1. Zertifizierung
Iris Maaß
W l h M t I f ti
Zerifizierung
Welches Management von Informations-
Systemen ist das richtige für meine
O i ti ?Organisation?
17.08.2015IM 2015 1
2. GliederungGliederung
Nutzen von Informationsmanagementsystemen
Bedeutung der Zertifizierung
Ü Überblick über die zentralen Informationsmanagementsysteme
ISO 9001 Qualitätsmanagement mit Schwerpunkt IT
ISO 27001 Information Security Management System (ISMS) ISO 27001 Information Security Management System (ISMS)
ISO 20000-1 Service Management System (SMS)
ISO 22301 Business Continuity Management System (BCM)ISO 22301 Business Continuity Management System (BCM)
Entscheidungshilfe: Welche Norm ist die richtige für Ihr Unternehmen?
Argumente für die Zertifizierung durch TÜV NORD CERT
Ablauf der Zusammenarbeit mit uns
Weitere Infos
17.08.2015IM 2015 2
3. Nutzen von InformationsmanagementsystemenNutzen von Informationsmanagementsystemen
Qualität und Finanzen werden gemanagt, ebenso die wichtigen
Ressourcen des Unternehmens wie Personal, benötigtes Material
Ebenso müssen die Datensicherheit, die Risiken und die
Betriebskontinuität als wesentliche Ressource für dieBetriebskontinuität als wesentliche Ressource für die
Unternehmung gemanagt werden.
Zunahme der Datenrisiken steigen proportional mit Verlagerung
der Geschäfts ins Internet über online Shops und mit der
Inanspruchnahme von externen Dienstleistern (Cloud Computing,
Outsourcing)Outsourcing)
Die Hälfte aller Hackingangriffe weltweit richtet sich gegen
Unternehmen mit maximal 2500 Mitarbeiter (nicht nur
Großkonzerne sind betroffen) [Studie von Symantec]
Wer IT Dienste extern anbietet (B2B oder B2C) muss für Vertrauen
in seine Dienste sorgenin seine Dienste sorgen
17.08.2015IM 2015 3
4. Bedeutung der ZertifizierungBedeutung der Zertifizierung
Überprüfung durch eine neutrale, unabhängige Instanz Ihres
Managementsystems sorgt für Vertrauen im Markt
U h f h lifi i t A dit i hl f B t Unsere mehrfach qualifizierten Auditoren weisen sowohl auf Best
Practice (Stärken) in ihrem System hin als auch auf
Schwachstellen, die Ihnen helfen, besser zu werden
Der Entschluss zur Zertifizierung signalisiert im Unternehmen,
d Ih di U t d M t t i A lidass Ihnen die Umsetzung des Managementsystems ein Anliegen
ist.
Der Termin für die Zertifizierung mobilisiert die erforderlichen
Kräfte, um das Managementsystem vollständig und termingerecht
i l ti (Üb i d d S h i h d )zu implementieren. (Überwindung des Schweinehunds)
17.08.2015IM 2015 4
5. Überblick der möglichen Standards mit IT BezugÜberblick der möglichen Standards mit IT Bezug
Fokus ISO 9001 ISO 27001 ISO 20000-1 ISO 22301
Management-
system
Ja Ja Ja Ja
Akkreditiert Ja Ja Ja JaAkkreditiert Ja Ja Ja Ja
Handbuch,
KVP, Ziele
Ja Ja Ja Ja
Aussage nach
außen
Qualität Datensicher-
heit
IT Service-
qualität
Business
Continuity
Kunden- allgemein Sicherheit Service Level Risiko-Kunden
anforderung
allgemein Sicherheit Service Level
Agreements
Risiko
management
Regula-
torische
Ja Ja - -
torische
Anfor-
derungen/
DatenschutzDatenschutz
17.08.2015IM 2015 5
6. Überblick InformationsmanagementsystemeÜberblick Informationsmanagementsysteme
ISO 9001 bescheinigt den grundlegenden Aufbau eines
Managementsystems basierend auf Kundenorientierung
Die Zertifizierung nach ISO 27001, 20000-1 und ISO 22301 stellen
Spezialisierungen mit unterschiedlichen Schwerpunkten darSpezialisierungen mit unterschiedlichen Schwerpunkten dar.
