br />
<strong>Management</strong>system, das Risikomanagement-<strong>System</strong> (inklusive<br />
<strong>ISMS</strong>) kann in einfachen Verhältnissen die Rolle des<br />
<strong>Management</strong>systems übernehmen.<br />
www.digicomp.ch<br />
21
Ganzheitliches Ganzheitliches Ganzheitliches <strong>ISMS</strong> <strong>ISMS</strong> starten starten<br />
starten<br />
Deming Deming Circle Circle Circle / / Prozessschritte<br />
Prozessschritte<br />
� Establish (Plan)<br />
� Implement and operate (Do)<br />
� Review and monitor (Check)<br />
� Maintain and improve (Act)<br />
1. 1. Aktivität: Aktivität: Erstelle Erstelle Erstelle Policy<br />
(<strong>Information</strong> (<strong>Information</strong> (<strong>Information</strong> <strong>Security</strong><br />
<strong>Security</strong><br />
oder oder <strong>ISMS</strong> <strong>ISMS</strong> <strong>ISMS</strong> Policy Policy)<br />
Policy<br />
www.digicomp.ch<br />
22
Ganzheitliches Ganzheitliches Ganzheitliches <strong>ISMS</strong> <strong>ISMS</strong> vorbereiten vorbereiten und und planen planen<br />
planen<br />
� Establish Establish (Plan)<br />
(Plan)<br />
� Kontext bestimmen<br />
� spezifische Unternehmensanforderungen und Ziele festlegen<br />
� <strong>ISMS</strong> <strong>ISMS</strong> Policy (konform zu RM-Policy) erstellen<br />
� Und von Top <strong>Management</strong> freigeben lassen<br />
�� Relevante Abläufe und Prozesse aufnehmen bzw bestimmen<br />
� Bezüglich Risiken und <strong>Information</strong>ssicherheit im Sinne der<br />
Unternehmendziele und Unternehmensvorgaben optimal schützen<br />
� Controls (ISO 27001, Anhang A) bezüglich Relevanz in der<br />
Organisation prüfen (Statement-of-Applicability SoA).<br />
www.digicomp.ch<br />
23
Exkurs: Exkurs: <strong>ISMS</strong> <strong>ISMS</strong> Policy / / <strong>Security</strong> <strong>Security</strong> Policy<br />
� Inhalt<br />
Inhalt<br />
� Geschäftsarten, -strategien definieren<br />
� Kontext des Risikomanagements, der <strong>Information</strong>ssicherheit bestimmen<br />
� Wichtige Überwachung, Zuständigkeiten, Verantwortung<br />
vorschreiben<br />
�� Unternehmens-spezifische Schutz-Ziele zu relevanten Kern- Kern-<br />
Abläufen und –Prozessen bezüglich Risiken im Sinne der<br />
Unternehmendziele beschreiben<br />
� Angestrebtes Risikoprofil festlegen (SOLL)<br />
� Sicherheitsorganisation festlegen (Aufbau, Ablauf)<br />
� Risikomessung und Reporting festlegen<br />
� Limiten, Einschränkungen festhalten<br />
� Freigabe & Unterschrift durch die Geschäftsleitung (CEO)<br />
� Empfehlung: <strong>ISMS</strong> Policy an Risk Policy ausrichten<br />
www.digicomp.ch<br />
24
Infos Infos & & Beispiele Beispiele zu zu Risk Risk Policies<br />
Policies<br />
www.thyssenkrupp.de<br />
www.post.ch/DE/uk-gb07-64-risikopolitik.pdf<br />
www.digicomp.ch<br />
25
Ganzheitliches Ganzheitliches Ganzheitliches <strong>ISMS</strong> <strong>ISMS</strong> erstellen erstellen erstellen und und betreiben<br />
betreiben<br />
� Implement Implement and and Operate Operate (Do)<br />
(Do)<br />
� Umsetzen der <strong>ISMS</strong> Policy<br />
