neues aus der standardisierung: iso/iec 27001 & 27002:2013 ... · xiv-consult gmbh 2.12.2014...
TRANSCRIPT
Neues aus der Standardisierung: !ISO/IEC 27001 & 27002:2013
Dr.-Ing. Oliver Weissmann Co-Editor der ISO/IEC 27002:2013 ZertiFA 2014, Berlin, 02.12.2014
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
xiv-consult GmbH
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 2 2.12.2014
Awareness
Social Engineering
Trainings
Datenschutz
ENWG §44
Preparation
BCBS 239
MA Risk
Dienstleisterkontrolle
ITGS
2700x Implementation
Control Implementation
Compliance
Security Softskills
Security Management
Industrial Security Legal Support
Standards....
- ISO/IEC 15946–1:1999 Information Technology – Security Techniques – Cryptographic Techniques Based on Elliptic Curves – Part 1: General
- ISO/IEC 27002:2005 Information Technology – Security Techniques – Code of Practice for Information Security Management
- ISO/IEC 27000:2009 Information Technology – Security Techniques – Information Security Management Systems – Overview and Vocabulary
- ISO/IEC 27003:2010 Information Technology – Security Techniques – Information Security Management System Implementation Guidance
- ISO/IEC 27002:2013 Information Technology – Security Techniques – Code of Practice for Information Security Controls
2.12.2014 Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 3
Zeitstrahl – Security Management ist nicht neu!
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
1980
1989
1993
1995
1998
1999
2000
2005
2007
2008
2009
2010
2013
4 2.12.2014
Verteilung der ISO 27001 Zertifikate
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
0 1250 2500 3750 5000
JapanUKIndiaTaiwanChinaGermanyCzech RepublicKoreaUSAItalySpainHungaryMalayPolandThailandGreeceRest
5 2.12.2014
270xx Familie
27000 Überblick und Vokabular
27001 Managementsystem für Informationssicherheit - Anforderungen
27006 Anforderungen an Zertifizierer von Managementsystemen für Informationssicherheit
27002 Leitfaden / Code of Practice
27003 ISMS - Anleitung zur Implementation
27004 ISMS - Messung von Informationssicherheit
TR 27016 ISMS - Organisationsökonomie
TR 27008 Leitfaden zur Prüfung von ISMS Maßnahmen
27007 Leitfaden zur Prüfung eines ISMS
27005 ISMS - Risikomanagement
27013 Leitfaden zur integrierten Implementation von ISO/IEC 27000 und ISO/IEC 20000-1
27014 Governance von Informationssicherheit
27011 ISMS Leitfaden für Telekommunikation
27010 Informationssicherheitsleitfaden für die Inter Sektor- und Inter Organisations- Kommunikation 27015 ISMS Leitfaden für den Finanzdienstleistungen
2704x2703x
Vokabular
Anforderungs Standards
Anleitende Standards
Sektorspezifische Standards
ISMS
Sta
ndar
d Fa
milie
Massnahmenspezifische Standards
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 6 2.12.2014
270xx Familie
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
27000 Terms and Definitions
27003 Impl. Guidance
27004 Measurements
27005 IS Risk Management
27006 Req. for Cert. Bodies
27007 Guidel. to Auditing
27008 GL. for Auditors on Controls
27001 Requirements
27002 Code of Practice
27010 Inter-sector inter-org. comm.
27017 Cloud Computing
27018 Public Cloud Computing Serv.
27799 Healthcare
27016 Organisational Economics
27015 Sector Financial Services
27014 Governance of InfoSec
27013 Integ. Impl. of 20000 & 27001
27011 Sector Telecommunication 27031 ICT Readiness for BCM
27032 Cyber Security
27033 Network Security
27034 Application Security
27035 IS Incident Mgmt.
27036 Supplier Relationships
27037 Digital Evidence
27039 IDPS
27040 Storage Security
27041-43 Investigation
27044 Sec. Inform. and Event Mgmt.
7 2.12.2014
ISO 27001:2013!Kap. 4 – Context of the organization
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
4.1 Understanding the organization and its context
Definition des Scope (Anwendungs-bereich) für das ISMS
Inhalte: § Interner Kontext
§ Organisation § Prozesse § etc.