ISO 27001: Sicherung der Informationen inklusive qualitative,
betriebliche, Business Continuity und IT Service bezogene
Anforderungen; besondere Betrachtung des Risikomanagements
Ist das wichtige Fundament für die IT Architektur
ISO 20000-1 ist die reine Sicht der IT-Services als Serviceprozess ISO 20000-1 ist die reine Sicht der IT-Services als Serviceprozess
ISO 22301 fokussiert auf den kontinuierlichen Geschäftsablauf und
managt die kritischen Geschäftsprozesse; dabei werden die
Risiken für Betriebsunterbrechungen identifiziert, untersucht und
bewertet
17.08.2015IM 2015 6
7. ISO 27001 Information Security ManagementISO 27001 Information Security Management
Informationssicherheits-Managementsystem (ISMS)Informationssicherheits Managementsystem (ISMS)
ist der Teil des gesamten Managementsystems, der
auf der Basis eines Geschäftsrisikoansatzes die
E t i kl Entwicklung,
Implementierung,
Durchführung Durchführung,
Überwachung,
Überprüfung,p g,
Instandhaltung
und Verbesserung der Informations-
sicherheit abdeckt
17.08.2015IM 2015 7
8. ISO 27001 Information Security Management SystemISO 27001 Information Security Management System
Gute Informationen sind wichtige Wertschöpfungsfaktoren im
Unternehmen
Vertraulichkeit, Verfügbarkeit und Integrität sollen der
Informationsbewertung zu Grunde liegenInformationsbewertung zu Grunde liegen
Informationen sind Assets (kostbare Werte)
Ein ISMS (Informationssicherheitsmanagementsystem) wirkt( g y )
Risiken entgegen und gewährleistet Informationssicherheit
Neben den schädlichen Einflüssen werden auch gesetzliche,
l t i h d t li h R l i ISMS b ü k i hti tregulatorische und vertragliche Regelungen im ISMS berücksichtigt
Zertifizierung ist für alle Organisationen und Unternehmen
geeignet, für die IT und Daten einen besonderen Wert habengeeignet, für die IT und Daten einen besonderen Wert haben
Zertifizierung kann auch integrierte mit ISO 9001, ISO 20000-1
und/oder ISO 22301 erfolgen
17.08.2015IM 2015 8
9. ISO 27001 Information Security Management SystemISO 27001 Information Security Management System
Vorteile der Zertifizierung nach ISO 27001:
Aufdecken von Schwachstellen beim Umgang mit Information
Sensibilisierung der Mitarbeiter und Steigerung des
Ri ik b t iRisikobewusstseins
Minimierung von Risiken
Vertrauen in der Organisation bei Kunden Partnern undVertrauen in der Organisation, bei Kunden, Partnern und
Investoren wird geschaffen
17.08.2015IM 2015 9
10. ISO 27001 native und BSI GrundschutzISO 27001 native und BSI Grundschutz
IT Sicherheit kann aus 2 Perspektiven betrachtet werden:
Akkreditierte Zertifizierung nach
ISO 27001 (ISO 27001 native)
Ansatz des Bundesamtes für
Informationssicherheit (BSI
Grundschutz)Grundschutz)
Managementbasierte Sicht (top down),
businessorientierter Ansatz
Komponentenbasierte Sicht (bottom up),
behördenspezifischer Ansatz
Verfahren zur Gewährleistung des ISMS
werden von Organisation selbst
bestimmt Bewertung nach
Formales Verfahren nach BSI 100-2:
Einführung aller Anforderungen nach
dem BSI Grundschutzhandbuch (starrebestimmt, Bewertung nach
Risikometodologie der Organisation
dem BSI Grundschutzhandbuch (starre
Checkliste)
