MaSI und ITSiG in 10 Schritten zur Compliance
|
|
- Brigitte Breiner
- vor 8 Jahren
- Abrufe
Transkript
1 MaSI und ITSiG in 10 Schritten zur Compliance SRC Security Research & Consulting GmbH November 2015
2 Inhalt MaSI und ITSiG IT-Compliance verändert sich, IT-Sicherheit wird zum Wettbewerbsfaktor... 1 Die neuen Herausforderungen von MaSI und ITSiG Schritte zur Compliance Baustein 1: Grundlegender Compliance-Check Baustein 2: Schutzbedarfsfeststellung Baustein 3: Sicherheitsrichtlinien Baustein 4: Risikoanalyse Baustein 5: Monitoring der Sicherheitsmaßnahmen Baustein 6: Meldeverfahren für IT-Sicherheitsvorfälle Baustein 7: Business Continuity Management/Business Impact Analyse Baustein 8: Security Awareness Baustein 9: Integration aller Maßnahmen in ein Informationssicherheitsmanagementsystem (ISMS) Baustein 10: Generalisierung des ISMS zur Abdeckung der Anforderungen von ITSiG und BAIT Methodik Erfahrungshintergrund von SRC Nähere Informationen... 15
3 MaSI und ITSiG IT-Compliance verändert sich, IT-Sicherheit wird zum Wettbewerbsfaktor Neue Technologien eröffnen gerade auch in der Kreditwirtschaft die Chance zur weiteren Digitalisierung von Geschäftsprozessen. Banken sehen sich zunehmend neuen Wettbewerbern gegenüber, die neue Technologien nutzen, um traditionelle Geschäftsprozesse im Banking neu zu denken und zu erfinden. Auch die Banken selbst haben längst damit begonnen, neue Technologien zur Digitalisierung ihrer Geschäftsprozesse zu nutzen. Digitalisierte Geschäftsprozesse steigern die Effizienz und tragen dazu bei, die Kontakthäufigkeit zum Kunden nachhaltig zu steigern. Viele Untersuchungen von Banken zeigen z.b., dass Kunden, die ein Mobile Banking-Angebot ihrer Bank nutzen, dadurch deutlich häufiger Kontakt zu ihrer Bank haben. Daher werden heute bereits fast alle wichtigen Geschäftsprozesse mittels IT-Systemen unterstützt oder sind mit diesen verzahnt. Digitalisierungsstrategien werden aber nur dann nachhaltigen Erfolg haben können, wenn die Kunden darauf vertrauen können, dass das Umfeld, in dem sie sich bewegen, sicher und zuverlässig ist. Vertrauen in die Sicherheit ist die Basis für die Akzeptanz der neuen digitalen Geschäftsprozesse. Aus Sicht der Bank kommt es also darauf an, die Risiken von Schadensfällen für die Bank und für ihre Kunden zu minimieren. Die nahezu unbegrenzt erscheinenden Möglichkeiten neuer Technologien bedeuten nämlich auch, dass neue Risikofelder und Abhängigkeiten entstehen. Mängel in der IT- Sicherheit bedeuten nicht nur finanzielle Einbußen aufgrund von Schäden, sondern können auch zu Imageverlusten oder zu einer zurückhaltenden Marktakzeptanz neuer Services führen. Es wird daher immer wichtiger, die IT-Sicherheit speziell im Zusammenhang mit Internet-Zahlungssystemen übergreifend zu steuern. Diese Sichtweise hat sich 2015 auch die Regulierung zu eigen gemacht. Die Spielregeln zur sicheren Nutzung neuer Technologien wurden in der Vergangenheit (häufig über Spezialregelungen) in verschiedensten regulatorischen Rahmenwerken weiterentwickelt sowohl über die Datenschutzgesetzgebung als auch über bankaufsichtsrechtliche Anforderungen, insb. KWG und MaRisk. Dabei hat sich, bezogen auf konkrete technologische Neuerungen, häufig Interpretationsbedarf ergeben. Die Folge war Unsicherheit in Bezug auf die Umsetzung der Vorgaben speziell im Zusammenhang mit neuen digitalen Geschäftsprozessen. Mit Veröffentlichung der bankaufsichtlichen Anforderungen an die Absicherung von Internet- Zahlungen (MaSI), der Überarbeitung der Zahlungsdiensterichtlinie (PSD2) und dem Inkrafttreten des IT-Sicherheitsgesetzes hat sich 2015 eine veränderte Sichtweise ergeben. Diese geht entsprechend dem Erfordernis aus Sicht der Bank zum übergreifenden Management der IT-Risiken von der Etablierung einer umfassenden IT-Compliance-Funktion aus. Es ist zu erwarten, dass aufgrund des veränderten Compliance-Verständnis der BaFin und der EBA in Zukunft ein ganzheitliches IT-Compliance-Management auf Grundlage allgemein anerkannter Standards (insb. ISO 27001, PCI DSS, IDW PS 880) erwartet wird. So beabsichtigt die BaFin bspw., die bisherigen Anforderungen der MaRisk an die IT auszugliedern und in eigenständigen 1
4 bankaufsichtlichen Anforderungen an die IT (BAIT) zusammenzufassen und zu konkretisieren. Die Ausgliederung erfolgt auch, um auf die sich stark wandelnden Anforderungen des Marktes schneller und konkreter reagieren zu können. Die Umsetzung der MaSI-Anforderungen zum 5. November 2015 ist bereits ein erster Schritt in diese Richtung. Die Umsetzung der MaSI-Anforderungen bedeutet für Kreditinstitute damit auch die Chance, sich bereits frühzeitig auf die künftigen IT-Compliance-Anforderungen einzustellen, wie sie sich mit der PSD2, dem IT-Sicherheitsgesetz und den erwarteten BAIT ergeben werden. Die Methoden zur Umsetzung der MaSI sind z.t. dieselben, die auch zukünftig zur Umsetzung von regulatorischen Anforderungen an das Management von IT-Sicherheitsrisiken in einer Bank angewendet werden. Daher kann die Umsetzung der MaSI genutzt werden, die notwendigen Prozesse und infrastrukturellen Voraussetzungen für ein übergreifendes IT-Sicherheitsmanagement am Beispiel der Internet-Zahlungen aufzubauen und sukzessive zu einem umfassenden IT- Compliance-Management auszubauen. Dabei ist es sinnvoll, auf bereits bestehenden Voraussetzungen aufzusetzen. Wir zeigen auf, wie ein Institut die MaSI-Anforderungen umsetzten und diese Umsetzung belegen kann. Gleichzeitig schafft das Institut so die Voraussetzungen zur Umsetzung eines weitergehenden IT-Sicherheitsmanagements, wie dies im Zusammenhang mit dem IT-Sicherheitsgesetz bzw. der BAIT erforderlich wird. Quelle: Tagesschau 2
5 Die neuen Herausforderungen von MaSI und ITSiG Seit dem 5. November 2015 müssen die Vorgaben der BaFin zu den Mindestanforderungen an die Sicherheit von Internetzahlungen umgesetzt sein. Die BaFin hat angekündigt, die MaSI nunmehr auch zum Gegenstand von Prüfungen zu machen. Wichtige Herausforderungen im Zusammenhang mit der Umsetzung der MaSI betreffen die folgenden Themenfelder: Definition formeller Sicherheitsrichtlinien für alle von einem Institut angebotenen Internet- Zahlungsdienste Bewertung der Risiken von Internet-Zahlungsdiensten Prozesse zur Vorfallüberwachung sowie zur Meldung von Sicherheitsvorfällen Ableitung risikobegrenzender Maßnahmen und Überwachung der Effektivität der Maßnahmen Protokollierung aller Transaktionen Spezifische Kontroll- und Sicherheitsmaßnahmen für Internet-Zahlungen, wie sichere Authentifizierung von Kunden, Transaktionsüberwachung und Schutz sensibler Daten Vergleichbare Anforderungen, allerdings auf anwendungsübergreifendem Niveau, ergeben sich mit der Umsetzung des IT-Sicherheitsgesetzes. Die wesentlichen Regelungsinhalte des IT- Sicherheitsgesetzes betreffen die folgenden drei Themenbereiche: Branchenspezifische Standards für IT-Sicherheit: Betreiber kritischer Infrastrukturen werden aufgefordert, branchenspezifische IT-Sicherheitsstandards