Consulting

Consulting

Möchten Sie wissen, auf welcher IT-Reifegrad-Stufe Ihr Unternehmen steht? Dann profitieren Sie vom Fachwissen der DSP, wenn es um Analyse, Trainings, Workshops, Projektmanagement, Zertifizierung und Interimsmanagement geht. Die Kernkompetenz der DSP besteht darin, mit Hilfe der Reifegradanalyse festzustellen, auf welcher Stufe sich die IT-Organisation des Unternehmens befindet und welche Maßnahmen Sie ergreifen müssen, um mit Ihrer Unternehmens-IT auf die Stufe der Value-IT – einer nachweislich reifen ITSM-Organisation – zu gelangen. Als Benchmark dienen uns die international anerkannten Best Practices (ITIL) und Standards (ISO) für das Service-Management (ISO 20000-1) das Information-Security-Management (ISO 27001), das Qualitäts-Management (ISO 9001) und das Compliance Management (ISO 19600).

Was Sie über eine ISO 20000-1- und ISO 27001-Zertifizierung wissen sollten!

Spricht man von einer ISO 20000-/ISO 27001-Zertifizierung, ist im Allgemeinen die Bestätigung für die erfolgreiche Implementierung und Anwendung eines SMS (Service Managementsystem) und eines ISMS (IT-Security Managementsystem) im Unternehmen gemeint. Die Zertifizierung kann nur von einem akkreditierten Zertifizierer, wie beispielsweise der DQS (Deutsche Gesellschaft zur Zertifizierung von Managementsystemen) nach einem erfolgreichen Audit vorgenommen werden.

Um zertifiziert zu werden, bedarf es im Vorfeld einer Menge an Vorbereitung und Organisation. Einerseits muss das Unternehmen dafür sorgen, dass hochwertige IT-Services – eine Kombination aus Hardware, Software und Dienstleistungen – stets prozessorientiert, nachhaltig und sicher auf einem mit Kunden definierten Qualitätsniveau produziert und geliefert werden. Andererseits dürfen zu schützende Informationen, die erhoben, gespeichert und verarbeitet werden, nicht außer Acht gelassen werden. Gemäß den Vorgaben der ISO 27001 müssen diese Informationen nämlich vertraulich, verfügbar und integer gehalten werden und somit auch die IT Systeme, die die zu schützenden Informationen erheben, speichern und verarbeiten. Dies schließt auch die Einhaltung der Regelungen des Datenschutzes gemäß der DSGVO mit ein. Im IT Bereich unterstützen sich die ISO 20000 sowie die ISO 27001 hinsichtlich der im IT Bereich geforderten ITIL Prozesse und der sicherheitsrelevanten Ausgestaltung der Prozesse wechselseitig: ISO 20000 liefert einen vorgegebenen Rahmen und Richtlinien für die IT Prozesse, die dann gemäß ISO 27001 ausgestaltet werden.

Im 4. Quartal 2022 wird die neue ISO Norm 27001 und folgerichtig auch die ISO 27002, die die Vorgaben aus der 27001 mit konkreten Maßnahmen untermauert, durch die International Organisation for Standardisation (ISO, UK) veröffentlicht.

Die ISO 27002 definiert einen breiten Katalog allgemeiner Sicherheitsmaßnahmen, die Unternehmen bei der Umsetzung der Anforderungen aus dem Annex A von ISO 27001 unterstützen sollten – und hat sich als praxisnaher Standard-Leitfaden in vielen IT- und Security-Abteilungen als anerkanntes Werkzeug etabliert. Anfang 2022 wurde ISO 27002 umfassend überarbeitet und aktualisiert – ein nach Ansicht vieler Experten überfälliger Schritt, wenn man die dynamische Entwicklung in der IT in den vergangenen Jahren betrachtet und weiß, dass Normen alle 5 Jahre auf Aktualität überprüft werden.

Für Unternehmen mit einem Zertifikat nach ISO 27001 – oder Betriebe, die die Zertifizierung demnächst angehen wollen – sind die jetzt auf den Weg gebrachten Neuerungen in doppelter Hinsicht relevant: Zum einen mit Blick auf notwendige Aktualisierungen der eigenen Sicherheitsmaßnahmen; zum anderen aber auch, weil diese Änderungen auf die zum Jahresende erwartete Aktualisierung von  ISO 27001 durchschlagen werden und damit für alle künftigen Zertifizierungen und Rezertifizierungen relevant sein werden. Grund genug also, die neue ISO 27002 genauer unter die Lupe zu nehmen.

