Zertifizierung
Iris Maaß
W l h M t I f ti
Zerifizierung
Welches Management von Informations-
Systemen ist das richtige für...
GliederungGliederung
 Nutzen von Informationsmanagementsystemen
 Bedeutung der Zertifizierung
Ü Überblick über die zent...
Nutzen von InformationsmanagementsystemenNutzen von Informationsmanagementsystemen
 Qualität und Finanzen werden gemanagt...
Bedeutung der ZertifizierungBedeutung der Zertifizierung
 Überprüfung durch eine neutrale, unabhängige Instanz Ihres
Mana...
Überblick der möglichen Standards mit IT BezugÜberblick der möglichen Standards mit IT Bezug
Fokus ISO 9001 ISO 27001 ISO ...
Überblick InformationsmanagementsystemeÜberblick Informationsmanagementsysteme
 ISO 9001 bescheinigt den grundlegenden Au...
ISO 27001 Information Security ManagementISO 27001 Information Security Management
 Informationssicherheits-Managementsys...
ISO 27001 Information Security Management SystemISO 27001 Information Security Management System
 Gute Informationen sind...
ISO 27001 Information Security Management SystemISO 27001 Information Security Management System
Vorteile der Zertifizieru...
ISO 27001 native und BSI GrundschutzISO 27001 native und BSI Grundschutz
 IT Sicherheit kann aus 2 Perspektiven betrachte...
ISO 27001 native und BSI GrundschutzISO 27001 native und BSI Grundschutz
 Beide Ansätze haben ihre Berechtigung
 Wir emp...
ISO 20000-1 Service Management SystemISO 20000-1 Service Management System
 International anerkannte Norm definierte die ...
ISO 20000-1 Service Management SystemISO 20000-1 Service Management System
 Die ISO 20000 hilft, eine hohe Servicequalitä...
ISO 22301 Business Continuity ManagementISO 22301 Business Continuity Management
 Vormals BS 25999-2
 Es geht um die Auf...
ISO 22301 Business Continuity ManagementISO 22301 Business Continuity Management
 Zertifizierung empfohlen für größere Mi...
Welche Norm ist die richtige für Ihr Unternehmen?Welche Norm ist die richtige für Ihr Unternehmen?
ISO 9001 Fokus auf Kund...
Gründe für die akkreditierte ZertifizierungGründe für die akkreditierte Zertifizierung
 Zahlreiche freiwillige Gütesiegel...
Ablauf der Zusammenarbeit mit unsAblauf der Zusammenarbeit mit uns
1. Unverbindliches Angebot durch unseren Vertrieb
2. Be...
KontaktKontakt
TÜV NORD CERT GmbH
Iris Maaß
Manager for International Business Development
Mail: imaass@tuev-nord.de
Fon: ...
Vielen Dank
für Ihre Aufmerksamkeit.
17.08.2015IM 2015 20
Nächste SlideShare
Wird geladen in …5
×

Auswahlhilfe informationssicherheitssystem 2015dt

317 Aufrufe

Veröffentlicht am

Which Informationmanagementsystem is right for my Organisation? Help to choose and get Basic Information on the different Systems available.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
317
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
5
Aktionen
Geteilt
0
Downloads
4
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Auswahlhilfe informationssicherheitssystem 2015dt

  1. 1. Zertifizierung Iris Maaß W l h M t I f ti Zerifizierung Welches Management von Informations- Systemen ist das richtige für meine O i ti ?Organisation? 17.08.2015IM 2015 1
  2. 2. GliederungGliederung  Nutzen von Informationsmanagementsystemen  Bedeutung der Zertifizierung Ü Überblick über die zentralen Informationsmanagementsysteme  ISO 9001 Qualitätsmanagement mit Schwerpunkt IT  ISO 27001 Information Security Management System (ISMS) ISO 27001 Information Security Management System (ISMS)  ISO 20000-1 Service Management System (SMS)  ISO 22301 Business Continuity Management System (BCM)ISO 22301 Business Continuity Management System (BCM)  Entscheidungshilfe: Welche Norm ist die richtige für Ihr Unternehmen?  Argumente für die Zertifizierung durch TÜV NORD CERT  Ablauf der Zusammenarbeit mit uns  Weitere Infos 17.08.2015IM 2015 2
