Österreich

FALLBEISPIEL STAGE REVIEW:
DER SYSTEM-CHECK

 

>Download PDF

 

  • CIS-Stage-Review: Kurz-Audit zur Systemstatus-Bestimmung
  • Stärken/Schwächen-Profil und Optimierungspotenziale für Managementsysteme
    nach ISO 27001, ISO 20000 sowie für Data Center

 

Für Unternehmen und Organisationen, die Informationssicherheit nach dem internationalen Standard ISO/IEC 27001 implementieren, IT Service Management nach ISO/IEC 20000 einführen oder sich auf eine Data-Center-Zertifizierung vorbereiten, bietet die Zertifizierungsorganisation CIS sogenannte Stage-Reviews als „Standortbestimmung“ oder „Meilenstein-Begutachtung“ an. Diese Beurteilung durch unabhängige CIS-Auditoren gibt Aufschluss über Stärken und Schwächen eines Managementsystems und zeigt Verbesserungspotenziale auf. So werden zentrale Fragen beantwortet, die im Zuge eines Implementierungsprojekts auftreten können: Gibt es unentdeckte Gefahrenquellen? Wurde der Zertifizierungsstandard richtig interpretiert? Sind die Sicherheitsmaßnahmen ausreichend, zielführend und wirksam?

 

 

lupeTastatur_72_cutt

 

 

Kurz-Audit beleuchtet Stärken und Schwächen
Inhaltlich richtet sich ein CIS-Stage-Review direkt an der implementierten Norm aus. Im Bereich der Informationssicherheit ist dies ISO 27001, die neben technischer IT-Sicherheit auch Aspekte wie Organisation, Gebäude- und Umgebungssicherheit oder Mitarbeiter-Awareness einbezieht. Zur Durchführung einer Ist-Analyse mit Stärken-/Schwächen-Profil im Rahmen eines CIS Stage Reviews werden die individuellen Risiken in Abhängigkeit von der Firmengröße und Branche erhoben, die bereits vorhandenen Sicherheitseinrichtungen sowie organisatorische Security-Maßnahmen evaluiert und dem Anforderungsprofil nach ISO 27001 gegenübergestellt. Das Ergebnis ist ein mehrseitiger Auditbericht, der eine Stärken-/Schwächen- Beurteilung sowie Verbesserungsmöglichkeiten hinsichtlich einer Zertifizierungsreife liefert. Ähnlich orientiert sich ein CIS-Stage-Review für IT Service Management an ISO 20000 und bei Überprüfung hinsichtlich einer Rechenzentrum-Zertifizierung an ANSI/TIA 942 bzw. EN 50600. „Ein Stage Review ist besonders in der Implementierungsphase von Managementsystemen empfehlenswert – als unabhängige Projektfortschrittsüberwachung und zur besseren Einschätzung der tatsächlich notwendigen Maßnahmen“, erklärt CIS-Geschäftsführer Erich Scheiber. Denn ein Zuwenig an umgesetzten Maßnahmen könne ebenso unwirtschaftlich werden, wie ein Zuviel. Schlanke und effektive Systeme seien das Ziel.


Zeitersparnis bei A1 Telekom Austria
Im Vorfeld der Vorbeitungen auf die ISO-27001-Zertifizierung bei der A1 Telekom Austria AG brachte die Durchführung eines CIS-Stage-Reviews eine Projektzeitverkürzung um insgesamt sechs Monate. „Das Management wollte eine rasche Implementierung in elf bis zwölf Monaten, während die IS-Beauftragten eher mit 18 Monaten gerechnet hätten. Nach dem Stage Review hatten wir einen so guten Überblick über die noch zu bewältigenden Aufgaben, dass der Zeitplan revidiert werden konnte. Schließlich wurde die Zertifizierung schon nach elf Monaten realisiert“, berichtet der Informationssicherheitsbeauftragte Mag. Krzysztof Müller. Insgesamt ging es dabei um die Präzisierung von Normforderungen, zugeschnitten auf den zu zertifizierenden Geltungsbereich. Denn beim Durcharbeiten des Implementierungsleitfadens ISO 27002 hatte sich heraus kristallisiert, dass der Standard viel Interpretationsspielraum zulässt. So wird ein „angemessenes Risikomanagement“ gefordert, aber nicht näher ausgeführt, was „angemessen“ bedeutet – da dies von den individuellen Sicherheitsanforderungen abhängt. „Daher war uns eine Zustandsbestimmung von Seiten des Zertifizierers wichtig. Wenn die Auditoren, die später das ganze System begutachten, zu Projektbeginn eine Kursbestätigung oder -korrektur anzeigen, kann man nicht so falsch liegen“, betont Krzysztof Müller und führt aus: „So eine freiwillige Vorbegutachtung können wir empfehlen – als hilfreiche Wegbegleitung, weil die Umsetzung der Norm alles andere als Routine ist.“

 

Zwei Meilenstein-Überprüfungen im BRZ
Das Bundesrechenzentrum setzte im Zuge seiner ISO-27001-Implementierung zweimal ein Stage Review der Zertifizierungsorganisation CIS als strategische Meilenstein-Überprüfungen ein: einmal zu Beginn der Implementierungsphase sowie einige Monate später als Zwischen-Check. „Beim Aufbau eines Informationssicherheits-Managementsystems in einem so komplexen Rechenzentrum bietet ein Stage Review dem Projektteam geplante Kontrollpunkte, an denen die Angemessenheit der Maßnahmen geprüft wird. Diese Zwischenbeurteilung steigert die Motivation des Teams und liefert zusätzliche Anregungen. Der Auftraggeber erhält damit einen objektiven Fortschrittsbericht“, erklärt Ing. Johannes Mariel, Information-Security-Leiter im Bundesrechenzentrum.

 

System-Check im Rechenzentrum der Energie AG
In einem zweitägigen Stage Review überprüften CIS-Auditoren bei der Energie AG OÖ Data GmbH den zu zertifizierenden Bereich, der das gesamte Rechenzentrum mit 16 Server-Schränken und einer Kapazität von 500 Terabyte umfasst. Als Referenznorm diente der erprobte amerikanische Data Center Standard ANSI/TIA 942 bzw. das europäische Gegenstück EN 50600. „Für uns war das Stage Review eine hilfreiche Vorbereitung auf die anvisierte Zertifizierung“, erklärt Geschäftsführer Dr. Manfred Litzlbauer. „Zum Einen haben wir bereits jetzt alle Verantwortlichen für die Auditoren-Befragungen definiert sowie alle Dokumente und Nachweise zusammengetragen – dazu gehören Architekturpläne, Statik, Verkabelungsstruktur, Stromversorgung, Tragkraft von Zwischendecken, Brandresistenz von Türen und ähnliches. Diesen Aufwand ersparen wir uns beim Zertifizierungsaudit. Zum Anderen haben wir eine detailgenaue Statusbestimmung unseres Data Centers gemäß den ANSI/TIA-Sicherheitsstufen erhalten. Wir wissen somit genau, welche Maßnahmen noch erforderlich sind, was diese kosten und wie lang die Umsetzung dauern wird. Aus dem Stage Review heraus konnten wir einen genauen Projekt- und Budgetplan erstellen. Ein solches freiwilliges Delta-Audit ist aus unserer Sicht eine optimale Vorbereitung auf die Zertifizierung.“

 

  • Das CIS-Stage-Review 

Auditplanung: Garantiert die effiziente Abwicklung
Audit-Durchführung: Evaluierung des Systemstatus im Vergleich zu den Normforderungen
Auditbericht: Bewertung von Stärken/Schwächen und Verbesserungsmöglichkeiten

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB