Neues aus der Standardisierung: ISO/IEC 27001 & 27002:2013 ... · xiv-consult GmbH 2.12.2014 Dr....

Neues aus der Standardisierung: !ISO/IEC 27001 & 27002:2013

Dr.-Ing. Oliver Weissmann Co-Editor der ISO/IEC 27002:2013 ZertiFA 2014, Berlin, 02.12.2014

Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014

xiv-consult GmbH

Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 2 2.12.2014

Awareness

Social Engineering

Trainings

Datenschutz

ENWG §44

Preparation

BCBS 239

MA Risk

Dienstleisterkontrolle

ITGS

2700x Implementation

Control Implementation

Compliance

Security Softskills

Security Management

Industrial Security Legal Support

Standards....

-  ISO/IEC 15946–1:1999 Information Technology – Security Techniques – Cryptographic Techniques Based on Elliptic Curves – Part 1: General

-  ISO/IEC 27002:2005 Information Technology – Security Techniques – Code of Practice for Information Security Management

-  ISO/IEC 27000:2009 Information Technology – Security Techniques – Information Security Management Systems – Overview and Vocabulary

-  ISO/IEC 27003:2010 Information Technology – Security Techniques – Information Security Management System Implementation Guidance

-  ISO/IEC 27002:2013 Information Technology – Security Techniques – Code of Practice for Information Security Controls

2.12.2014 Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 3

Zeitstrahl – Security Management ist nicht neu!


1980

1989

1993

1995

1998

1999

2000

2005

2007

2008

2009

2010

2013

4 2.12.2014

Verteilung der ISO 27001 Zertifikate


0 1250 2500 3750 5000

JapanUKIndiaTaiwanChinaGermanyCzech RepublicKoreaUSAItalySpainHungaryMalayPolandThailandGreeceRest

5 2.12.2014

270xx Familie

27000 Überblick und Vokabular

27001 Managementsystem für Informationssicherheit - Anforderungen

27006 Anforderungen an Zertifizierer von Managementsystemen für Informationssicherheit

27002 Leitfaden / Code of Practice

27003 ISMS - Anleitung zur Implementation

27004 ISMS - Messung von Informationssicherheit

TR 27016 ISMS - Organisationsökonomie

TR 27008 Leitfaden zur Prüfung von ISMS Maßnahmen

27007 Leitfaden zur Prüfung eines ISMS

27005 ISMS - Risikomanagement

27013 Leitfaden zur integrierten Implementation von ISO/IEC 27000 und ISO/IEC 20000-1

27014 Governance von Informationssicherheit

27011 ISMS Leitfaden für Telekommunikation

27010 Informationssicherheitsleitfaden für die Inter Sektor- und Inter Organisations- Kommunikation 27015 ISMS Leitfaden für den Finanzdienstleistungen

2704x2703x

Vokabular

Anforderungs Standards

Anleitende Standards

Sektorspezifische Standards

ISMS

Sta

ndar

d Fa

milie

Massnahmenspezifische Standards


270xx Familie


27000 Terms and Definitions

27003 Impl. Guidance

27004 Measurements

27005 IS Risk Management

27006 Req. for Cert. Bodies

27007 Guidel. to Auditing

27008 GL. for Auditors on Controls

27001 Requirements

27002 Code of Practice

27010 Inter-sector inter-org. comm.

27017 Cloud Computing

27018 Public Cloud Computing Serv.

27799 Healthcare

27016 Organisational Economics

27015 Sector Financial Services

27014 Governance of InfoSec

27013 Integ. Impl. of 20000 & 27001

27011 Sector Telecommunication 27031 ICT Readiness for BCM

27032 Cyber Security

27033 Network Security

27034 Application Security

27035 IS Incident Mgmt.

27036 Supplier Relationships

27037 Digital Evidence

27039 IDPS

27040 Storage Security

27041-43 Investigation

27044 Sec. Inform. and Event Mgmt.

7 2.12.2014

ISO 27001:2013!Kap. 4 – Context of the organization


4.1 Understanding the organization and its context

Definition des Scope (Anwendungs-bereich) für das ISMS

Inhalte: §  Interner Kontext

§  Organisation §  Prozesse §  etc.