Neue Struktur und neue Themenbereiche

Die erste augenfällige Veränderung von ISO 27002:2022 ist die aktualisierte und deutlich gestraffte Struktur des Umsetzungsleitfadens zur Norm: Statt der bislang 114 Sicherheitsmaßnahmen (Controls) in 14 Abschnitten umfasst der Referenzsatz der aktualisierten Version ISO 27002 jetzt noch 93 Controls, die in 4 Themenbereichen übersichtlich untergliedert und zusammengefasst sind:

- 37 Sicherheitsmaßnahmen im Bereich „Organizational controls“

- 8 Sicherheitsmaßnahmen im Bereich „People controls“

- 14 Sicherheitsmaßnahmen im Bereich „Physical controls“

- 34 Sicherheitsmaßnahmen im Bereich „Technological controls“

Trotz der reduzierten Anzahl von Sicherheitsmaßnahmen wurde lediglich das Control „Removal of Assets“ tatsächlich gestrichen. Die Verschlankung ist darauf zurückzuführen, dass 24 Sicherheitsmaßnahmen aus bestehenden Controls zusammengefasst und neu strukturiert wurden, um den Schutzzielen fokussierter gerecht zu werden. Weitere 58 Sicherheitsmaßnahmen wurden überarbeitet und mit zeitgemäßen Anforderungen angepasst.

Neue Sicherheitsmaßnahmen

Darüber hinaus – und das ist der wahrscheinlich spannendste Teil der Aktualisierung – wurde ISO 27002 in der neuen Version um 11 zusätzliche Sicherheitsmaßnahmen erweitert. Für Security-Experten wird keine dieser Maßnahmen überraschend sein, in der Summe setzen sie aber ein starkes Signal und helfen Unternehmen dabei, ihre Organisationsstrukturen und Sicherheitsarchitekturen zeitgemäß gegen heutige und zukünftige Bedrohungsszenarien zu wappnen.

Die neuen Maßnahmen sind:

Threat Intelligence

Erfassung, Konsolidierung und Analyse aktueller Bedrohungsinformationen ermöglicht Unternehmen, sich in einem zunehmend dynamischen und sich ständig weiterentwickelnden Bedrohungsumfeld auf dem Laufenden zu halten. Die evidenzbasierte Analyse von Informationen über Angriffe wird künftig eine Schlüsselrolle in der Informationssicherheit zur Entwicklung bestmöglicher Verteidigungsstrategien übernehmen.

Information Security for the Use of Cloud Services

Viele Unternehmen verlassen sich heute auf Cloud-basierte Services. Damit verbunden sind neue Angriffsvektoren und einhergehend veränderte und deutlich größere Angriffsflächen. In Zukunft müssen Unternehmen angemessene Schutzmaßnahmen für deren Einführung, Nutzung, Administration berücksichtigen und in ihren vertraglichen Regeln mit Cloud Service Providern verbindlich festlegen.

ICT Readiness for Business Continuity

Verfügbarkeit der Informations- und Kommunikationstechnik (IKT) und ihrer Infrastrukturen ist essentiell für den laufenden Geschäftsbetrieb in Unternehmen. Grundlage für resiliente Organisationen sind geplante Geschäftskontinuitätsziele und daraus abgeleitete, umgesetzte und überprüfte ITK‑Kontinuitätsanforderungen. Die Anforderungen an die zeitnahe, technische Wiederherstellung der ITK nach einem Ausfall begründen tragfähige Business-Continuity-Konzepte.

Physical Security Monitoring

Einbrüche, bei denen sensible Daten oder Datenträger aus dem Unternehmen gestohlen oder kompromittiert werden, stellen für Unternehmen ein erhebliches Risiko dar. Technische Kontrollen und Überwachungssysteme haben sich bewährt, um potenzielle Eindringlinge abzuschrecken bzw. deren Eindringen unmittelbar zu detektieren. Diese werden künftig Standardbausteine ganzheitlicher Sicherheitskonzepte zum Erkennen und Abschrecken unbefugten physischen Zutritts sein.

Configuration Management

Fehlerhaft konfigurierte Systeme können von Angreifern missbraucht werden, um Zugang zu kritischen Ressourcen zu erhalten. Während zuvor das systematische Konfigurationsmanagement als Teilmenge des Änderungsmanagements unterrepräsentiert war, wird es jetzt als eigenständige Sicherheitsmaßnahme fokussiert. Es fordert Unternehmen auf, die korrekte Konfiguration von Hardware, Software, Diensten und Netzen zu überwachen und ihre Systeme angemessen zu härten.

Information Deletion

Seit dem Inkrafttreten der Datenschutz-Grundverordnung müssen Unternehmen über geeignete Mechanismen verfügen, um personenbezogene Daten auf Wunsch zu löschen und sicherzustellen, dass diese nicht länger gespeichert werden als nötig. Diese Anforderung wird in ISO 27002 auf alle Informationen ausgeweitet. Sensible Informationen sollten nicht länger als nötig aufbewahrt werden, um das Risiko einer unerwünschten Offenlegung zu vermeiden.

