Bevor er Ihre Daten ins Internet stellt......Jetzt schnell handeln und Infos anfordern!

http://www.lrqa.de/standards-und-richtlinien/iso-iec-27001/downloads/iso-27001-leitfaden.aspx

http://www.lrqa.de/standards-und-richtlinien/iso-iec-27001/downloads/iso-27001-leitfaden.aspx

Egal ob Sie interne Informationsmanagementsysteme leiten oder f├╝r die Informationssicherheit verantwortlich sind oder ob Sie IT – Produkte und Dienstleistungen f├╝r Ihre Kunden entwickeln – effektive Informationssicherheitssysteme ( ISMS) sind wichtig. Sie helfen Ihnen die richtigen Kontrollen, Systeme und Produkte zu entwickeln, um die st├Ąndig steigenden Anforderungen Ihrer Kunden und Partner erf├╝llen zu k├Ânnen. Die ISO 27001 stellt sicher, dass die Daten von „interessierten Dritten“ wie zum Beispiel ihre Kunden, Mitarbeiter, Handelspartner und ganz allgemein die Gesellschaft durch ad├Ąquate Kontrollmechanismen gesch├╝tzt sind. Ihre Anforderungen zu verstehen- das ist der Schl├╝ssel f├╝r die Implementierung Ihres Managementsystems. Eine ISMS Zertifizierung nach ISO 27001 kann Ihnen helfen Ihren Handelspartnern und Kunden zu verdeutlichen, dass Sie Informationssicherheit ernst nehmen. Es ist ein deutlicher Beweis, dass eine Organisation ihr Commitment zur Informationssicherheit ernst nimmt. Dieser Artikel m├Âchte Hilfestellung und Ratgeber f├╝r diejenigen sein, die sich mit der Zertifizierung ihres Unternehmens hinsichtlich eines ISMS – Systems befassen. Die Artikel wurde von Jonathan Alsop, LRQA ISO 27001 Lead Auditor und Rob Acker, LRQA ICT Technical Manager verfasst.
Einf├╝hrung zur Implementierung eines ISMS – Systems.
Die UK FSA ( Financial Services Authority – die Finanzaufsicht ) bezieht sich in ihrer Ver├Âffentlichung „Operational risk systems and controls“ (Kapitel 142, Seite 57) auf die ISO 27001 wie folgt: Eine Firma sollte sich mit der Wirksamkeit Ihrer Systeme und Kontrollmechanismen, die f├╝r die Datenverarbeitung und Informationssicherheit vorgesehen sind, besch├Ąftigen. Zus├Ątzlich zu den normalen gesch├Ąftlichen Anforderungen an vertrauliche Informationen, wie Vertrags- und Preisinformationen, Urheberrechte, etc. gibt es seit kurzem weitergehende Anforderungen ( wie zum Beispiel Sarbanes-Oxley, Cobit etc. ) im Bereich der Regulierung und Corporate Governance, die wesentlich fordernder hinsichtlich der Integrit├Ąt Ihrer Unternehmens – und Finanzinformationen sind. Indem man ein Information Security Management System ( ISMS ) implementiert, bekommt man die Sicherheit, dass die unternehmenseigenen Sicherheitsvorkehrungen auf dem zur Zeit besten Stand der Technik basieren. Wenn man sein Management System nach ISO 27001 durch eine aussenstehende Zertifizierungsgesellschaft ( wie zum Beispiel LRQA ) zertifizieren l├Ąsst, dann erh├Ąlt man einen unabh├Ąngigen und unvoreingenommenen Blick auf den tats├Ąchliche Wirksamkeitsumfang und die Effektivit├Ąt des ISMS – Systems. Dadurch wird auch der Aussenwelt signalisiert, wie sich der Stand der Sicherheitssysteme darstellt.
Die OECD Richtlinien
Die OECD ( Organisation f├╝r wirtschaftliche Zusammenarbeit und Entwicklung )
Die OECD – Richtlinien sollen die Aufmerksamkeit auf die Gefahr f├╝r Informationssysteme und Netzwerke lenken. Weiterhin sollen die Vorschriften, Anwendungen, Prozesse angesprochen werden, die auf diese Risiken ausgerichtet sind. Weiterhin soll die Notwendigkeit verdeutlicht werden, sich mit diesen Ma├čnahmen zu besch├Ąftigen und diese zu implementieren. Die neun Regeln der Richtlinien beziehen sich auf alle regelnden und operativen Hierachien, die die Sicherheit der Informationssysteme und Netzwerke gew├Ąhrleisten. ISO 27001 stellt einen ISMS – Rahmen zur Verf├╝gung, der diese Regeln unter Nutzung des PDCA – Kreises und von Managementprozessen implementiert:
-Bewusstsein: Die Teilnehmer sollten sich der Notwendigkeit von Informations – und Netzwerksicherheit im Klaren sein. Ausserdem sollten sie sich dar├╝ber im Klaren sein, was sie f├╝r die Sicherheit dieser Systeme tun k├Ânnen.
-Verantwortung: Alle Teilnehmer sind f├╝r die Sicherheit der Informationssysteme und Netzwerke verantwortlich.
-Reaktion: Teilnehmer sollten zeitnah und kooperativ handeln, um Sicherheitsvorf├Ąllen vorzubeugen, Vorf├Ąlle zu entdecken, und auf Vorf├Ąlle zu reagieren.
-Risiko Audits: Die Teilnehmer sollten Risiko Audits durchf├╝hren.
-Sicherheitskonfiguration und -implementierung: Die Teilnehmer sollen Sicherheit als ein wesentliches Element der Informationssysteme und Netzwerke leben.
-Sicherheitsmanagement: Die Teilnehmer sollten einen umfassenden Ansatz f├╝r das Sicherheitsmanagement w├Ąhlen.
-Neubewertung: Die Teilnehmer sollten die Sicherheit der Informationssysteme und – netzwerke ├╝berarbeiten und neu bewerten. Ausserdem sollten sie angemessene Modifizierungen der Sicherheitspolicies, Arbeitsabl├Ąufe, Ma├čnahmen und Prozesse durchf├╝hren.
-Es geht los: Wie auch immer der aktuelle Organisationsgrad Ihrer Organisation zu Zeit ist – der erste Schritt der Implementierung eines ISMS – System ist immer die Zustimmung und Unterst├╝tzung durch das Management. Motivation und F├╝hrung muss jetzt durch das Topmanagement geleistet werden. Das Management muss sich in dieser Phase aktiv engagieren und die Richtung f├╝r das ISMS – System angeben. Das System muss mit dem strategischen Ansatz der Organisation kompatibel sein. Ausserdem sollte das Management Schl├╝selbegriffe wie Policies und Ziele als F├╝hrungsinstrumente nutzen. Der Erfolg wird eintreten wenn das Management die Gr├╝nde f├╝r die Implementierung eines ISMS – Systems nachvollziehen kann und die Implementierung und den Betrieb voll und ganz unterst├╝tzt.