§  Externer Kontext §  Gesetzliche und regulatorische

Anforderungen §  Vertragliche Verpflichtungen §  Zulieferer (innerhalb und außerhalb

der Company) §  Interessierte Dritte (interested parties) §  Schnittstellen und Abhängigkeiten für

Aktivitäten, die innerhalb des ISMS durchgeführt werden und solcher, die von Externen zugeliefert werden

4.2 Understanding the needs and expectations of interested parties

4.3 Determining the scope of the information security management system

4.4 Information security management system

8 2.12.2014

ISO 27001:2013!Kap. 5 - Leadership


5.1 Leadership and commitment

Führung und Kommunikation der Informationssicherheitspolitik und deren Ziele Inhalte: §  Festlegung der Ziele für das ISMS im

Einklang mit den strategischen Unternehmenszielen

§  Bereitstellung der erforderlichen Ressourcen für das ISMS

§  Regelmäßige Kommunikation der Wichtigkeit des ISMS

§  Sicherstellung, dass beabsichtigte Resultate erreicht werden

§  Anweisung, dass MA die Effektivität des ISMS zu unterstützen haben

§  Forderung einer kontinuierlichen Verbesserung

5.2 Policy

5.3 Organizational roles, responsibilities and authorities

9 2.12.2014



Einführung einer Information Security Policy Inhalte: §  Ziele des ISMS bzw. Framework für

die Erreichung der der Ziele §  Verpflichtung zur Erfüllung von

anwendbaren Anforderungen §  Verpflichtung zur kontinuierlichen

Verbesserung des ISMS Diese Policy muss als Dokument: §  Allen beteiligten MA verfügbar sein §  Innerhalb des Scopes kommuniziert

werden §  Für beteiligte Dritte (interested parties)

verfügbar sein

10


5.2 Policy


2.12.2014



Rollen und Verantwortlichkeiten sowie deren Befugnisse Inhalte: §  Top-Management muss

Verantwortlichkeiten und deren Befugnisse eindeutig zuweisen

§  Sicherstellung eines Reporting über die Leistung (Performance) des ISMS an das Top-Management

11


5.2 Policy


2.12.2014

ISO 27001:2013!Kap. 6 - Planning


6.1 Actions to address risks and opportunities

Information Security Risk Management und SoA (Statement of Applicability) Inhalte: §  Risikoanalyse/-identifikation

Risikobewertung §  Festlegung des Risk Owners §  Festlegung von Risikoklassen/-stufen §  Kriterien für Risikoakzeptanz §  Risikobericht §  Risikobehandlung §  Definition von Maßnahmen gegen die

Risiken §  Erstellung des SoA §  Erstellung eines

Risikobehandlungsplan §  Risikoakzeptanz

6.2 Information security objectives and plans to achieve them

12 2.12.2014

ISO 27001:2013!Kap. 6 - Planning


Definition von Informations-sicherheitszielen Inhalte: §  Definition und Kommunikation der

Informationssicherheitsziele im Einklang mit den Unternehmenszielen

§  Messung der Informations-sicherheitsziele

§  Aktualisierung der Informations-sicherheitsziele – wenn erforderlich

13

6.1 Actions to address risks and opportunities

6.2 Information security objectives and plans to achieve them

2.12.2014

ISO 27001:2013!Kap. 7 - Support


7.1 Resources

Ressourcen Management für das ISMS Inhalte: §  Definition der erforderlichen

Ressourcen zum Aufbau, Betrieb und zur kontinuierlichen Verbesserung des ISMS

7.2 Competence

7.3 Awareness

7.4 Communication

7.5 Documented Information

14 2.12.2014



Kompetenzen / Fähigkeiten für die Informationssicherheit Inhalte: §  Feststellung der Kompetenzen

aller MA im Scope §  Erlangung der erforderlichen

Kompetenzen für MA und Rollen innerhalb des ISMS

§  Nachweis dieser Kompetenzen

15

7.1 Resources

7.2 Competence

7.3 Awareness

7.4 Communication


2.12.2014



Sensibilisierung / Awareness für die Informationssicherheit Beteiligte MA innerhalb des Scope müssen: §  Die Information Security Policy

und deren Inhalte kennen §  Wissen, dass sie einen Beitrag zur

Wirksamkeit des ISMS und der kontinuierlichen Verbesserung leisten müssen

§  Über die Auswirkungen bei nicht Befolgung der Anforderungen aus dem ISMS in Kenntnis gesetzt werden

