Alles über die ISO/IEC 27001 Zertifizierung

OCG Fachkonferenz
Date: 
Wednesday, 17.01.2018, 09:00 to 13:00
Ort: 

Österreichische Computer Gesellschaft
Wollzeile 1
1010 Wien

Topic: 
ISO27001 Zertifizierung

Die Norm ISO/IEC 27001 setzt einen international anerkannten Standard zur Zertifizierung von Informationssicherheitsmanagementsystemen (ISMS). Bei Audits wird die Einhaltung des Regelwerks überprüft und durch die Zertifizierung bestätigt die OCG die Konformität mit der Norm.
Objektivität, Neutralität und Unabhängigkeit gepaart mit intensiven Kontakten der OCG zu Wissenschaft, Forschung und Lehre, Behörden und der Wirtschaft bieten den Kunden die Sicherheit, hochqualitative Auditergebnisse zu einem guten Preis-Leistungsverhältnis zu erhalten und so nachhaltig von der Zertifizierung profitieren zu können.
Die Verbesserung der Informationssicherheit wird unterstützt und gleichzeitig reduziert eine Zertifizierung die persönliche Haftung der Geschäftsführung bei Vorfällen in den Bereichen IT-Sicherheit und Datenschutz erheblich.
 


Programm

9:00 Uhr – Begrüßung
OCG

9:15 Uhr – Die Wichtigkeit der ISO 27001 in Wirtschaft und öffentlichem Sektor
Wolfgang Prentner, ZTP | ZT PRENTNER IT GmbH, Vorsitzender des OCG Zertifizierungskomitees

9:30 Uhr -  ISO 27001 im Überblick – das Angebot der OCG
Wolfgang Resch, OCG

9:45 -  Informationssicherheitsmanagement durch ISO/IEC 27001
Georg Beham, Grant Thornton Unitreu Advisory GmbH, Mitglied des OCG Zertifizierungskomitees

Kaffeepause

10:45 Uhr - Berichte von OCG Referenzkunde ISO 27001

11:30 Uhr - Die neuen rechtlichen Regelungen für Zertifikate
Judith Leschanz, Secur-Data, Datenschutzbeauftragte von A1

12:00 Uhr Mittagssnack

 


Abstract

Die Wichtigkeit der ISO/IEC 27001 in Wirtschaft und öffentlichem Sektor

Die Sicherheit von Daten rückt nicht zuletzt durch die mit 25.5.2018 in Kraft tretende europäische Datenschutz-Grundverordnung mehr und mehr in das Bewußtsein von Unternehmen und Behörden. Die ISO 27001 bildet dazu eine wesentliche Grundlage.

 

 

 

 

ISO/IEC 27001 im Überblick – das Angebot der OCG

Die OCG ist seit Sommer 2013 als Zertifizierungsstelle für ISO/IEC 27001 Zertifizierungen akkreditiert (als 2. Stelle bisher in Österreich!). Im Vortrag wird die Zertifizierungsstelle und der Ablauf von Zertifizierungsprojekten, sowie folgende Themenbereiche im Normungsumfeld von Informationssicherheit und am Rande auch Datenschutz behandelt:

  • Die OCG – der gemeinnützige Verein als Know-How Träger im Bereich Informationssicherheit
    • ExpertInnen in allen IT-Fachbereichen
    • OCG-Arbeitskreis IT-Sicherheit
    • Zertifizierungskomitee
  • Vorstellung der OCG als Zertifizierungsstelle für Managementsysteme nach ISO 17021
  • Aktuelle Akkreditierungsumfang
  • Managementsystemnormen und die ISO/IEC 27000er Normengruppe
  • ISO 27001 im Kontext zu ISO 27002 bzw. den Branchennormen lt. ISO 27009
  • Exkurs DSGVO/Datenschutz: ISO 27552 bzw. bestehende/kommende andere Normen im Bereich Datenschutz
  • Dienstleistungsangebote der OCG
    • Zeitrahmen von Zertifizierungsprojekten
    • Strikte Trennung von Beratung und Zertifizierung
    • Ablauf des Zertifizierungsprozesses
    • GAP-Analysen und Prä-Audits
    • Auditaufwand, Expertise und Unabhängigkeit der OCG-AuditorInnen
    • personeller Aufwand – intern und externe Beratung
    • Auditzeiten und Kosten einer Zertifizierung

