IT Sicherheit Teil 12/1 Zertifizierungen ISO
6. Zertifizierungen
Über das Rating hinaus bestehen für Unternehmen Möglichkeiten, Zertifikate für IT-Sicherheit zu erwerben. Für Unternehmen existieren hierzu verschiedene Möglichkeiten der Zertifizierung.Der Ablauf für Zertifizierungen ähnelt sich in der Regel: zunächst beantragt oder beauftragt man die zuständige Stelle. Daraufhin wird von dieser Stelle eine ausführliche Prüfung der gesamten IT-Anlage sowie von allen technischen Arbeitsprozessen durchgeführt, ggf. Maßnahmen empfohlen und nach Umsetzung ein Zertifikat erteilt.
Zertifikate lassen sich von unterschiedlichen Stellen erstellen, zu unterschiedlichen Zwecken. Bewegt sich ein Unternehmen im internationalen Umfeld, so wird vor Abschluss von Verträgen für den Vertragspartner oftmals die Zertifizierung nach dem internationalen Standard ISO relevant sein. Auf nationaler Ebene, aber mit einem hohen Ansehen durch einen besonders hohen Standard, besteht die Möglichkeit, sich durch das Bundesamt für Sicherheit und Informationstechnik BSI zertifizieren zu lassen. Zuletzt gibt es auch Zertifikate von unabhängigen Dienstleistern.
6.1 Zertifizierung nach ISO 17799 /ISO 27001
Die ISO 17799 ist ein internationaler Standard, der diverse Kontrollmechanismen für die Informationssicherheit beinhaltet. Die aktuelle, vollständige Bezeichnung lautet „Information Technology – Code of practice for information security management“.
Grundlage für diese Standardisierung waren eine Reihe von Erfahrungen, Verfahren und Methoden aus der Praxis, basiert also auch einem Best-Practice-Ansatz.
Die ISO 17799 befasst sich mit den folgenden 11 Überwachungsbereichen:
1. Weisungen und Richtlinien zu Informationssicherheit
2. Organisatorische Sicherheitsmaßnahmen und Managementprozesse
3. Verantwortung und Klassifizierung von Informationswerten
4. Personelle Sicherheit
5. Physische Sicherheit und öffentliche Versorgungsdienste
6. Netzwerk und Betriebssicherheit
7. Zugriffskontrolle
8. Systementwicklung und Wartung
9. Umgang mit Sicherheitsvorfällen
10. Notfallvorsorgeplanung
11. Einhaltung rechtlicher Vorgaben, der Sicherheitsrichtlinien und Überprüfungen durch Audits
Eine Zertifizierung nach ISO 17799 ist jedoch grundsätzlich nicht möglich, da es sich hierbei nur um einen Katalog von Vorschlägen und nicht um konkrete Forderungen handelt. Soll ein Informationssystem zertifiziert werden, so ist dies vielmehr nur durch die Erfüllung der Anforderungen nach ISO 27001 möglich.
Die internationale Norm ISO 27001 (Information technology - Security technics – Information security management systems – Requirements) spezifiziert die Anforderungen für die Herstellung Einführung, Betrieb, Überwachung, Wartung eines Informationssicherheits-Managementsystems unter Berücksichtigung der Risiken innerhalb der gesamten Organisation. Die Norm wurde entworfen, um die Auswahl geeigneter Sicherheitsmaßnahmen zum Schutz sämtlicher IT-Assets sicherzustellen.
Im Hinblick auf Sinn und Zweck einer solchen Zertifizierung nach ISO 27001 ist sie für verschiedene Bereiche anwendbar:
- Zur Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
- Zum kosteneffizienten Management von Sicherheitsrisiken
- Zur Sicherstellung der Konformität mit Gesetzen und Regulatorien
- Als Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
- Zur Definition von neuen Informationssicherheits-Managementprozessen
- Zur Identifikation und Definition von bestehenden Informationssicherheits-Managementprozessen
- Zur Definition von Informationssicherheits-Managementtätigkeiten
- Zum Gebrauch durch interne und externe Auditoren zur Feststellung zur Feststellung des Umsetzungsgrades von Richtlinien und Standards.
Um ein internationales Zertifikat nach ISO 27001 zu erhalten, muss das Unternehmen dies zunächst bei der zuständigen Zertifizierungsstelle beantragen. Für ein Zertifikat nach ISO 27001 ist diese Stelle das Budesamt für Sicherheit in der Informationstechnik (BSI). Das BSI entsendet daraufhin einen hierfür lizenzierten Auditor, beziehungsweise ein Auditorenteam und deren Erfüllungsgehilfen.
Die Auditoren sind ein hierfür speziell geschultes Fachpersonen, die den Auditprozess mit angemessener Sorgfalt, Unabhängigkeit und Objektivität sowie mit Verschwiegenheitspflicht bezüglich betrieblicher Geheimnisse durchführen. Nach der Entsendung der Auditoren und einer ersten Vorprüfung wird das eigentliche Auditverfahren in Gang gesetzt.
Das Auditverfahren setzt sich aus mehreren Schritten zusammen. Zunächst führt der Auditor eine Sichtung der vom Unternehmen vorgelegten Referenzdokumente wie etwa IT-Security-Policy, IT-Strukturanalyse, Risikoanalyse, Modellierung des IT-Verbunds, Schutzbedarfsfeststellung, Ergebnisse von einfachen Sicherheitschecks oder Risikoanalysen, durch.
Nach Beendigung dieser Sichtung werden im Unternehmen vor Ort alle notwendigen Maßnahmen zur Vorbereitung der Hauptkontrolle getroffen. Daraufhin fertigt der Auditor einen ersten Zwischenbericht an, der dem Unternehmen vorgelegt wird. Das Unternehmen bekommt nun die Möglichkeit Umstellungen oder Nachbesserungen zu tätigen, sofern dies nötig ist. Der Auditor ist befugt, hierfür eine angemessene Frist zu setzen.