Die Planung,die den Erfolg sicherstellt

Wie bei jedem anderen Projekt auch, wird der Erfolg umso wahrscheinlicher, je realistischer und ├╝berlegter man vorgeht. Wichtig ist, die tats├Ąchliche Performance mit den Planvorgaben abzugleichen und auf unvorhergesehene Ereignisse angemessen reagieren zu k├Ânnen. Der Plan sollte unter Ber├╝cksichtigung des Zeitfaktors und der knappen Resource erstellt werden. Das Top – Management sollte die erforderlichen Resourcen bereitstellen. Die Gesamtverantwortung liegt immer beim Top – Management und oft auch bei der IT – Abteilung. Allerdings hat die IT – Sicherheit einen durchaus weiteren Ansatz als nur IT – Systeme. Dar├╝ber hinaus ber├╝hrt sie das Personal, die Sicherheit, physische Sicherheit und rechtliche Regelungen. Wenn in Ihrem Unternehmen bereits ein Qualit├Ątsmanagementsystem vorhanden ist, dann kann man ISO 27001 mit der ISO 9001:2015 kombinieren und als Basis f├╝r das ISMS – System nutzen. Handelsorganisationen und Verb├Ąnde, die die Zertifizierung bereits absolviert haben, k├Ânnen gute Quellen f├╝r Informationen und Erfahrungen sein. Man kann bei ihnen erfahren wie man am besten startet bzw. man kann seine Erfahrungen mit ihren abgleichen. Vielleicht m├Âchten Sie auch erstmal einen LRQA Training besuchen? Dort k├Ânnen Sie mit anderen Teilnehmern oder Ihrem ├╝ber IT – Sicherheit diskutieren.