Über Wolfgang Resch

  • Seit 1992 in der OCG vor allem für die Bereiche Technik und Controlling zuständig
  • In OCG-Arbeitskreisen wie e|Government und IT-Sicherheit tätig und seit 2001 Registration Officer (zRO) für die A-Trust
  • Seit 2013 interne Leitung der ISMS Zertifizierungsstelle (ISO/IEC 27001) in der OCG und auch Mitglied im Zertifizierungskomitee
  • Seit 2014 Mitglied im ASI Komitee 001 (Informationstechnologie) sowie in der ASI AG 001-27 (Informationssicherheit) jeweils als Vertreter der OCG
  • Seit Mitte 2017: konstituierendes Mitglied bzw. Leitung der ASI AG 001-18 (Datenschutz), die derzeit an einer nationalen Norm für Datenschutzmanagementsystemen (DSMS) gemäß EU-DSGVO arbeitet


 

Informationssicherheitsmanagement durch ISO/IEC 27001

Unternehmerischer Erfolg hängt zunehmend von der Qualität und der Sicherheit der Unternehmensinformationen ab. Ein hohes Maß an Informationssicherheit ist somit ein erklärtes Unternehmensziel, um Verlust, Verfälschung, Missbrauch und unabsichtliche Offenlegung von Informationen zu verhindern, und um eine sichere und vertrauenswürdige Ausübung des Geschäfts zu gewährleisten.

Neben der professionellen Umsetzung bedarf es einer zielgerichteten Umsetzung und kontinuierlichen Kontrolle der Informationssicherheit. Der international anerkannte Standard für Informationssicherheitsmanagementsysteme (ISMS) „ISO/IEC 27001“ genießt eine weltweit hohe Reputation und ist ideal geeignet hierfür Qualität und Sicherheit nachzuweisen. Das Risiko, dass Lücken im Unternehmen unentdeckt bleiben und die Sicherheit des Unternehmens gefährden, wird durch die Implementierung eines ISMS nach ISO/IEC 27001 deutlich minimiert.

Im Vortrag werden folgende Themen sehr praxisnah und verständlich behandelt:

  • Warum Informationssicherheit?
  • Was bedeutet Informationssicherheitsmanagement?
  • Informationssicherheitsmanagement nach ISO/IEC 27001
  • Was ist die ISO/IEC 27001 und wie ist diese aufgebaut?
  • Zertifizierung nach ISO/IEC 27001 - Vorstellung eines Umsetzungsprojekts in 6 Schritten
    • Grundlagen zur Zertifizierung (Ablauf, Aufwand/Kosten, Dauer)
    • Durchführung einer GAP-Analyse (Gegenüberstellung der Anforderungen der Norm und des IST-Stands des Unternehmens zur Identifikation von Abweichungen/Gaps.
    • Einführung des ISMS / Implementierung (Abweichungen der GAP-Analyse adressieren und beseitigen - das Unternehmen ISO/IEC 27001 "ready" machen)
    • Auswahl der Zertifizierungsstelle
    • Zertifizierungsaudit
      Stage 1: Dokumentenaudit (Sichtung der verpflichtenden Dokumente)
      Stage 2: Konformitätsaudit (Überprüfung der Effektivität des ISMS mittels Interviews und Stichproben) 
      Identifikation von Abweichungen
    • Zertifizierungsentscheidung durch ZertifizierungsstelleJährliches Überwachungsaudit (Re-Zertifizierungsaudit im 3.Jahr)
  • Synergieeffekt durch ein integriertes Managementsystem für Datenschutz und Informationssicherheit
  • Ausblick

Georg BehamÜber Georg Beham

Georg Beham ist ISO/IEC 27001 Lead Auditor und Mitglied des OCG Zertifizierungskomitees. Darüber hinaus ist er geschäftsführender Partner bei der internationalen Wirtschaftsprüfungs- und Steuerberatungsgesellschaft Grant Thornton, wo er den Bereich IT-Advisory leitet. Georg Beham ist außerdem Gerichtssachverständiger für IT-Sicherheit und Computerforensik sowie Lektor an mehreren Hochschulen.

 

 

Berichte von OCG Referenzkunde ISO/IEC 27001

Bernhard Peham, ITandTELBernhard Peham

Erfahrungen zur ISO27001 Zertifizierung  

1.       Warum haben Sie sich für die ISO27001 Zertifizierung entschlossen?
Unsere Wachstumsstrategie braucht Verlässlichkeit und Nachhaltigkeit – auf allen Ebenen. Und gerade die Themen rund um die Informationssicherheit haben im betrieblichen Alltag wenig Fürsprecher, erhalten wenig Aufmerksamkeit. Das wollten wir ändern. Es kann nicht sein, dass die Informationssicherheit immer dann wichtig ist, nachdem etwas passiert. Wir suchten ein Management-Werkzeug, mit dem wir diesen Themen gleichrangig zu allen anderen Aufgaben im Management behandeln können.
 
