ZERTIFIZIERUNGEN (ISO/IEC 27001)

Neue Revision der Norm ISO/IEC 27001:2013:

Ende September 2013 wurde die Revision der Norm ISO/IEC 27001, die die Version aus dem Jahr 2005 bzw. 2006 ersetzt, international veröffentlicht. Es läuft eine 2-jährige Übergangsperiode, wo alle neuen Zertifizierungen ab dem 1. 10. 2014 bereits nach der neuen Version der Norm erfolgen müssen. Rezertifizierungen und Aufsichten können noch nach der alten Norm erfolgen, aber die Gültigkeit aller Zertifikate nach der Norm ISO/IEC 27001:2005 endet offiziell am 1. 10. 2015. LL-C (Certification) besitzt eine Akkreditierung für diese neue Revision der Norm!

Risks identification

Warum das Informationssicherheitsmanagement geltend machen?

Informationen sind heutzutage eine der wichtigsten „Aktiva“ eines Unternehmens. Was bedeutet für Ihr Unternehmen der Verlust von Daten, die Preisgabe eines Geschäftsgeheimnisses oder allein die Funktionsuntüchtigkeit des Informationssystems? Wenn diese Risiken für Sie aus Sicht der Gefährdung des Betriebs und der Entwicklung Ihres Unternehmens erheblich sind, dann suchen Sie eine Lösung in der Einführung eines Systems des Informationssicherheitsmanagements. Mit seiner Zertifizierungen weisen Sie ihren Partnern gegenüber die Vertrauenswürdigkeit für den Zugang zu deren Informationssysteme oder für das gegenseitige Mitteilen von Daten und Informationen nach. Ebenso können die Implementierung und Zertifizierung in Zukunft die Erfüllung einiger rechtlicher Anforderungen bezüglich der Informations- und Cybersicherheit erleichtern. Gewinnung geheim gehaltener Daten durch die Konkurrenz. Die Konkurrenz kann Datenbanken von Kontakten zu Ihren Kunden nutzen, kann Informationen über Ihre Preise, geheim gehaltene Fertigungstechnologien oder Anlagen wie auch Informationen über Ihre wichtigsten Mitarbeiter erlangen.

Datenverlust:

Der Verlust von Datenbanken kann eine Gefährdung oder Verlangsamung der Tätigkeit eines Unternehmens, hohe Kosten für deren Rekonstruktion und oftmals den Verlust von Aufträgen oder Kundenreklamationen bedeuten. Im Fall einer Gefährdung von Buchhaltungs- oder geheim gehaltenen Personaldatenbanken drohen Sanktionen seitens des Staates.

Unterbrechung des Unternehmensbetriebs:

Eine ungewöhnlich häufige Wartung eines Systems, das Beheben von Störungen und Inkompatibilitäten bedeuten, dass sich die Mitarbeiter des Unternehmens einer anderen Tätigkeit widmen, als es das Unternehmen beabsichtigt. Kunden haben nur Verständnis für vorübergehende Probleme, wenn sie nicht häufig und wiederholt auftreten, insbesondere wenn Sie Verkaufsstellen oder Lager betreiben.

Where can security risks come about ?

The human factor.

Risk arises wherever the information system is administered externally. However good the technical solution might be, it cannot prevent the intention or negligence of a person with the rights of administrator, or even users. ISO 27001 introduces a system of management participation in the checking of the information system management. At the same time the participation of members of the management isn’t too burdening and demanding for the specialisation in the region of information systems.

Location of the servers and other information carriers.

It is said that secure data is in equipment which is not connected by cable. One forgets that someone can also connect or simply take away this equipment. ISO 27001 introduces measures so that such equipment is not physically accessible to unauthorised personnel and is also protected against damage or even destruction.

Maintenance.

Information systems require regular checks, maintenance and software upgrades in order that a sudden malfunction to the system does not come about. By introducing system control to maintenance you lower the risk of sudden malfunction and bring down costs by way of hardware and software not being affected by chance events.

Basic analysis

Threats (selection):

• Misuse of administrator’s rights
• Negligence in data administration
• Deleting data
• Tapping important negotiations
• System hacking
• Installation of enemy program
• Non-functional system
• Thefts
• Users’ mistakes and omissions
• Incorrect routing
• System failure
• Natural disasters
• Clients’ compensation

Weaknesses (selection)

• Access to the server room
• Insufficient security of local stations
• Insufficient control tools
• Password and access policy
• Third party access (subcontractors)
• Non-conceptual HW and SW development
• Underestimated tapping
• Unprofessional program installation
• Consolidation of powers
• Insufficient risk analysis
• Insufficient control in data administration and access to clients’ information

MANAGEMENT QUESTIONNAIRE (answer Yes – No)

1.The system administrator has limited powers and monitored access to the system; the most necessary functions for effective administration are allowed only.
2. Databases are protected against unauthorised access, access rights are controlled, and data are regularly backed up in the secured area.
3. Password policy is formulated and controlled.
4. Regular inspections aimed at unauthorised access, system failures, antivirus and other programs updates are carried out on a regular basis. The system enables connection of approved devices only.
5. Powers and responsibilities of employees are uniquely defined and delegated. Their personal data are duly protected.
6. Rooms are protected against entries of unauthorised persons; in particular the server room and rooms with other sensitive information assets.
7. Remote access to the information system is provided sufficiently; possibilities of unauthorised wireless access are monitored.
8. Risks of cooperation with third parties (subcontractors) are analysed, and third parties’ access to information is monitored and controlled.
9. SW and HW acquisition is planned and not random. Individual basic components of information systems are purchased upon risk analysis.
10. Activities of employees in client’s data and information administration are monitored and evaluated.

If you respond Yes to 8 of these 10 questions, do not call us

Data carriers

When applying the standard ISO 27001, it is necessary to keep in mind that data carriers we wish to protect are not IT systems and local computers only, but also printed documents and the information shared by people over the phone or in person. This matter is often neglected in today’s contemporary time.

ISO 17800

A standard defining very detail and specific requirements for information system security and data protection. It however does not deal with the control of the data protection system. Summarised requirements of ISO 17799 standard have been included in Annex A as part of the standard ISO 27001.

here