Quelle: dqsglobal

Ein Service Managementsystem hat das Ziel, IT Services – eine Kombination aus Hardware, Software und Dienstleistungen – prozessorientiert in einer mit Kunden definierten Qualität nachhaltig und sicher zu produzieren. Die ISO 20000-1 Norm bietet viele Anregungen und Vorgaben, wie eine Organisation das Ziel unter Nutzung von bewährten Verfahren – insbesondere ITIL – ohne das Rad neu erfinden zu müssen, erreichen kann. Im Rahmen eines Audits, welches die DQS im Unternehmen durchführt, wird bescheinigt, dass das Unternehmen ein Service Managementsystem in einem definierten Organisationsbereich („Scope“) eingeführt hat und erfolgreich anwendet. Im Rahmen des IT Service Managementsystems fordert die ISO 20000-1 die sichere Ausgestaltung der Organisation, Prozesse und IT Systeme zum Schutz von Informationen. Für den Schutz von schutzwürdigen Informationen empfiehlt es sich, ein Information Security Managementsystem einzurichten. Die Blaupause dafür bietet die ISO 27001.

Da die beiden Normen ISO 20000-1 und ISO 27001 im IT Bereich sehr eng zusammen- und voneinander abhängen, empfiehlt DSP den Aufbau eines integrierten Managementsystems und die gleichzeitige Prüfung beider Normen im Rahmen eines integrierten Audits durch einen akkreditierten Zertifizierer wie zum Beispiel die DQS. Damit werden nicht unerhebliche Synergieeffekte genutzt. Im Zuge eines Audits wird nicht nur überprüft, ob die normativen Vorgaben vollständig erfüllt werden (Compliance mit den ISO Normen), sondern der Auditor achtet auch als neutrale und erfahrene Person auf mögliche Verbesserungen der Managementsysteme und gibt wertvolle Hinweise. Audits werden in einem Bericht ausführlich dokumentiert. Diese Berichte dienen als Nachweis, dass die Managementsysteme die Forderungen der ISO Regelwerke erfüllen und listen die gemeinsam gefundenen Verbesserungsvorschläge auf.

Unter einem Zertifizierungsprozess wird die Überprüfung der normativen Vorgaben einer Norm in einer(m) Organisation(teil) verstanden sowie die Ausstellung eines Zertifikats eines akkreditierten Zertifizierers, das die vollständige Umsetzung der Normen bestätigt. Als Erstes werden Basisdaten der zu zertifizierenden Organisation erfasst. Darunter zählt z.B. die Identifikation der Organisation, des Geltungsbereichs (Scopebereich), die Unternehmensgröße oder die Branche. Mit diesen Faktoren kann die Auditdauer und die Auditoren­qualifikation bestimmt werden. Da nicht jedes Unternehmen gleiche Erwartungen hat, wird ein detailliertes, auf die individuellen Bedürfnisse der Organisation zugeschnittenes Angebot mit allen relevanten Leistungen erstellt. Zu klären ist deshalb im Vorfeld, welche Ansprüche es an den strategischen Einsatz von Managementsystemen gibt oder welche Ziele mit der Zertifizierung verbunden sind.

Wenn eine Organisation die normativen Anforderungen intern umgesetzt, die geforderten internen Audits durchgeführt und einen System Review durch das verantwortliche Management durchgeführt hat, kann das externe Zertifizierungs-Audit durchgeführt werden.

Der eigentliche Zertifizierungsprozess beginnt mit der Systemanalyse (Audit Stufe 1). Im Mittelpunkt dieser ersten Stufe stehen neben der Bewertung der Systemdokumentation auch die Sichtung der Ergebnisse von Managementbewertungen und internen Audits. Dabei stellen die DQS-Auditoren fest, ob das Managementsystem des Unternehmens ausreichend entwickelt und zertifizierungsreif ist. Die Struktur und die Dokumentation stehen hier also im Vordergrund.

Danach erfolgt mit Audit Stufe 2 der Systemaudit. Hier prüft der Auditor oder das Auditorenteam die Wirksamkeit des Managementsystems am Produktions- oder Dienstleistungsstandort des Unternehmens. Geklärt wird also die Frage, was tatsächlich umgesetzt wird. Dabei wird unter Anwendung der Normen und Spezifikationen für Managementsysteme die Wirksamkeit aller Funktionsbereiche und Managementsystemprozesse bewertet. Der Auditor identifiziert Stärken, Abweichungen von den normativen Vorgaben, Nebenabweichungen und Verbesserungspotenziale. Abweichungen müssen innerhalb einer Frist nachgebessert werden und führen anderenfalls zu einer Versagung des Zertifikats.