� Betreiben des <strong>ISMS</strong>-Prozesses<br />
� Integrierten der Controls im <strong>ISMS</strong>-Prozess<br />
� Integrierten der Controls (Messpunkte) in den Prozessen und<br />
Abläufen<br />
www.digicomp.ch<br />
26
Ganzheitliches Ganzheitliches Ganzheitliches <strong>ISMS</strong> <strong>ISMS</strong> prüfen prüfen und und überwachen<br />
überwachen<br />
� Review Review and and Monitor Monitor (Check)<br />
(Check)<br />
� Beurteilen der Prozess-Performance (qualitativ)<br />
� Wo machbar: Prozess-Performance messen (quantitativ)<br />
� Werkzeug: Zum Beispiel mit der GAP-Analyse, SOLL-IST = GAP<br />
� SOLL aus <strong>ISMS</strong> Policy, aus den Zielen und den praktischen<br />
Erfahrungswerten heranziehen<br />
� Die Review-Resultate dem <strong>Management</strong> berichten<br />
� Permanentes Überwachen & Melden sicherstellen<br />
www.digicomp.ch<br />
27
Ganzheitliches Ganzheitliches Ganzheitliches <strong>ISMS</strong> <strong>ISMS</strong> unterhalten unterhalten unterhalten und und verbessern<br />
verbessern<br />
� Maintain Maintain and and and Improve Improve (Act Act Act) Act<br />
� Ausführen von risiko-korrigierenden Massnahmen<br />
� Ausführen von risiko-verhindernden Massnahmen<br />
� gemäss internem <strong>ISMS</strong> <strong>ISMS</strong> Audit<br />
Audit<br />
� Oder gemäss <strong>Management</strong> <strong>Management</strong> Review<br />
Review<br />
�� Andere relevanten <strong>Information</strong>s-Quellen einbeziehen<br />
Beispiele:<br />
� Bestehende Schadens-Datenbank<br />
� Resultate Schachstellen-Identifikation (Vulnerability <strong>Management</strong>)<br />
� Resultate aus aktuellen IT-Risikoanalysen<br />
� Interne, externe Computer Emergency Response Teams (CERTs)<br />
� Ziel: Permanente Fortschritte des <strong>ISMS</strong> sicherstellen<br />
� Dieser Schritt kann die Schnittstelle zum Risikomanagement-<br />
Prozess enthalten<br />
www.digicomp.ch<br />
28
Zusammenfassung Zusammenfassung „ganzheitliches „ganzheitliches „ganzheitliches <strong>ISMS</strong>“<br />
<strong>ISMS</strong>“<br />
� Establish Establish (Plan)<br />
(Plan)<br />
� Kontext bestimmen, spezifische Unternehmensanforderungen und Ziele festlegen,<br />
<strong>ISMS</strong> <strong>ISMS</strong> Policy (konform zu RM-Policy) erstellen und von Top <strong>Management</strong> freigeben<br />
lassen, relevante Abläufe und Prozesse aufnehmen bzw bestimmen, bezüglich Risiken<br />
und <strong>Information</strong>ssicherheit im Sinne der Unternehmensziele und –Vorgaben optimal<br />
schützen, Controls (Anhang A) bezüglich Relevanz in der Organisation prüfen<br />
(Statement-of-Applicability SoA).<br />
�� Implement Implement and and Operate Operate (Do)<br />
(Do)<br />
� Umsetzen und betreiben der <strong>ISMS</strong> Policy, der Controls, Prozesse und Abläufe.<br />
� Review Review and and Monitor Monitor (Check)<br />
(Check)<br />
� Beurteilen und (wo machbar) Prozess-Performance messen (SOLL gemäss <strong>ISMS</strong><br />
Policy, Zielen und der praktischen Erfahrungen), dem <strong>Management</strong> die Review-<br />