Die Norm verstehen

Der erste Schritt sollte sein, sich mit der neuen Norm zu befassen. Man sollte die Kriterien, die es zu beachten gilt, nachvollziehen k├Ânnen. Auch die Struktur der Norm und die Struktur des eigenen zuk├╝nftigen ISMS – Systems und der dazu geh├Ârigen Dokumentation sollte nachvollzogen worden sein. Die Norm weist zwei Teile auf:
-ISO 27002 selber ist keine Norm, sondern eine Handlungsanweisung, die Sicherheits – und ├ťberwachsungsziele beschreibt, die man ausw├Ąhlen und implementieren kann, um bestimmte Risiken der IT – Sicherheit auszuschlie├čen.
-ISO 27001 ist die Management System Norm, die die Anforderungen an die Zertifizierung des ISMS – System definiert. Diese Norm umfasst alle gemeinsamen Elemente eines Management Systems: Policy, Leadership, Planung, Betriebsablauf ( operations ), Management Review und Verbesserungswesen ( impovement ).
-Sie enth├Ąlt ein Kapitel, das sich speziell mit der Identifizierung von Risiken des Informationssystems besch├Ąftigt und einer Auswahl von passenden Kontrollmechanismen, die man mit der Norm abgleichen kann ( Annex A )

Was kommt als n├Ąchstes?

Es gibt zwei Hauptelemente in einem ISMS – System. Diese Hauptelemente k├Ânnen als zwei unterschiedliche Aktivit├Ąten behandelt werden. ISO 27001 fordert die Implementierung eines ISMS – Systems, um die Sicherheitsanforderungen Ihres spezifischen Gesch├Ąfts zu identifizieren und zu dokumentieren. Die Norm fordert auch, dass die Managementprozesse definierte Vereinbarungen, Verantwortlichkeiten und ├ťberpr├╝fbarkeit beinhalten. D.h. F├╝hrung, Kontext, Management Review und Verbesserungswesen.

Management Prozesse

Diese Prozesse sind hinsichtlich der effektiven Implementierung eines ISMS – Systems als kritisch zu bezeichnen. Wenn Ihre Organisation bereits mit einem Qualit├Ątsmanagementsystem wie der ISO 9001:2015 arbeitet, dann werden Ihnen diese Prozesse bekannt vorkommen. Wenn das der Fall ist, dann ist die Integration des Forderungskataloges des neuen ISMS – Systems in das vorhandene Management System, die ideale Vorgehensweise. Denn das stellt sicher, dass die Sicherheitsexpertise dort verf├╝gbar ist, wann und wo sie gebraucht wird. Wenn Sie diese Prozesse zum ersten Mal implementieren, dann denken Sie bitte an die ganzheitliche Absicht dieser Managementsystemanforderungen. Stellen Sie sicher, dass das Topmanagement sich der Thematik annimmt, denn das Topmanagement hat die Verantwortung f├╝r die Effektivit├Ąt des Management Systems und das ISMS soll von Ihm „betrieben“ werden. Ad├Ąquate Resources ( Personal, Ausr├╝stung, Zeit und Geld ) sollten in die Entwicklung, Implementierung und ├ťberwachung des ISMS – Systems investiert werden. Ein internes Audit ├╝berpr├╝ft, ob das ISMS – Management System wie geplant funktioniert und auch Verbesserungsm├Âglichkeiten aufzeigt. Durch das Management Review hat das Top Management erstmals die M├Âglichkeit der Auditierung und kann feststellen wie gut das System funktioniert und wie es die Gesch├Ąftst├Ątigkeit unterst├╝tzt. Vielleicht finden Sie es sinnvoll, diese Managementprozesse mit den ├ťberwachungszielen in Annex A zu verbinden, denn viele dieser ├ťberwachungsmechanismen komplettieren die Managementanforderungen der ISO 27001.
Definieren Sie den Umfang
Es ist sehr wichtig, dass Sie den logischen und geographischen Umfang des ISMS – Systems so genau bestimmen, dass die Grenzen und die Verantwortlichkeiten Ihres ISMS – Systems klar sichtbar werden. Der Umfang sollte die Personen, R├Ąume und Informationen identifizieren, die von der Einf├╝hrung des ISMS – Systems betroffen sind. Sobald Sie den Umfang definiert und dokumentiert haben, k├Ânnen Sie die betroffenen Informationsbereiche identifizieren. Dann k├Ânnen Sie ebenfalls ihren Wert und „Owner“ festlegen.

ISMS Vorschriften ( Policy )

Die Anforderungen, die sich auf die ISMS Vorschriften ( Policies ) beziehen, sind in beiden Normen ISO 27001 (5.2) und ISO 27002 vorhanden. Es gibt auch Referenzen, die die Policy betreffen, die sich in anderen Forderungen der ISO 27001 oder im Annex A befinden. Das wiederum liefert weitere Hinweise darauf, was die Policy beinhalten sollte. Zum Beispiel sollten die ISMS – Ziele mit den ISMS – Richtlinien ( Policy ) konsistent sein (6.2). Andere Richtlinien (Policies) werden erforderlich sein, um einige ├ťberwachungsziele zu erreichen.

Risiko – Auditierung und Risikomanagement

Die Risiko – Auditierung ist das Fundament, auf dem jedes ISMS – System errichtet wurde. Es liefert den Focus f├╝r die Implementierung der Sicherheits├╝berwachung und stellt sicher, dass sie dort angewendet werden, wo es am n├Âtigsten ist. Au├čerdem m├╝ssen sie kosteneffizient sein und d├╝rfen nicht dort angewendet werden, wo sie am wenigsten n├╝tzen. Die Risiko – Auditierung hilft die Antwort auf die Frage zu liefern: Wieviel Sicherheit brauchen wir? Eine der Hauptbetrachtungsweisen ist, dass man Risiko in einem positiven wie auch negativem Licht sehen kann. Risiko wird als Unsicherheit ├╝ber Ziele definiert. Deswegen ist es sehr wichtig, dass man die Chancen, die sie nutzen wollen, ebenfalls betrachtet. Der Risiko – Audit umfasst alle „owners“ von Informationsbest├Ąnde. Man wird ohne sie kein effektives Risiko-Audit durchf├╝hren k├Ânnen. Der erste Schritt ist es eine Risiko Audit – Methode festzulegen und zu dokumentieren. Es gibt passende Methoden, die meist computerbasiert sind, wie z.B. CRAMM. ISO 31000 enth├Ąlt weitere Informationen dar├╝ber, wie man die richtige und passende Methode f├╝r die spezifische Struktur und Komplexit├Ąt des eigenen Informationssystems findet. Der Risiko Auditierungsprozess umfasst die Identifizierung- und Bewertung der Informationsbest├Ąnde. Die Bewertung muss nicht finanziell sein und kann auch Reputationssch├Ąden und einen Kompromiss der regulierenden Vorschriften umfassen. ( das ist dann genau da, wo Ihr Kontext einen wichtigen Einfluss hat ) Dieser Prozess sollte alle Bedrohungen und Unsicherheiten umfassen und jede Chance, die mit den Informationsbest├Ąnden und deren Nutzung zu tun hat. Schlie├člich muss man die H├Âhe des Risikos festlegen und die entsprechenden ├ťberwachungsmechanismen implementieren. Zum Beispiel ist die Bedrohung durch Verweigerung des Zugangs f├╝r ein industriell gepr├Ągtes Unternehmen in der N├Ąhe eines petrochemischen Unternehmens wesentlich gr├Âsser als die gleiche Bedrohung f├╝r ein B├╝ro in einem st├Ądtischen B├╝ropark. Andersrum ist die Bedrohung von Kreditkartendatendiebstahl gr├Âsser als der Diebstahl von Produktionsdaten einer kleinen Engineeringfirma.

Risiko Behandlung

Das Risiko Audit identifiziert Risiko Levels, die dann mit dem akzeptierten Risikolevel der Sicherheitspolicy des Unternehmens abgeglichen werden m├╝ssen. Bei Risiken, die oberhalb des akzeptierten Risikolevels liegen, m├╝ssen angemessene Ma├čnahmen getroffen werden. M├Âgliche Ma├čnahmen w├Ąren hier zum Beispiel: Die Implementierung von Sicherheitskontrollen aus dem Annex A, die den Risikolevel auf ein akzeptables Niveau reduzieren. Der Risikiolevel sollte neu kalkuliert werden, um zu best├Ątigen, dass das Restrisiko unter dem akzeptablen Level ist. Die ausgew├Ąhlten ├ťberwachungsinstrumente werden in das „Statement of Applicabillity“ aufgenommen. Dieses enth├Ąlt die Begr├╝ndung f├╝r die Aufnahme oder den Ausschluss jedes ├ťberwachungsinstruments. Au├čerdem zeigt es den Status an und erm├Âglicht die Nachvollziehbarkeit durch den Risiko Audit.