  3. 3. Nutzen von InformationsmanagementsystemenNutzen von Informationsmanagementsystemen  Qualität und Finanzen werden gemanagt, ebenso die wichtigen Ressourcen des Unternehmens wie Personal, benötigtes Material  Ebenso müssen die Datensicherheit, die Risiken und die Betriebskontinuität als wesentliche Ressource für dieBetriebskontinuität als wesentliche Ressource für die Unternehmung gemanagt werden.  Zunahme der Datenrisiken steigen proportional mit Verlagerung der Geschäfts ins Internet über online Shops und mit der Inanspruchnahme von externen Dienstleistern (Cloud Computing, Outsourcing)Outsourcing)  Die Hälfte aller Hackingangriffe weltweit richtet sich gegen Unternehmen mit maximal 2500 Mitarbeiter (nicht nur Großkonzerne sind betroffen) [Studie von Symantec]  Wer IT Dienste extern anbietet (B2B oder B2C) muss für Vertrauen in seine Dienste sorgenin seine Dienste sorgen 17.08.2015IM 2015 3
  4. 4. Bedeutung der ZertifizierungBedeutung der Zertifizierung  Überprüfung durch eine neutrale, unabhängige Instanz Ihres Managementsystems sorgt für Vertrauen im Markt U h f h lifi i t A dit i hl f B t Unsere mehrfach qualifizierten Auditoren weisen sowohl auf Best Practice (Stärken) in ihrem System hin als auch auf Schwachstellen, die Ihnen helfen, besser zu werden  Der Entschluss zur Zertifizierung signalisiert im Unternehmen, d Ih di U t d M t t i A lidass Ihnen die Umsetzung des Managementsystems ein Anliegen ist.  Der Termin für die Zertifizierung mobilisiert die erforderlichen Kräfte, um das Managementsystem vollständig und termingerecht i l ti (Üb i d d S h i h d )zu implementieren. (Überwindung des Schweinehunds) 17.08.2015IM 2015 4
  5. 5. Überblick der möglichen Standards mit IT BezugÜberblick der möglichen Standards mit IT Bezug Fokus ISO 9001 ISO 27001 ISO 20000-1 ISO 22301 Management- system Ja Ja Ja Ja Akkreditiert Ja Ja Ja JaAkkreditiert Ja Ja Ja Ja Handbuch, KVP, Ziele Ja Ja Ja Ja Aussage nach außen Qualität Datensicher- heit IT Service- qualität Business Continuity Kunden- allgemein Sicherheit Service Level Risiko-Kunden anforderung allgemein Sicherheit Service Level Agreements Risiko management Regula- torische Ja Ja - - torische Anfor- derungen/ DatenschutzDatenschutz 17.08.2015IM 2015 5
  6. 6. Überblick InformationsmanagementsystemeÜberblick Informationsmanagementsysteme  ISO 9001 bescheinigt den grundlegenden Aufbau eines Managementsystems basierend auf Kundenorientierung  Die Zertifizierung nach ISO 27001, 20000-1 und ISO 22301 stellen Spezialisierungen mit unterschiedlichen Schwerpunkten darSpezialisierungen mit unterschiedlichen Schwerpunkten dar.  ISO 27001: Sicherung der Informationen inklusive qualitative, betriebliche, Business Continuity und IT Service bezogene Anforderungen; besondere Betrachtung des Risikomanagements  Ist das wichtige Fundament für die IT Architektur  ISO 20000-1 ist die reine Sicht der IT-Services als Serviceprozess ISO 20000-1 ist die reine Sicht der IT-Services als Serviceprozess  ISO 22301 fokussiert auf den kontinuierlichen Geschäftsablauf und managt die kritischen Geschäftsprozesse; dabei werden die Risiken für Betriebsunterbrechungen identifiziert, untersucht und bewertet 17.08.2015IM 2015 6
  7. 7. ISO 27001 Information Security ManagementISO 27001 Information Security Management  Informationssicherheits-Managementsystem (ISMS)Informationssicherheits Managementsystem (ISMS) ist der Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die E t i kl Entwicklung,  Implementierung,  Durchführung Durchführung,  Überwachung,  Überprüfung,p g,  Instandhaltung  und Verbesserung der Informations- sicherheit abdeckt 17.08.2015IM 2015 7
  8. 8. ISO 27001 Information Security Management SystemISO 27001 Information Security Management System  Gute Informationen sind wichtige Wertschöpfungsfaktoren im Unternehmen  Vertraulichkeit, Verfügbarkeit und Integrität sollen der Informationsbewertung zu Grunde liegenInformationsbewertung zu Grunde liegen  Informationen sind Assets (kostbare Werte)  Ein ISMS (Informationssicherheitsmanagementsystem) wirkt( g y ) Risiken entgegen und gewährleistet Informationssicherheit  Neben den schädlichen Einflüssen werden auch gesetzliche, l t i h d t li h R l i ISMS b ü k i hti tregulatorische und vertragliche Regelungen im ISMS berücksichtigt  Zertifizierung ist für alle Organisationen und Unternehmen geeignet, für die IT und Daten einen besonderen Wert habengeeignet, für die IT und Daten einen besonderen Wert haben  Zertifizierung kann auch integrierte mit ISO 9001, ISO 20000-1 und/oder ISO 22301 erfolgen 17.08.2015IM 2015 8