Der zweite Schritt des Auditverfahrens ist die so genannte Vor-Ort-Kontrolle. Bei diesem Schritt führt der Auditor stichprobenartige Kontrollen im Unternehmen selbst durch. Hier wird die Umsetzung aller IT-Sicherheits- und aller IT-Grundschutzmaßnahmen überprüft. Alle Sicherheitsmaßnahmen vor Ort können in die Prüfung mit eingezogen werden.
Auch im Anschluss an diesen Schritt wird vom Auditor noch einmal ein Zwischenbericht angefertigt, der das Unternehmen auf noch existierende Sicherheitsmängel hinweisen darf. Diese Sicherheitsmängel können nun wiederum binnen einer vom Auditor festgelegten Frist behoben werden.
Nach der Durchführung dieser beiden Teilschritte fertigt der Auditor, bzw. das Auditorenteam einen ausführlichen Abschlussbericht über den gesamten Prüfprozess an. Dieser so genannte Audit-Report enthält alle Prüfergebnisse des Auditors. Der Audit-Report richtet sich ausschließlich an die Zertifizierungsstelle und das Unternehmen, das den Antrag auf ein ISO 27001 Zertifikat gestellt hat. Alle Inhalte werden von der Zertifizierungsstelle vertraulich behandelt.
Wenn der Audit-Report nun bei der Zertifizierungsstelle, dem BSI, vorliegt, wird der gesamte Bericht nochmals von dieser Stelle geprüft. Dadurch wird ein einheitliches Niveau aller Zertifizierungen gewährleistet. Wird der Audit-Report nun von der Zertifizierungsstelle akzeptiert und sind seitens des antragstellenden Unternehmens all angefallenen Gebühren bezahlt, so wird dem Unternehmen das ISO 27001 Zertifikat verliehen.
Als Dokument wird eine Zertifikats-Urkunde ausgestellt, die die Bezeichnung des Zertifikats und das Logo des BSI trägt.
Kommen die Auditoren zu einem negativen Ergebnis, so muss dieses trotzdem der Zertifizierungsstelle mitgeteilt werden. Hieraus ergeben sich jedoch für das Unternehmen keine negativen Konsequenzen. Die Zertifizierungsstelle ist verpflichtet, alle erlangten Daten streng vertraulich zu behandeln. Auch bei negativem Ausgang eines Audit-Prozesses muss der Antragsteller folglich nicht mit etwaigen Wettbewerbsnachteilen rechnen. Nachteilig ist vielmehr, dass das Unternehmen auch bei negativem Ergebnis die vollen Kosten des Zertifizierungsprozesses zu tragen hat.
Ein ISO 27001 Zertifikat hat eine Gültigkeit von zwei Jahren. Ist die Gültigkeit abgelaufen, so kann das Zertifikat unter vereinfachten Bedingungen erneut beantragt und verliehen werden. Eine Verlängerung der Audit-Testdaten über diese Zwei-Jahres-Frist hinaus ist jedoch nicht möglich. Hierfür ist ein erneutes Auditverfahren erforderlich.
Ein ISO 27001 Zertifikat ist vor allem für Unternehmen von Nutzen, die international tätig sind. Das Zertifikat wird weltweit anerkannt und vermittelt über das Unternehmen, das es trägt, vielerlei positive Informationen. Das Zertifikat beinhaltet in der Regel ein Firmenprofil, welches es anderen Unternehmen und Handelspartnern einfacher macht, Einblicke in Organisation und Wirkungsweise des Unternehmens zu haben. Gleichermaßen beinhaltet es Bankinformationen, die wichtige Aussagen über die Solvabilität des Unternehmens enthalten. Für ISO-zertifizierte Unternehmen existieren deutliche Vorteile bei der Vergabe von Unternehmenskrediten oder der Kreditwürdigkeit generell.
Nicht zuletzt hat ein ISO – Zertifikat eine beträchtliche Werbewirkung, denn es garantiert die Verlässlichkeit und Seriösität des Unternehmens. Handelspartner und Kunden können sich hiervon überzeugen. Den Unternehmen ist es grundsätzlich gestattet, mit dem verliehenen Zertifikat für sich zu werben.
Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches
Links zu allen Beiträgen der Serie IT-Sicherheit
Stand: 03/07
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Das Referat Vertragsrecht wird bei Brennecke & Partner Rechtsanwälte betreut von:
Unsere Anwälte beraten und vertreten Sie in allen Bereichen des Vertragsrechts. Wir gestalten Verträge für Sie, prüfen Ihnen vorgelegte Verträge darauf, ob diese ihre berechtigten Interessen wiedergeben sowie auf für Sie ungünstige Klauseln, optimieren Vertragsformulierungen für die von Ihnen angestrebten Zwecke, prüfen Beendigungsmöglichkeiten für Sie und machen Ihre Ansprüche aus Verträgen für Sie geltend.
Wir verhandeln Verträge für Ihre Interessen.
Jeder unserer Anwälte berät und vertritt hinsichtlich derjenigen Verträge aus dem von ihm bearbeiteten Rechtsgebiet. Die Bearbeiter der jeweiligen Rechtsgebiete finden Sie jeweils unter den Beiträgen und Darstellungen unserer Rechtsinfos, die Sie im zweiten Menu von links nach Referaten geordnet wiederfinden.
Mehr Beiträge zum Thema finden Sie unter:
Rechtsinfos/ Datenschutzrecht/ IT-SecurityRechtsinfos/ Haftungsrecht
Rechtsinfos/ Vertragsrecht/ Gewährleistung