Das Risiko in ├ťbereinstimmung mit der Management Policy und den Kriterien f├╝r Risiko Akzeptanz akzeptieren.

Es kann sein, dass es F├Ąlle gibt, bei denen das Restrisiko trotz der eingeleiteten Ma├čnahmen h├Âher als das akzeptable Risiko ist. In diesem Fall sollte das Restrisiko Teil des Risikoakzeptanzprozesses werden. Eine Aufzeichnung der „managements acceptance of risks“ sollte ebenfalls vorgehalten werden.

Das Risiko eliminieren, indem man die Sicherheitsumgebung ├Ąndert

Zum Beispiel, indem man sichere Anwendungen installiert, bei denen Schwachstellen, die man w├Ąhrend des Datenverarbeitungsprozesses entdeckt hat, ausgemerzt sind; oder indem man physische Gegenst├Ąnde in ein h├Âheres Stockwerk transportiert, wenn zum Beispiel die Gefahr von ├ťberschwemmungen droht. Solche Entscheidungen m├╝ssen gesch├Ąftliche und finanzielle Betrachtungen in Erw├Ągung ziehen. Noch einmal – das Restrisiko sollte nochmal entsprechend den Risikovermeidungsma├čnahmen re- kalkuliert werden.

Verschiebung des Risikos durch Herausnahme einer angemessenen Versicherung oder Outsourcing des Managements von physischen Anlagen oder Businessprozessen.

Die Organisation, die das Risiko akzeptiert, sollte sich dessen bewusst sein und damit einverstanden sein, ihre Verpflichtungen zu erf├╝llen. Vertr├Ąge mit Organisationen, die Leistungen outsourcen, sollten die spezifisch passenden Sicherheitsanforderungen erf├╝llen. Der Risikoplan wird daf├╝r eingesetzt, die Risiken zu managen, indem man die geplanten und durchgef├╝hrten Ma├čnahmen identifiziert. Dar├╝ber hinaus sind die Zeitpl├Ąne f├╝r die Vervollst├Ąndigung der ausstehenden Ma├čnahmen zu ber├╝cksichtigen. Die Planung sollte die Ma├čnahmen priorisieren und alle Verantwortlichkeiten und detaillierten Ma├čnahmenpl├Ąne enthalten.

Zertifizierung

Nicht alle Zertifizierungsunternehmen sind gleich. Wenn Sie mit einem Zertifizierungsunternehmen zusammenarbeiten, dann m├Âchten Sie sichergehen, dass es durch eine nationale Akkreditierungsorganisation akkreditiert ist. Bei Lloyd┬┤s ist das die UKAS ( United Kingdom Accreditation Service ). Besuchen Sie die Website ( www.ukas.com ), wenn Sie weitere Informationen ├╝ber die Akkreditierung ben├Âtigen. Zertifizierung ist eine externe Bewertung Ihres Managementsystems. Sie bescheinigt, dass sie die Anforderungen der ISO 27001:2013- der internationalen Informationssicherheitsmanagement-Norm, gerecht werden. Die Wahl Ihrer Zertifizierungsgesellschaft wird ebenfalls eine Menge dar├╝ber aussagen, wie wichtig Sie Managementsysteme halten. Sie sollten eine Zertifizierungsgesellschaft ausw├Ąhlen, die Ihnen helfen kann Ihr Managementsystem so zu entwickeln, dass es sein ganzes Potential aussch├Âpfen kann. Alle LRQA – Auditoren durchlaufen einen rigorosen Auswahlprozess und Trainingsprogramm, dass von einem kontinuierlichen, permanenten pers├Ânlichen Entwicklungsplan begleitet wird. Das gibt Ihnen die Sicherheit, dass wenn Sie LRQA als Ihre Zertifizierungsgesellschaft ausw├Ąhlen, Sie die Sicherheit haben, einen gr├╝ndlichen aber auch fairen Zertifizierungsprozess zu durchlaufen. Dar├╝ber hinaus unterst├╝tzen Sie damit den fortlaufenden Entwicklungsprozess Ihres Managementssystems. Dar├╝ber hinaus, da die LRQA Marke weltweit anerkannt ist, wird Ihre LRQA – Zertifizierung daf├╝r sorgen, dass Eink├Ąufer weltweit Vertrauen in Ihre ISO 27001 Zertifizierung und Ihr Managementsystem haben werden.