Im Rahmen eines Abschlussgesprächs mit dem Auftraggeber stellt der Auditor Stärken, Abweichungen, Nebenabweichungen und Verbesserungen vor und erläutert diese. Abschließend werden die Ergebnisse im Rahmen der Systembewertung nochmal durch die DQS als unabhängige Zertifizierungsstelle bewertet. Sollte nach der fachlichen Prüfung festgestellt werden, dass das Audit ordnungsgemäß durchgeführt wurde, alle erforderlichen Unterlagen vollständig vorlagen und das Audit gezeigt hat, dass die Forderungen einer Norm an das Managementsystem angemessen erfüllt sind, fällt die Entscheidung über die Zertifikatserteilung. Der geprüfte Auditbericht wird anschließend dem Auftraggeber ausgehändigt.

Das DQS-Zertifikat wird ausgestellt und in der DQS-Zertifikatsdatenbank online veröffentlicht, sobald der Auditor nach dem Systemaudit die Erteilung eines Zertifikates empfiehlt (ggflls. auch unter Auflagen) und die fachliche Prüfung diese Bewertung bestätigt.

Akkreditierte Zertifizierer dürfen nicht gleichzeitig prüfen und beraten. Deshalb hat sich die DSP Unternehmensberatung GmbH, ein Unternehmen der DSP-Gruppe, darauf spezialisiert und unterstützt Organisationen bei dem Design, der Implementierung und Zertifizierung von Managementsystemen. DSP arbeitet dabei eng mit den gängigen Zertifizieren zusammen. Ein Fokus der DSP liegt auf der Beratung von professionellen IT Serviceprovidern und IT-Abteilungen.

  1. Durchführen einer GAP Analyse zur Ermittlung des Reifegrads einer zu zertifizierenden Organisation im Abgleich mit einer Norm.
    Ergebnisse: Stärken, Schwächen, Abweichungen, Grob-Maßnahmen zur Beseitigung der Abweichungen
  2. Durchführen eines Projektierungs-Workshops mit den verantwortlichen Personen einer Organisation.
    Ergebnisse: Projektziele, Arbeitspakete, Projektplan, Zeitplan, Budgetplan, Verantwortlichkeiten, Jour Fix Projektmeeting und weitere Termine werden vereinbart.
  3. Unterstützung bei der Umsetzung des Projektplans durch
    • Projektmanagement / Projektkoordination
    • Organisations-, Prozess- und Systemberatung maßgeschneidert auf die zu zertifizierende Organisation und die einzuhaltende(n) Norm(en)
    • Lieferung aller benötigten IT Systeme
    • Implementierung, Integration, Anpassung der EDV-Systeme zur Unterstützung der normativen Vorgaben (Organisation, Prozesse)
      Ergebnisse: Normative Vorgaben an Policies, Richtlinien, Organisation, Prozesse und Dokumentation, unterstützt durch EDV-Systeme, werden erfüllt.
  4. Design und Implementierung des Kontinuierlichen Verbesserungsprozesses („KVP“)
  5. Vorbereitung, Durchführung, Dokumentation, Nachbereitung der geforderten internen („friendly“) Audits
  6. Design und Implementierung, Zusammenstellung und Auswertung der benötigten Reports
  7. Vorbereitung, Durchführung, Dokumentation, Nachbereitung der geforderten internen QM-Reviews
  8. Vorbereitung, Durchführung, Dokumentation, Nachbereitung des jährlich geforderten Reviews des Managementsystems durch das verantwortliche Management („Management Review“)
  9. Vorbereitung, Begleitung, Coaching, Nachbereitung des externen Audits durch die DQS

Rufen Sie uns an unter Tel.: 06172/679-460, wenn Sie in Ihrem Unternehmen Handlungsbedarf sehen. Gern können Sie uns auch unter Angabe einiger Stichworte zu ISO-Fragen oder zur ISO-Problematik eine Email schicken unter sales@dsp-eu.de. Wir melden uns schnellstmöglich bei Ihnen zurück.

Detailliertere Informationen zum Thema ISO und Zertifizierungen finden sie unter folgendem Link bei unserer Schwestergesellschaft DSP Unternehmensberatung GmbH. www.dsp-consulting.expert

Digitalisierung

Digitalisierung als Schlüssel für Ihre Zukunft Damit Sie in wettbewerbsintensiven Märkten langfristig überleben können. Digitalisierung bedeutet im Kern nichts anderes,

Weitere Informationen »

Projektmanagement

Strukturiert initiieren, planen, steuern, kontrollieren und abschließend Vorteile für ein erfolgreiches Projektmanagement: Koordinierte Organisation und Planung des Projekts (Projektkoordination) Klärung

Weitere Informationen »