Resultate berichten.<br />
� Maintain Maintain and and and Improve Improve (Act Act Act) Act<br />
� Ausführen von korrigierenden und verhindernden Massnahmen gemäss internem<br />
<strong>ISMS</strong> <strong>ISMS</strong> Audit Audit und <strong>Management</strong> <strong>Management</strong> Review Review Review und allenfalls anderen relevanten <strong>Information</strong>en<br />
(z.B. Schadens-DB, Vuln Mgmt Resultate, IT-Risikoanalysen, CERTs) um permanente<br />
Fortschritte des <strong>ISMS</strong> sicherzustellen<br />
www.digicomp.ch<br />
29
ISO ISO ISO 27001 27001 Zertifizierung<br />
Zertifizierung<br />
� <strong>Management</strong> <strong>System</strong>e gemäss ISO 27001 zeichnen sich aus durch:<br />
� Policy Dokument<br />
� Adaptiertes PDCA-Modell (Deming Cycle)<br />
� Allfällige Zusatzdokumente (z.B. Richtlinien, Arbeitsanweisungen,<br />
Checklisten)<br />
�� Hauptaugenmerk auf<br />
� <strong>Management</strong> Prozess<br />
� Prozesse und Abläufe (nicht nur auf Controls gemäss Anhang A)<br />
� Absicht zur kontinuierlichen Verbesserungen, inklusive Umsetzung<br />
� Alle Aktivitäten sind auf Ziele ausgerichtet<br />
� Unternehmens-spezifisches Sicherheitslevel sicherstellen<br />
� Allenfalls Zertifizierung ISO 27001 durch SQS anstreben & erreichen<br />
www.digicomp.ch<br />
30
<strong>ISMS</strong> <strong>ISMS</strong>-Schlüssel<br />
<strong>ISMS</strong> Schlüssel Schlüssel-Anforderungskriterien<br />
Schlüssel Anforderungskriterien<br />
Anforderungskriterien<br />
� <strong>ISMS</strong>-Prozess und Integration im Unternehmen<br />
� Unternehmensspezifisch adaptiert!<br />
� Dokumentation<br />
� Der Anforderungen, Aufzeichnung inklusive<br />
� <strong>ISMS</strong>-Policy, Kontext & Ziele, Abläufe und Prozesse zum <strong>ISMS</strong><br />
� Risk Assessment Durchführung, Methode & Bericht<br />
�� Risikobewirtschaftung planen und umsetzen<br />
� Statement of Applicability für alle (insbesondere für die nicht zu berücksichtigenden<br />
Controls gemäss Anhang A)<br />
� Verantwortung des <strong>Management</strong>s<br />
� Commitment & Support<br />
� Zur Verfügung stellen der notwendigen Ressourcen und Trainings<br />
� <strong>Management</strong> Reviews<br />
� Sowohl <strong>Management</strong> Reviews als auch interne <strong>ISMS</strong> Audits<br />
� müssen geplant<br />
� und durchgeführt werden<br />
www.digicomp.ch<br />
31
Ausblick<br />
Ausblick<br />
� Integriertes Risikomanagement in Anlehnung an ONR 49000ff und<br />
konform zum neuen Standard ISO 31000 könnten sich etablieren.<br />
� Bestehende Standards lassen sich ‚nahtlos‘ einfügen:<br />
� ISO 9001<br />
� ISO 27001 (allenfalls auch Datenschutz-Label ‚Goodpriv@cy‘)<br />
� ISO 14001<br />
� Implementiertes <strong>ISMS</strong> wird immer häufiger vorausgesetzt, um<br />
� Gesetzen entsprechen zu können (z.B. Nachweis revOR, revDSG)<br />
� Vorgaben aus Branche & von Kontrollorganen einhalten zu können (z.B.<br />
Basel II, Solvency II, Sarbanes-Oxley-Act (SOX), BankG)<br />
� Anforderungen der Kunden und der Anspruchsgruppen zu erfüllen<br />