Warum sollte man LRQA w├Ąhlen?

LRQA kann Sie bei der Verbesserung Ihrer Systeme und dem Management von Risiken unterst├╝tzen. LRQA hilft Ihnen Ihre jetzige und zuk├╝nftige Leistung der Organisation zu verbessern. Durch das Verst├Ąndnis was wichtig f├╝r Ihre Organisation und Ihre Stakeholders ist, helfen wir Ihnen Ihr Managementsystem und Ihr Business zum selben Zeitpunkt zu verbessern.

Gedankliche F├╝hrung

Unsere Experten sind anerkannte Stimmen in der Industrie und nehmen regelm├Ąssig an Sitzungen technischer Kommitees teil, die Normen verbessern und entwickeln.

Technische Expertise

Das technische know – how und die Projektmanagement Expertise unserer weltweit anerkannten und hochausgebildeten ISMS – Experten stellt sicher, dass unsere Dienstleistungen an Ihre Gesch├Ąftsanforderungen anpassen.
Wir verbinden internationale Expertise, tiefe Einsicht in die Informationssicherheit mit“ first Class“ Projektmanagement – und Kommunikationsf├Ąhigkeit. Wir sind keine Aktiengesellschaft und daher unabh├Ąngig und unteilbar in Allem was wir tun. Wir sind dazu verpflichtet, zu jeder Zeit, integer und objektiv zu handeln. Weitere Informationen erhalten Sie unter Carl.Ebelshaeuser@lrqa.com oder +49 (0)221 96757700 oder http://www.lrqa.de/kontakt-und-info/anfrage-an-lrqa.aspx

Download unserer ISO 27001 Brosch├╝re: http://www.lrqa.de/standards-und-richtlinien/iso-iec-27001/downloads/iso-27001-leitfaden.aspx

Lloyd┬┤s Register Deutschland GmbH ( http://www.lrqa.de ) wurde 1985 gegr├╝ndet und ist eine der international f├╝hrenden Gesellschaften f├╝r die Auditierung von Managementsystemen und Risikomanagement. Lloyd┬┤s bietet Schulungen und Zertifizierung von Managementsystemen mit Schwerpunkten in folgenden Bereichen: Qualit├Ąt, Umweltschutz, Arbeitssicherheit, Energiemanagement, Auditierung von Lieferketten. Mit mehr als 45 Akkreditierungen und Niederlassungen in 40 L├Ąndern kann Lloyd┬┤s Auditierungen in 120 L├Ąndern durchf├╝hren. Weltweit betreuen 2.500 Auditoren mehr als 45.000 Kunden. Lloyd┬┤s Register wurde 1760 als erste Gesellschaft zur Schiffsklassifizierung gegr├╝ndet und bietet heute Dienstleistungen im Bereich Risikomanagement. Die Lloyd┬┤s Register Gruppe ist ein gemeinn├╝tziges Unternehmen gem├Ą├č englischem Charity-Recht, d.h. die Gewinne werden f├╝r eine gemeinn├╝tzige Stiftung verwendet bzw. wieder direkt ins Unternehmen investiert. Hierdurch ist Lloyd┬┤s register wirtschaftlich unabh├Ąngig. Weiter Information erhalten Sie durch info@lrqa.de oder 0221- 96757700. Den Lloyd┬┤s -Newsletter erhalten Sie unter: http://www.lrqa.de/kontakt-und-info/news-abonnieren.aspx Weitere Infos unter: http://www.lrqa.de/standards-und-richtlinien/angebot-anfordern.aspx

Kontakt
Lloyd┬┤s Register Deutschland GmbH
Carl Ebelsh├Ąuser
Adolf Grimme Allee 3
50829 K├Âln
+49 (0)221 96757700
info@lrqa.de
http://www.lrqa.de