2.       Wie ist der Prozess bei Ihnen abgelaufen?
Wir begannen mit Prozessen um unsere IT-Risiken besser beherrschen zu können. Eine Zertifizierung stand zu Beginn nicht zu Diskussion. Aber dann, nachdem wir die Erkenntnis gewonnen haben, dass unser Risiko-Management in einem umfassenderen Rahmen eingebunden werden sollte, haben wir die Vorteile der ISO27000 Norm erkannt. Die Zertifizierung war dann nur noch ein attraktives Ziel am Weg der Einführung in der Organisation.
 
3.       Welchen Nutzen sehen Sie in der Zertifizierung und was hat es Ihnen gebracht?
Unsere Organisation ist laufend mit Anpassung und Lernen beschäftigt. Neue Technologie, neue Kunden und neue Produkte. Mit der Zertifizierung haben wir Messpunkte mit denen wir erkennen, ob wir uns in die richtige, gewünschte Richtung weiterentwickeln. Von Audit zu Audit, von Zertifizierung zur nächsten Zertifizierung werden wir besser. Früher haben wir bei Änderungen oftmals bei null begonnen – immer wieder das Rad neu erfunden. Heute haben wir einen festen Rahmen und ein Fundament an Erkenntnissen, die ständig weiterwachsen.
 
4.       Wie war die Zusammenarbeit mit der OCG?
Es war eine gelungene Balance zwischen Struktur und Pragmatismus, zwischen Klarheit und Nachsicht.
 
5.       Was können Sie anderen Unternehmen empfehlen/raten, wann macht eine Zertifizierung Sinn?
Die wichtigere Frage scheint mir nicht wann, sondern wie. Also konkret: Welcher Bereich im Unternehmen ist besonders kritisch zu sehen. Diesen zu definieren und mit Hilfe einer Mehrjahresplanung die Zertifizierung anzustreben. Wann: Jetzt.
 
6.       Wie gehen Sie mit dem Thema DSGVO um?
Wenn Sie die Kapitelüberschriften  der DSGVO lesen, werden Sie entdecken, dass viele Regelungserfordernisse bereits in der ISO27001 angelegt sind. Wir haben daher eine sehr gute Ausgangsbasis für die DSGVO. Derzeit prüfen wir, welche Teile unseres Management-Systems durch die DSGVO erweitert werden muss. Die Anpassungen sind dank ISO27001 bis zum 25.Mai 2018 zu schaffen.
 

 

Georg Kraler, DVT - Daten-Verarbeitung-Tirol GmbH.
Die DVT - Daten-Verarbeitung-Tirol ist der IT-Dienstleister für das Land Tirol. Sie deckt mit knapp 100 Mitarbeitern alle wesentlichen EDV-Bereiche von der Beschaffung, Analyse und Design über die Software-Entwicklung bis hin zum Rechenzentrumsbetrieb inkl. Support ab. Die hundertprozentige Landestochter arbeitet seit ihrer Gründung 1997 in erster Linie für das Land Tirol selbst, stellt in dessen Auftrag aber auch IT-Services für Schulen, Gemeinden oder andere Bundesländer zur Verfügung.

 

Die neuen rechtlichen Regelungen für Zertifikate

Mit der Datenschutzgrundverordnung gibt es erstmals rechtliche Regelungen über Zertifikate und Zertifizierungsstellen in diesem Bereich.  Es Judith Leschanzwird spannend, wie sich diese neuen Regelungen auf schon bestehende Zertifikate auswirken bzw. welche neue Dienste auf den Markt kommen werden.

Über Judith Leschanz

Judith Leschanz ist seit mehr als 20 Jahren im Bereich Datenschutz tätig und verfügt über eine entsprechende Expertise.
Sie begann ihre Karriere in der mobilkom austria und ist seit dem in verschiedenen Managementpositionen im und Ausland des A1 Konzerns tätig. Zusätzlich fungiert sie als Vorstandsvorsitzende des Vereins der österreichischen betrieblichen und behördlichen Datenschutzbeauftragten (www.privacyofficers.at) und ist Geschäftsführerin der Secur-Data Betriebsberatungs-GmbH.