§ Externer Kontext § Gesetzliche und regulatorische
Anforderungen § Vertragliche Verpflichtungen § Zulieferer (innerhalb und außerhalb
der Company) § Interessierte Dritte (interested parties) § Schnittstellen und Abhängigkeiten für
Aktivitäten, die innerhalb des ISMS durchgeführt werden und solcher, die von Externen zugeliefert werden
4.2 Understanding the needs and expectations of interested parties
4.3 Determining the scope of the information security management system
4.4 Information security management system
8 2.12.2014
ISO 27001:2013!Kap. 5 - Leadership
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
5.1 Leadership and commitment
Führung und Kommunikation der Informationssicherheitspolitik und deren Ziele Inhalte: § Festlegung der Ziele für das ISMS im
Einklang mit den strategischen Unternehmenszielen
§ Bereitstellung der erforderlichen Ressourcen für das ISMS
§ Regelmäßige Kommunikation der Wichtigkeit des ISMS
§ Sicherstellung, dass beabsichtigte Resultate erreicht werden
§ Anweisung, dass MA die Effektivität des ISMS zu unterstützen haben
§ Forderung einer kontinuierlichen Verbesserung
5.2 Policy
5.3 Organizational roles, responsibilities and authorities
9 2.12.2014
ISO 27001:2013!Kap. 5 - Leadership
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
Einführung einer Information Security Policy Inhalte: § Ziele des ISMS bzw. Framework für
die Erreichung der der Ziele § Verpflichtung zur Erfüllung von
anwendbaren Anforderungen § Verpflichtung zur kontinuierlichen
Verbesserung des ISMS Diese Policy muss als Dokument: § Allen beteiligten MA verfügbar sein § Innerhalb des Scopes kommuniziert
werden § Für beteiligte Dritte (interested parties)
verfügbar sein
10
5.1 Leadership and commitment
5.2 Policy
5.3 Organizational roles, responsibilities and authorities
2.12.2014
ISO 27001:2013!Kap. 5 - Leadership
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
Rollen und Verantwortlichkeiten sowie deren Befugnisse Inhalte: § Top-Management muss
Verantwortlichkeiten und deren Befugnisse eindeutig zuweisen
§ Sicherstellung eines Reporting über die Leistung (Performance) des ISMS an das Top-Management
11
5.1 Leadership and commitment
5.2 Policy
5.3 Organizational roles, responsibilities and authorities
2.12.2014
ISO 27001:2013!Kap. 6 - Planning
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
6.1 Actions to address risks and opportunities
Information Security Risk Management und SoA (Statement of Applicability) Inhalte: § Risikoanalyse/-identifikation
Risikobewertung § Festlegung des Risk Owners § Festlegung von Risikoklassen/-stufen § Kriterien für Risikoakzeptanz § Risikobericht § Risikobehandlung § Definition von Maßnahmen gegen die
Risiken § Erstellung des SoA § Erstellung eines
Risikobehandlungsplan § Risikoakzeptanz
6.2 Information security objectives and plans to achieve them
12 2.12.2014
ISO 27001:2013!Kap. 6 - Planning
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
Definition von Informations-sicherheitszielen Inhalte: § Definition und Kommunikation der
Informationssicherheitsziele im Einklang mit den Unternehmenszielen
§ Messung der Informations-sicherheitsziele
§ Aktualisierung der Informations-sicherheitsziele – wenn erforderlich
13
6.1 Actions to address risks and opportunities
6.2 Information security objectives and plans to achieve them
2.12.2014
ISO 27001:2013!Kap. 7 - Support
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
7.1 Resources
Ressourcen Management für das ISMS Inhalte: § Definition der erforderlichen
Ressourcen zum Aufbau, Betrieb und zur kontinuierlichen Verbesserung des ISMS
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documented Information
14 2.12.2014
ISO 27001:2013!Kap. 7 - Support
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
Kompetenzen / Fähigkeiten für die Informationssicherheit Inhalte: § Feststellung der Kompetenzen
aller MA im Scope § Erlangung der erforderlichen
Kompetenzen für MA und Rollen innerhalb des ISMS
§ Nachweis dieser Kompetenzen
15
7.1 Resources
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documented Information
2.12.2014
ISO 27001:2013!Kap. 7 - Support
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
Sensibilisierung / Awareness für die Informationssicherheit Beteiligte MA innerhalb des Scope müssen: § Die Information Security Policy
und deren Inhalte kennen § Wissen, dass sie einen Beitrag zur
Wirksamkeit des ISMS und der kontinuierlichen Verbesserung leisten müssen
§ Über die Auswirkungen bei nicht Befolgung der Anforderungen aus dem ISMS in Kenntnis gesetzt werden
16
7.1 Resources
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documented Information
2.12.2014