  9. 9. ISO 27001 Information Security Management SystemISO 27001 Information Security Management System Vorteile der Zertifizierung nach ISO 27001:  Aufdecken von Schwachstellen beim Umgang mit Information  Sensibilisierung der Mitarbeiter und Steigerung des Ri ik b t iRisikobewusstseins  Minimierung von Risiken  Vertrauen in der Organisation bei Kunden Partnern undVertrauen in der Organisation, bei Kunden, Partnern und Investoren wird geschaffen 17.08.2015IM 2015 9
  10. 10. ISO 27001 native und BSI GrundschutzISO 27001 native und BSI Grundschutz  IT Sicherheit kann aus 2 Perspektiven betrachtet werden: Akkreditierte Zertifizierung nach ISO 27001 (ISO 27001 native) Ansatz des Bundesamtes für Informationssicherheit (BSI Grundschutz)Grundschutz) Managementbasierte Sicht (top down), businessorientierter Ansatz Komponentenbasierte Sicht (bottom up), behördenspezifischer Ansatz Verfahren zur Gewährleistung des ISMS werden von Organisation selbst bestimmt Bewertung nach Formales Verfahren nach BSI 100-2: Einführung aller Anforderungen nach dem BSI Grundschutzhandbuch (starrebestimmt, Bewertung nach Risikometodologie der Organisation dem BSI Grundschutzhandbuch (starre Checkliste) Zertifizierung durch akkreditierte Zertifizierungsstelle TÜV NORD CERT, Prüfung durch anerkannten und zugelassenen Auditor bei TÜV NORDZertifizierungsstelle TÜV NORD CERT, Zertifikat von TÜV NORD CERT zugelassenen Auditor bei TÜV NORD CERT; Zertifikat vom BSI Weltweit Anerkannt In Deutschland anerkannt 17.08.2015IM 2015 10
  11. 11. ISO 27001 native und BSI GrundschutzISO 27001 native und BSI Grundschutz  Beide Ansätze haben ihre Berechtigung  Wir empfehlen die ISO 27001 native, da sie auf Ihre Bedürfnisse in Ihrem Unterhemen zugeschnitten werden kann und das Zertifikat auch im internationalen Geschäftsverkehr anerkannt istauch im internationalen Geschäftsverkehr anerkannt ist  Die ISMS Auditoren bei TÜV NORD CERT haben beide Zulassungen und können Ihnen beide Prüfungen oder auch eine Kombination beider anbieten 17.08.2015IM 2015 11
  12. 12. ISO 20000-1 Service Management SystemISO 20000-1 Service Management System  International anerkannte Norm definierte die Anforderungen für ein professionelles IT-Service Management System  80% der IT Budgets sind direkt mit den Serviceprozessen verbunden  hohe Kostenrelevanz effizienter Prozesseverbunden  hohe Kostenrelevanz effizienter Prozesse  Ermöglicht Organisationen ihre Fähigkeit Services zu erbringen objektiv zu messen und vergleichbar zu machen (benchmarking)  Ausrichtung von IT Services (inhouse oder extern) an den Bedürfnissen der Kunden bzw. an den Erfordernissen des KerngeschäftsKerngeschäfts  Reduktion operativer Risiken und Einhaltung von vertraglichen Zusagen (Service Level Agreements)  Integration des Prozessbasierten Ansatz der ISO Systeme mit PDCA Zyklus und kontinuierlicher Verbesserung mit den Anforderungen an Serviceprozesse der ITAnforderungen an Serviceprozesse der IT 17.08.2015IM 2015 12
  13. 13. ISO 20000-1 Service Management SystemISO 20000-1 Service Management System  Die ISO 20000 hilft, eine hohe Servicequalität unter Kosteneffizienz und Risikobetrachtung zu sichern ProzessProzess- effizienz Absicherung von Risiken Kosten- effizienz Beste S iService- qualität 17.08.2015IM 2015 13
