Direkt zum Inhalt

Zusammenfassung

Das Projektbezogene Qualitätsmanagement (PQM) baut auf den Grundsatz, dass alle Projektbeteiligten die Verantwortung für die Qualität ihres Beitrages am Projekt selber tragen. Dabei steht der Bauherr in der Pflicht die Projektbeteiligten entsprechend sorgfältig auszuwählen. Der Erfolg hängt davon ab, ob die verschiedenen Beteiligten im Projekt an einer gemeinsamen Aufgabe in einem übergreifenden Prozess das erwartete Qualitätsniveau in der Summe erreichen oder übertreffen. Das PQM bezieht sich deshalb in erster Linie auf das Zusammenwirken der Beteiligten
(siehe Grafik 1: Zusammenwirken zwischen den Managementsystemen der Unternehmen und dem projektbezogenen Qualitätsmanagement).

Was Sie wissen müssen

Anforderungen

Die Anforderungen an ein Informationssicherheitsmanagementsystem sind in der ISO 27001 dargelegt. Nur danach kann zertifiziert werden. Alle anderen Standards dieser Normenfamilie (ausser ISO 27006) sind Leitfäden und nicht zertifizierbar.

Die ISO 27006 ist nur für die Zertifizierstellen relevant. Sie definiert die Anforderungen an die Auditoren, Zertifizierungsabläufe und auch die Berechnung der aufzuwendenden Auditzeit.

Hilfsmittel

Die oben erwähnten Guidelines geben eine Hilfestellung bei der Definition von wirksamen Massnahmen zur Sicherstellung der Informationssicherheit oder zu speziellen Themen wie z. B. das Risk Assessment. Die branchenspezifischen Leitfäden stützen sich dabei immer auf die sehr gute generische Sammlung von Best Practices der ISO 27002 ab. Es ist zu erwarten, dass weitere Leitfäden für andere Branchen erarbeitet werden.

Erwähnenswert ist hier auch noch der BS 25999 Business Continuity Management, ein wichtiger Aspekt der Informationssicherheit.

Viele weitere Publikationen zum Thema lassen sich auf dem Internet finden: Gefährdungskataloge, Checklisten, Risk Assessment Methoden, … . Beispielhaft sind da die Veröffentlichungen des Bundesamtes für Sicherheit in der Informationstechnik BSI genannt, das füre sein Grundschutzhandbuch bekannt ist. Weitere links finden sich im Kapitel ‚Wissenspool’.

Wissenswertes

Interessante Links zum Thema:

Melde- und Analysestelle Informationssicherung   
Newsletter, sehr informative Halbjahresberichte

Information security society of SwitzerlandSwiss ICT
Infos, Veranstaltungen

Bundesbehörden der Schweizerischen Eidgenossenschaft
search.admin.ch
Suche nach Stichworten im Archiv der Bundesbehörden, Gesetze

ENISA European Network and Information Security Agency
www.enisa.europa.eu
Reports, Working Groups, Conferences, ..

Bundesamt für Sicherheit in der Informationstechnik BSI
www.bsi.de
Grundschutzhandbuch, Formulare, Checklisten, Webkurs, …
enorm viel Material

Verein zur Förderung der Informationssicherheit
www.infosurance.ch
Arbeitsblätter, Netzwerk, Sicherheits-HB, …

Recherche und Kauf von Normen
www.snv.ch , infostore.saiglobal.com , www.bsigroup.com , www.ansi.org
Normen

International Standardization Organization
www.iso.org
Infos rund um Normen

Swiss Safety Center AG
www.safetycenter.ch
Zertifizierungen, Checklisten, Seminare

heise-Verlag
www.heise.de/newsletter
Sehr gute Newsletter zu verschiedenen Themen

IT-Security-Portal
www.securitymanager.de     
Infos

Information Security
www.CIO.de                       
Infos für ITK-Entscheider, Newsletter

ISO 27001 Security Portal
http://www.iso27001security.com/html/site_map.html   
Gute Informationen zu den Standards, kommerzieller Hintergrund

ISMS Portal
http://www.gammassl.co.uk
Webseite von Dr. David Brewer, sehr viel Material

Ausbildung

Kurse der Swiss Safety Center Akademie

Wir bieten zum Thema Informationssicherheit Seminare an:

  • ISO 27001 Lead Auditor Kurs (5 Tage)
  • Managementbriefing
  • ISO 27001 Grundkurs (1 Tag)
  • ISO 27001 Implementierungskurs (2 Tage)
  • ISO 27001 Akkreditierter

und zu verwandten Themen wie

Risikomanagement in der IT

Ablauf der Zertifizierung

Der Zertifizierungsablauf ist praktisch identisch mit demjenigen von ISO 9001, ISO 14001, etc. und basiert natürlich ebenso auf den Anforderungen an eine Qualitäts-Managementsystem-Akkreditierung:

  • Stufe 1: Dokumentenprüfung
  • Stufe 2: Audit vor Ort
  • Auditbericht
  • Zertifikat mit 3-jähriger Gültigkeit
  • Jährliche Überwachungsaudits

 

Was kostet eine Zertifizierung

Umfang und somit Kosten der Zertifizierung hängen von der Grösse der Organisation, vom Geltungsbereich und von der Kritikalität ab. Gemäss den Vorgaben der ISO 27006 wird dann ein Angebot erstellt. Je nach weiteren Einflussfaktoren (z.B. Anzahl Standorte) kann die Auditzeit verkürzt oder verlängert werden. Ein konkretes Angebot kann erst auf Basis eines Gesprächs mit dem Interessenten gemacht werden