Zertifizierung durch akkreditierte
Zertifizierungsstelle TÜV NORD CERT,
Prüfung durch anerkannten und
zugelassenen Auditor bei TÜV NORDZertifizierungsstelle TÜV NORD CERT,
Zertifikat von TÜV NORD CERT
zugelassenen Auditor bei TÜV NORD
CERT; Zertifikat vom BSI
Weltweit Anerkannt In Deutschland anerkannt
17.08.2015IM 2015 10
11. ISO 27001 native und BSI GrundschutzISO 27001 native und BSI Grundschutz
Beide Ansätze haben ihre Berechtigung
Wir empfehlen die ISO 27001 native, da sie auf Ihre Bedürfnisse in
Ihrem Unterhemen zugeschnitten werden kann und das Zertifikat
auch im internationalen Geschäftsverkehr anerkannt istauch im internationalen Geschäftsverkehr anerkannt ist
Die ISMS Auditoren bei TÜV NORD CERT haben beide
Zulassungen und können Ihnen beide Prüfungen oder auch eine
Kombination beider anbieten
17.08.2015IM 2015 11
12. ISO 20000-1 Service Management SystemISO 20000-1 Service Management System
International anerkannte Norm definierte die Anforderungen für ein
professionelles IT-Service Management System
80% der IT Budgets sind direkt mit den Serviceprozessen
verbunden hohe Kostenrelevanz effizienter Prozesseverbunden hohe Kostenrelevanz effizienter Prozesse
Ermöglicht Organisationen ihre Fähigkeit Services zu erbringen
objektiv zu messen und vergleichbar zu machen (benchmarking)
Ausrichtung von IT Services (inhouse oder extern) an den
Bedürfnissen der Kunden bzw. an den Erfordernissen des
KerngeschäftsKerngeschäfts
Reduktion operativer Risiken und Einhaltung von vertraglichen
Zusagen (Service Level Agreements)
Integration des Prozessbasierten Ansatz der ISO Systeme mit
PDCA Zyklus und kontinuierlicher Verbesserung mit den
Anforderungen an Serviceprozesse der ITAnforderungen an Serviceprozesse der IT
17.08.2015IM 2015 12
13. ISO 20000-1 Service Management SystemISO 20000-1 Service Management System
Die ISO 20000 hilft, eine hohe Servicequalität unter
Kosteneffizienz und Risikobetrachtung zu sichern
ProzessProzess-
effizienz
Absicherung
von Risiken
Kosten-
effizienz
Beste
S iService-
qualität
17.08.2015IM 2015 13
14. ISO 22301 Business Continuity ManagementISO 22301 Business Continuity Management
Vormals BS 25999-2
Es geht um die Aufrechterhaltung des Geschäftsbetriebes trotz
schwerer Betriebsstörung (Stromausfall, Pandemie, politische
Ereignisse)Ereignisse)
Risikoszenarien werden entwickelt, wie der reguläre Betrieb nach
einer störungsbedingten Unterbrechung in kürzest möglicher Zeit
wieder aufgenommen werden kann
Reduktionvon Schäden, Bedrohungen
Z tifi i bi t t bhä i lifi i t A Effi i Zertifizierung bietet unabhängige, qualifizierte Aussage zu Effizienz
und Belastbarkeit der Notfallpläne und der Wiederherstellung des
Geschäftsbetriebs
Zusätzlich gibt es Infos in einem Code of Practice nach BS 25999-
1 (können Sie erhalten bei tsterzenbach@tuev-nord.de)
17.08.2015IM 2015 14
15. ISO 22301 Business Continuity ManagementISO 22301 Business Continuity Management
Zertifizierung empfohlen für größere Mittelständler und
Großunternehmen
Insbesondere wichtig bei starker globaler Vernetzung mit Partnern,
Lieferanten sowie bei ausgelagerten TeilprozessenLieferanten sowie bei ausgelagerten Teilprozessen