16

7.1 Resources

7.2 Competence

7.3 Awareness

7.4 Communication


2.12.2014



Kommunikationsmanagement für das ISMS Inhalte: §  Was wird kommuniziert §  Wann wird kommuniziert §  Mit wem wird kommuniziert §  Wer kommuniziert §  Dokumentierte Verfahren für die

Kommunikation innerhalb des ISMS

17

7.1 Resources

7.2 Competence

7.3 Awareness

7.4 Communication


2.12.2014



Dokumentation für das ISMS Inhalte: §  Erstellung der durch die Norm und

durch das Unternehmen selbst geforderten Dokumentation

§  Dokumentenmanagement §  Erstellung §  Aktualisierung und Versionskontrolle §  Freigaben §  Formate §  Verteilung und Zugriffe §  Lagerung und Archivierung

§  Angemessener Schutz der ISMS Dokumentation

§  Identifikation von Dokumentation von externen Herkunft mit Einfluss auf das ISMS

18

7.1 Resources

7.2 Competence

7.3 Awareness

7.4 Communication


2.12.2014

ISO 27001:2013!Kap. 8 - Operation


8.1 Operational planning and control

Planung, Umsetzung und Kontrolle der für den Betrieb des ISMS erfor-derlichen Prozesse Inhalte: §  Planung und Umsetzung der

Maßnahmen aus dem Risikomanagement

§  Steuerung und Überprüfung geplanter Änderungen (Changes)

§  Identifikation und Steuerung ausgelagerter Prozesse(Outsourcing)

8.2 Information security risk assessement

8.3 Information security risk treatment

19 2.12.2014



Betrachtung der Informations-sicherheitsrisiken Inhalte: §  Durchführung von regelmäßigen

Risikobetrachtungen (risk assessment)

§  Verabschiedung / Freigabe eines Risikobehandlungsplan

20




2.12.2014



Risikobehandlung Inhalte: §  Erstellung und Umsetzung eines

Risikobehandlungsplan §  Dokumentation der Ergebnisse

aus der Risikobehandlung

21




2.12.2014

ISO 27001:2013!Kap. 9 – Performance evaluation


9.1 Monitoring, measurement, analysis and evaluation

Messung der Leistung und Effektivität des ISMS Inhalt: §  Methodik zur Messung, Analyse

und Bewertung §  Was wird gemessen §  Wann wird gemessen §  Wer misst §  Wie werden die Ergebnisse

ausgewertet §  Wer wertet die Ergebnisse

aus

9.2 Internal audit

9.3 Management review

22 2.12.2014



Interne (ISMS-)Audits Inhalte: §  Regelmäßige Durchführung von

internen Audits, um sicherzu-stellen, dass die Anforderrungen der Norm sowie die eigenen Anforderungen an das ISMS wirksam umgesetzt sind

§  Erstellung eines Auditprogramms unter Berücksichtigung der Wichtigkeit beteiligter Prozesse

§  Reporting der Auditergebnisse an das zuständige Management

23


9.2 Internal audit


2.12.2014



Managementbewertung des ISMS Inhalte: §  Durchführung einer

Managementbewertung des ISMS mit dem Top-Management §  Status von Maßnahmen §  Relevante Änderungen innerhalb

des Scopes §  Rückmeldungen von Beteiligten §  Ergebnisse aus Messungen §  Risikolage und Status der

Risikobehandlung §  Möglichkeiten zur

kontinuierlichen Verbesserung §  Schriftliche Dokumentation der

Entscheidungen aus der Managementbewertung

24


9.2 Internal audit


2.12.2014

ISO 27001:2013!Kap. 10 - Improvement


10.1 Nonconformity and corrective action

Reaktion bei Abweichungen zum zu den Resultaten aus dem ISMS Inhalte: §  Bewertung der Ursachen bei einer

Abweichung §  Ergreifung von geeigneten Maß-

nahmen zur Korrektur und Kon-trolle bei Abweichungen

§  Dokumentation der eingeleiteten Schritte

10.2 Continual improvement

25 2.12.2014

ISO 27001:2013!Kap. 10 - Improvement


Kontinuierliche Verbesserung des ISMS Inhalte: §  Sicherstellung der kontinuierlichen

Verbesserung des ISMS §  Eignung §  Angemessenheit §  Effektivität

26

10.1 Nonconformity and corrective action

10.2 Continual improvement

2.12.2014

ISO 27001:2013!Wo ist der deming cycle (PDCA)?