� <strong>Management</strong>system mit skalierbaren ‚einklinkbaren‘ Kriterien, z.B.:<br />
� <strong>Information</strong>ssicherheit (CIA)<br />
� Datenschutz-Kriterien<br />
� Qualität (Kundenzufriedenheit, -anforderungen, Effizienz, Effektivität)<br />
www.digicomp.ch<br />
32
Zusammenfassung<br />
Zusammenfassung<br />
� <strong>Information</strong>ssicherheit (<strong>ISMS</strong>) & Risikomanagement (RM)<br />
� Auch für KMU erreichbar und nützlich (u.a. mit nachweislich betrieblichem Mehrwert)<br />
� <strong>Management</strong> <strong>System</strong>e (<strong>ISMS</strong> im Detail)<br />
� Weg zum Ziel dokumentieren und leben (Unternehmenskultur trägt die Werte)<br />
� Ganzheitliches <strong>ISMS</strong> (Prozesse im Zentrum) basierend auf dem<br />
ganzheitlichen Risikomanagement-Ansatz<br />
� Risiken werden ganzheitlich erfasst, daher ist optimale Bewirtschaftung erst möglich<br />
� Bestehende Modelle und Standards einklinkbar (z.B. ISO 9001, ISO 14001)<br />
� Beispiele zu Risk Policy<br />
� Schnittstellen zwischen Führungs-, Risikomanagement- und <strong>ISMS</strong>-<br />
Prozess<br />
� Integration in Prozesslandschaft sicherstellen<br />
www.digicomp.ch<br />
33
Zusammenfassung<br />
Zusammenfassung<br />
� Adaption PDCA für spezifische <strong>ISMS</strong>-Anforderungen<br />
� Fokus nicht nur auf Controls<br />
� Unternehmens-spezifische Interpretation des <strong>ISMS</strong> Prozesses ist massgebend<br />
� Zertifizierungshinweise & Schlüsselkriterien <strong>ISMS</strong><br />
� Zertifizierung ermöglicht Nachweis anerkannter Sicherheits-, bzw. Qualitätslevels<br />
� Anerkennung durch Kunden und Partner<br />
�� Ausblick<br />
� <strong>Management</strong> <strong>System</strong>e entwickeln Unternehmen weiter<br />
� Nachhaltiger Unternehmenserfolg kann immer häufiger sichergestellt werden<br />
www.digicomp.ch<br />
34
Wieso Wieso Risikomanagement Risikomanagement und und <strong>ISMS</strong>?<br />
<strong>ISMS</strong>?<br />
� „Unser „Unser Geschäft Geschäft & & unsere unsere unsere IT IT funktioniert funktioniert auch auch ohne ohne RM RM & & <strong>ISMS</strong>!“<br />
<strong>ISMS</strong>!“<br />
� Sind Sie sicher?<br />
� Kennen Sie Ihre:<br />
� Prozesse, Abläufe<br />
� Anforderungen (der ‚relevanten‘ Anspruchsgruppen)<br />
�� Verpflichtungen (Gesetz & Branche)<br />
� Wie prüfen Sie heute:<br />
� Unternehmenserfolg<br />
� Qualitäts- und Sicherheitslevel<br />
www.digicomp.ch<br />
� Kommunizieren Sie den Q- / Si-Level gegen aussen? Wenn ja, wie?<br />
� Einhaltung der Anforderungen & Verpflichtungen<br />
� Nachweis für Risikomanagement, Risikobewirtschaftung<br />
� Benötigen Sie Fremdkapital vom freien Kapitalmarkt?<br />
� Sind Sie verpflichtet, Ihre Bücher durch eine ‚ordentliche Revision‘ gemäss<br />
revOR prüfen zu lassen?<br />
� Sind Sie an der Börse kotiert?<br />
35
Fragen Fragen und und Antworten<br />
Antworten<br />
� Haben Sie Ihr spezifisches <strong>ISMS</strong> bereits geplant oder gar<br />
umgesetzt?<br />
�� Haben Sie Fragen?<br />
Vielen Dank für Ihre Aufmerksamkeit!<br />
www.digicomp.ch<br />
36