Zertifizierung bestätigt die Existenz eines Systems für kritische
Geschäftsprozesse, um System in Ausnahmefällen fortzuführen
Sicherheit über die Validität des eigenen Risikomanagements
Positionierung als verlässlicher Geschäftspartner durch die
Z tifi i h ßZertifizierung nach außen
17.08.2015IM 2015 15
16. Welche Norm ist die richtige für Ihr Unternehmen?Welche Norm ist die richtige für Ihr Unternehmen?
ISO 9001 Fokus auf Kundenorientierung und Managementsystem
allgemein
Einstieg ins Thema Managementsysteme
ISO 27001 Für alle Firmen, bei denen Datenhandling eine Rolle Spiel
Dienstleister, IT Firmen, Banken + Versicherungen,
H d l fi öff tli h Ei i htHandelsfirmen, öffentliche Einrichtungen
ISO 20000-1 IT Service Dienstleister, Servicecenter innerhalb von
O i tiOrganisationen
ISO 22301 Mitt l tä dl d G ßfi b 2000 Mit b itISO 22301 Mittelständler oder Großfirmen ab 2000 Mitarbeiter
Einrichtungen der öffentlichen Hand (Kraftwerke), alle
Organisationen bei denen ein kontinuierlicher
Geschäftsbetrieb von existenzieller Bedeutung ist
17.08.2015IM 2015
Geschäftsbetrieb von existenzieller Bedeutung ist
16
17. Gründe für die akkreditierte ZertifizierungGründe für die akkreditierte Zertifizierung
Zahlreiche freiwillige Gütesiegel überschwemmen den Markt
Die Geltungsbereiche sind in der Regel auf den dt. Markt begrenzt
Hinter den freiwilligen Gütesiegeln stehen lediglich Hausstandards
(k i kk diti t Üb h )(keine akkreditierte Überwachung)
Vorteile der internationale Normen aus dieser Präsentation:Vorteile der internationale Normen aus dieser Präsentation:
Weltweite Anerkennung (International Standard Organisation)
Zertifizierer TÜV NORD CERT ist Akkreditiert
Überwachung der Zertifizierung durch den Akkreditierer (DAkkS;
deutsche Akkreditierungsstelle, die die Überwachung für
Deutschland per Gesetz vornimmt)Deutschland per Gesetz vornimmt)
International wird durch die Akkreditierungsstellen in Europa und
weltweit in jedem Land die Zertifizierung nach gleichen Regelnj g g g
überwacht die Zertifizierung nach ISO Normen ist fundierter
17.08.2015IM 2015 17
18. Ablauf der Zusammenarbeit mit unsAblauf der Zusammenarbeit mit uns
1. Unverbindliches Angebot durch unseren Vertrieb
2. Bei Annahme des Angebots
3. Beauftragung eines passenden Auditors
4. Sie erhalten eine schriftliche Bestätigung
5. Kontaktaufnahme des Auditors mit Ihnen und Absprache eines
Zeitrahmens für die Zertifizierung Klärung offener FragenZeitrahmens für die Zertifizierung, Klärung offener Fragen
6. Versand eines Auditplans ca. 4 Wochen vor dem Audittermin
7. Stage 1 bei Erstzertifizierung zur Feststellung derg g g
Zertifizierungsfähigkeit Ihrer Organisation mit Bericht
8. Stage 2 Audit in Ihrem Unternehmen mit Bericht
9. Zertifizierungsentscheidung in der Zertifizierungsstelle
10. Erstellung eines Zertifikats bei positivem Ausgang des Audits
17.08.2015IM 2015 18
19. KontaktKontakt
TÜV NORD CERT GmbH
Iris Maaß
Manager for International Business Development
Mail: imaass@tuev-nord.de
Fon: +49 (0)511 9986 2660
17.08.2015IM 2015 19