ISO 27001:2013!Kap. 7 - Support
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
Kommunikationsmanagement für das ISMS Inhalte: § Was wird kommuniziert § Wann wird kommuniziert § Mit wem wird kommuniziert § Wer kommuniziert § Dokumentierte Verfahren für die
Kommunikation innerhalb des ISMS
17
7.1 Resources
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documented Information
2.12.2014
ISO 27001:2013!Kap. 7 - Support
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
Dokumentation für das ISMS Inhalte: § Erstellung der durch die Norm und
durch das Unternehmen selbst geforderten Dokumentation
§ Dokumentenmanagement § Erstellung § Aktualisierung und Versionskontrolle § Freigaben § Formate § Verteilung und Zugriffe § Lagerung und Archivierung
§ Angemessener Schutz der ISMS Dokumentation
§ Identifikation von Dokumentation von externen Herkunft mit Einfluss auf das ISMS
18
7.1 Resources
7.2 Competence
7.3 Awareness
7.4 Communication
7.5 Documented Information
2.12.2014
ISO 27001:2013!Kap. 8 - Operation
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
8.1 Operational planning and control
Planung, Umsetzung und Kontrolle der für den Betrieb des ISMS erfor-derlichen Prozesse Inhalte: § Planung und Umsetzung der
Maßnahmen aus dem Risikomanagement
§ Steuerung und Überprüfung geplanter Änderungen (Changes)
§ Identifikation und Steuerung ausgelagerter Prozesse(Outsourcing)
8.2 Information security risk assessement
8.3 Information security risk treatment
19 2.12.2014
ISO 27001:2013!Kap. 8 - Operation
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
Betrachtung der Informations-sicherheitsrisiken Inhalte: § Durchführung von regelmäßigen
Risikobetrachtungen (risk assessment)
§ Verabschiedung / Freigabe eines Risikobehandlungsplan
20
8.1 Operational planning and control
8.2 Information security risk assessement
8.3 Information security risk treatment
2.12.2014
ISO 27001:2013!Kap. 8 - Operation
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
Risikobehandlung Inhalte: § Erstellung und Umsetzung eines
Risikobehandlungsplan § Dokumentation der Ergebnisse
aus der Risikobehandlung
21
8.1 Operational planning and control
8.2 Information security risk assessement
8.3 Information security risk treatment
2.12.2014
ISO 27001:2013!Kap. 9 – Performance evaluation
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
9.1 Monitoring, measurement, analysis and evaluation
Messung der Leistung und Effektivität des ISMS Inhalt: § Methodik zur Messung, Analyse
und Bewertung § Was wird gemessen § Wann wird gemessen § Wer misst § Wie werden die Ergebnisse
ausgewertet § Wer wertet die Ergebnisse
aus
9.2 Internal audit
9.3 Management review
22 2.12.2014
ISO 27001:2013!Kap. 9 – Performance evaluation
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
Interne (ISMS-)Audits Inhalte: § Regelmäßige Durchführung von
internen Audits, um sicherzu-stellen, dass die Anforderrungen der Norm sowie die eigenen Anforderungen an das ISMS wirksam umgesetzt sind
§ Erstellung eines Auditprogramms unter Berücksichtigung der Wichtigkeit beteiligter Prozesse
§ Reporting der Auditergebnisse an das zuständige Management
23
9.1 Monitoring, measurement, analysis and evaluation
9.2 Internal audit
9.3 Management review
2.12.2014
ISO 27001:2013!Kap. 9 – Performance evaluation
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
Managementbewertung des ISMS Inhalte: § Durchführung einer
Managementbewertung des ISMS mit dem Top-Management § Status von Maßnahmen § Relevante Änderungen innerhalb
des Scopes § Rückmeldungen von Beteiligten § Ergebnisse aus Messungen § Risikolage und Status der
Risikobehandlung § Möglichkeiten zur
kontinuierlichen Verbesserung § Schriftliche Dokumentation der
Entscheidungen aus der Managementbewertung
24
9.1 Monitoring, measurement, analysis and evaluation
9.2 Internal audit
9.3 Management review
2.12.2014
ISO 27001:2013!Kap. 10 - Improvement
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
10.1 Nonconformity and corrective action
Reaktion bei Abweichungen zum zu den Resultaten aus dem ISMS Inhalte: § Bewertung der Ursachen bei einer
Abweichung § Ergreifung von geeigneten Maß-
nahmen zur Korrektur und Kon-trolle bei Abweichungen
§ Dokumentation der eingeleiteten Schritte
10.2 Continual improvement
25 2.12.2014
ISO 27001:2013!Kap. 10 - Improvement
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
Kontinuierliche Verbesserung des ISMS Inhalte: § Sicherstellung der kontinuierlichen
Verbesserung des ISMS § Eignung § Angemessenheit § Effektivität
26
10.1 Nonconformity and corrective action
10.2 Continual improvement
2.12.2014
ISO 27001:2013!Wo ist der deming cycle (PDCA)?