Plan Do Check Act

4 - Context of the organization

5 - Leadership

6 - Planning

7 - Support

8 - Operation 9 - Performance evaluation 10 - Improvement

27 2.12.2014

Änderungen von der ISO 27001:2005 zur ISO 27001:2013


3. Terms and definitions

0. Introduction

1. Scope

2. Normative references

3. Terms and definitions

0. Introduction

1. Scope

2. Normative references

7. Support

4. Context of the organisation

5. Leadership

6. Planning

8. Operation

9. Performance Evaluation

10. Improvement

4.3 Documentation requirements

4. Information security management system

4.1 General

4.2 Establishing and managing the ISMS

8. ISMS improvement

5. Management responsibility

6. Internal ISMS audits

7. Management review of the ISMS

4

3

2

1

10

11

6

5

9

8

7

28 2.12.2014

Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 29

27002:2013 Code of Practice for Information Security

2.12.2014

27002: Fokus

Ziele -  Anwendbar als alleinstehender Standard -  klare Anforderungen -  einfacher umzusetzen -  Reduzierung von Redundanzen -  Fortschreibung, um ein “Information Security Standard” des

21.sten Jahrhunderts zu werden -  über 3.000 technische Änderungen


27002: Struktur


5 - Security Policies

6 - Organization of Information Security

7 - Human Resource Security

8 - Asset Management

10 - Cryptography

12 - Operations Security

9 - Access Control

11 - Physical and Environmental Security

13 - Communications Security

14 - Sys. Acc. Dev. And Maintenance

15 - Supplier Relationships

17 - Info. Sec. Aspects of BCM

16 - IS Incident Management

18 - Compliance

2.12.2014

27002:Supplier Relationships


15.1.1 Information security policy for supplier relationships Information security requirements for mitigating the risks associated with supplier’s access to the organization‘s assets should be agreed with the supplier and documented.

15.1 Information security in supplier relationships

15.1.2 Adressing security within supplier agreements All relevant information security requirements should be established and agreed with each supplier that may access, process, store, communicate or provide IT infrastructure components for, the organization’s information.

15.1.3 Information and communication technology supply chain Agreements with suppliers should include requirements to address the information security risks associated with information and communications technology sevices and product supply chain.

Objective: To ensure protection of the organization’s assets that is accessible by suppliers.

2.12.2014

Neue Standards in der Entwicklung

-  27021 : Information Security Management Systems Professionals

-  27009 : Sector Specific Applications of ISMS


Fachartikel zum nachlesen

“Neues von der ISO 2700x – Änderungen in ISO 27001 und ISO 27002 durch die Revision von 2013“ -  Fachartikel von Andreas Rauer und Dr. Oliver Weissmann -  erschienen in “<kes> – Die Zeitschrift für Informations-

sicherheit”, Ausgabe 2013#6, S.83-89 -  Download des Artikels als PDF:

http://www.xiv-consult.de/?page_id=400

02.12.2014 Dr. Oliver Weissmann - ISO 27001 & 27002:2013 - ZertiFA 2014 34

Kontaktdaten


Dr.-Ing. Oliver Weissmann

Email: [email protected] Tel: +49 151 14968129

xiv-consult GmbH Wintermühlenhof 4 53639 Königswinter

2.12.2014

Neues aus der Standardisierung: ISO/IEC 27001 & 27002:2013 ... · xiv-consult GmbH 2.12.2014 Dr....

Documents

Transcript of Neues aus der Standardisierung: ISO/IEC 27001 & 27002:2013 ... · xiv-consult GmbH 2.12.2014 Dr....