  14. 14. ISO 22301 Business Continuity ManagementISO 22301 Business Continuity Management  Vormals BS 25999-2  Es geht um die Aufrechterhaltung des Geschäftsbetriebes trotz schwerer Betriebsstörung (Stromausfall, Pandemie, politische Ereignisse)Ereignisse)  Risikoszenarien werden entwickelt, wie der reguläre Betrieb nach einer störungsbedingten Unterbrechung in kürzest möglicher Zeit wieder aufgenommen werden kann  Reduktionvon Schäden, Bedrohungen Z tifi i bi t t bhä i lifi i t A Effi i Zertifizierung bietet unabhängige, qualifizierte Aussage zu Effizienz und Belastbarkeit der Notfallpläne und der Wiederherstellung des Geschäftsbetriebs  Zusätzlich gibt es Infos in einem Code of Practice nach BS 25999- 1 (können Sie erhalten bei tsterzenbach@tuev-nord.de) 17.08.2015IM 2015 14
  15. 15. ISO 22301 Business Continuity ManagementISO 22301 Business Continuity Management  Zertifizierung empfohlen für größere Mittelständler und Großunternehmen  Insbesondere wichtig bei starker globaler Vernetzung mit Partnern, Lieferanten sowie bei ausgelagerten TeilprozessenLieferanten sowie bei ausgelagerten Teilprozessen  Zertifizierung bestätigt die Existenz eines Systems für kritische Geschäftsprozesse, um System in Ausnahmefällen fortzuführen  Sicherheit über die Validität des eigenen Risikomanagements  Positionierung als verlässlicher Geschäftspartner durch die Z tifi i h ßZertifizierung nach außen 17.08.2015IM 2015 15
  16. 16. Welche Norm ist die richtige für Ihr Unternehmen?Welche Norm ist die richtige für Ihr Unternehmen? ISO 9001 Fokus auf Kundenorientierung und Managementsystem allgemein  Einstieg ins Thema Managementsysteme ISO 27001 Für alle Firmen, bei denen Datenhandling eine Rolle Spiel  Dienstleister, IT Firmen, Banken + Versicherungen, H d l fi öff tli h Ei i htHandelsfirmen, öffentliche Einrichtungen ISO 20000-1 IT Service Dienstleister, Servicecenter innerhalb von O i tiOrganisationen ISO 22301 Mitt l tä dl d G ßfi b 2000 Mit b itISO 22301 Mittelständler oder Großfirmen ab 2000 Mitarbeiter Einrichtungen der öffentlichen Hand (Kraftwerke), alle Organisationen bei denen ein kontinuierlicher Geschäftsbetrieb von existenzieller Bedeutung ist 17.08.2015IM 2015 Geschäftsbetrieb von existenzieller Bedeutung ist 16
  17. 17. Gründe für die akkreditierte ZertifizierungGründe für die akkreditierte Zertifizierung  Zahlreiche freiwillige Gütesiegel überschwemmen den Markt  Die Geltungsbereiche sind in der Regel auf den dt. Markt begrenzt  Hinter den freiwilligen Gütesiegeln stehen lediglich Hausstandards (k i kk diti t Üb h )(keine akkreditierte Überwachung) Vorteile der internationale Normen aus dieser Präsentation:Vorteile der internationale Normen aus dieser Präsentation:  Weltweite Anerkennung (International Standard Organisation)  Zertifizierer TÜV NORD CERT ist Akkreditiert  Überwachung der Zertifizierung durch den Akkreditierer (DAkkS; deutsche Akkreditierungsstelle, die die Überwachung für Deutschland per Gesetz vornimmt)Deutschland per Gesetz vornimmt)  International wird durch die Akkreditierungsstellen in Europa und weltweit in jedem Land die Zertifizierung nach gleichen Regelnj g g g überwacht  die Zertifizierung nach ISO Normen ist fundierter 17.08.2015IM 2015 17
  18. 18. Ablauf der Zusammenarbeit mit unsAblauf der Zusammenarbeit mit uns 1. Unverbindliches Angebot durch unseren Vertrieb 2. Bei Annahme des Angebots 3. Beauftragung eines passenden Auditors 4. Sie erhalten eine schriftliche Bestätigung 5. Kontaktaufnahme des Auditors mit Ihnen und Absprache eines Zeitrahmens für die Zertifizierung Klärung offener FragenZeitrahmens für die Zertifizierung, Klärung offener Fragen 6. Versand eines Auditplans ca. 4 Wochen vor dem Audittermin 7. Stage 1 bei Erstzertifizierung zur Feststellung derg g g Zertifizierungsfähigkeit Ihrer Organisation mit Bericht 8. Stage 2 Audit in Ihrem Unternehmen mit Bericht 9. Zertifizierungsentscheidung in der Zertifizierungsstelle 10. Erstellung eines Zertifikats bei positivem Ausgang des Audits 17.08.2015IM 2015 18
  19. 19. KontaktKontakt TÜV NORD CERT GmbH Iris Maaß Manager for International Business Development Mail: imaass@tuev-nord.de Fon: +49 (0)511 9986 2660 17.08.2015IM 2015 19
  20. 20. Vielen Dank für Ihre Aufmerksamkeit. 17.08.2015IM 2015 20

×