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
Plan Do Check Act
4 - Context of the organization
5 - Leadership
6 - Planning
7 - Support
8 - Operation 9 - Performance evaluation 10 - Improvement
27 2.12.2014
Änderungen von der ISO 27001:2005 zur ISO 27001:2013
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014
3. Terms and definitions
0. Introduction
1. Scope
2. Normative references
3. Terms and definitions
0. Introduction
1. Scope
2. Normative references
7. Support
4. Context of the organisation
5. Leadership
6. Planning
8. Operation
9. Performance Evaluation
10. Improvement
4.3 Documentation requirements
4. Information security management system
4.1 General
4.2 Establishing and managing the ISMS
8. ISMS improvement
5. Management responsibility
6. Internal ISMS audits
7. Management review of the ISMS
4
3
2
1
10
11
6
5
9
8
7
28 2.12.2014
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 29
27002:2013 Code of Practice for Information Security
2.12.2014
27002: Fokus
Ziele - Anwendbar als alleinstehender Standard - klare Anforderungen - einfacher umzusetzen - Reduzierung von Redundanzen - Fortschreibung, um ein “Information Security Standard” des
21.sten Jahrhunderts zu werden - über 3.000 technische Änderungen
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 30 2.12.2014
27002: Struktur
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 31
5 - Security Policies
6 - Organization of Information Security
7 - Human Resource Security
8 - Asset Management
10 - Cryptography
12 - Operations Security
9 - Access Control
11 - Physical and Environmental Security
13 - Communications Security
14 - Sys. Acc. Dev. And Maintenance
15 - Supplier Relationships
17 - Info. Sec. Aspects of BCM
16 - IS Incident Management
18 - Compliance
2.12.2014
27002:Supplier Relationships
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 32
15.1.1 Information security policy for supplier relationships Information security requirements for mitigating the risks associated with supplier’s access to the organization‘s assets should be agreed with the supplier and documented.
15.1 Information security in supplier relationships
15.1.2 Adressing security within supplier agreements All relevant information security requirements should be established and agreed with each supplier that may access, process, store, communicate or provide IT infrastructure components for, the organization’s information.
15.1.3 Information and communication technology supply chain Agreements with suppliers should include requirements to address the information security risks associated with information and communications technology sevices and product supply chain.
Objective: To ensure protection of the organization’s assets that is accessible by suppliers.
2.12.2014
Neue Standards in der Entwicklung
- 27021 : Information Security Management Systems Professionals
- 27009 : Sector Specific Applications of ISMS
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 33 2.12.2014
Fachartikel zum nachlesen
“Neues von der ISO 2700x – Änderungen in ISO 27001 und ISO 27002 durch die Revision von 2013“ - Fachartikel von Andreas Rauer und Dr. Oliver Weissmann - erschienen in “<kes> – Die Zeitschrift für Informations-
sicherheit”, Ausgabe 2013#6, S.83-89 - Download des Artikels als PDF:
http://www.xiv-consult.de/?page_id=400
02.12.2014 Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 34
Kontaktdaten
Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 35
Dr.-Ing. Oliver Weissmann
Email: [email protected] Tel: +49 151 14968129
xiv-consult GmbH Wintermühlenhof 4 53639 Königswinter
2.12.2014