umzusetzen und hierfür organisatorische und technische Vorkehrungen zu treffen, z.b. im Rahmen eines Informationssicherheitsmanagementsystems (ISMS) zu etablierten. Regelmäßige Audits: Die Wirksamkeit der umgesetzten IT-Sicherheitsmaßnahmen ist regelmäßig zu überprüfen und die Nachweise hierüber sind dem Bundesamt für Sicherheit in der Informationstechnik vorzulegen. Meldepflichten: IT-Sicherheitsvorfälle müssen detektiert, ermittelt und an die jeweils zuständigen Behörden gemeldet werden. Auch das Telemediengesetz ist durch das IT-Sicherheitsgesetz geändert worden (neuer 13 Abs. 7 TMG). Hieraus ergibt sich eine spezielle Anforderung an die Absicherung von Internetangeboten von Kreditinstituten. Demzufolge sind gewerbsmäßig betriebene Telemediendienste hierzu ist z.b. das Online-Banking zu rechnen - () durch technische und organisatorische Vorkehrungen gegen Verletzungen des Schutzes personenbezogener Daten und gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, nach dem Stand der Technik zu schützen. Eine weitere Konkretisierung der Anforderungen an Authentifizierungsverfahren ergibt sich mit der novellierten Zahlungsdiensterichtlinie (PSD2). Diese verlangt, dass bei der sog. starken Kundenauthentifizierung immer auch die zugehörigen Transaktionsdaten (Gutschriftsempfänger und Transaktionsbetrag) gesichert werden. Darüber hinaus sollen im Zusammenhang mit der Umsetzung 3
6 der PSD2 die Ausnahmetatbestände, in denen auf eine starke Kundenauthentifizierung verzichtet werden kann, einheitlich festgelegt werden. Während die Umsetzung der Vorgaben des IT-Sicherheitsgesetzes für die Betreiber kritischer Infrastrukturen noch vom Erlass einer Durchführungsverordnung abhängt und die Umsetzung der PSD2 erst nach Transposition in nationales Recht erfolgt, ergibt sich aktuell vor allem im Zusammenhang mit der Umsetzung der MaSI sowie von 13 Abs. 7 TMG Handlungsbedarf in Kreditinstituten. Zur Aufrechterhaltung einer angemessenen IT-Sicherheit haben Banken heute bereits eine Vielzahl von Sicherheitsmaßnahmen vorgesehen, die in Organisationshandbüchern, technischen Spezifikationen, Verträgen, usw. dokumentiert sind. Teilweise haben Institute auch bereits umfassende Informationssicherheitsmanagementsysteme (ISMS) etabliert. Die Ausarbeitung dieser Sicherheitsmaßnahmen erfolgte vor allem im Zusammenhang mit der Umsetzung des 25a Abs. 1 KWG sowie MaRisk AT 7,8,9. Die Anforderungen der MaSI bzw. auch des IT-Sicherheitsgesetzes gehen allerdings z.t. über die bisherigen Anforderungen hinaus. Vorgabe Anforderungen (Stichworte) 25a Abs. 1 KWG 1. Risiko-Management Strategie 2. Kontrollsystem 3. Verantwortung 4. Monitoring 5. Ressourcen 6. Notfall MaRisk AT 7,8,9 1. IT-Berechtigungen 2. Technisch-organisatorische Ausstattung 3. Notfallkonzepte 4. Veränderungen in den IT-Systemen 5. Anpassung der IT-Systeme bei Übernahmen und Fusionen 6. Outsourcing 7. Risikoanalysen MaSI 1. Governance 2. Risikobewertung 3. Vorfallüberwachung und Berichterstattung 4. Risikokontrolle und -minderung 5. Rückverfolgbarkeit 6. Erstidentifikation des Kunden, Information 7. Starke Kundenauthentifizierung 8. Anmeldung bei Authentifizierungstools und deren Bereitstellung und/oder an den Kunden gelieferte Software 9. Anmeldeversuche, Sitzungs-Timeout, Gültigkeit von Authentifizierungen 10. Transaktionsüberwachung 11. Schutz sensibler Zahlungsdaten 12. Kundeninformation und -kommunikation 4
7 Vorgabe Anforderungen (Stichworte) 13. Mitteilungen, Festlegung von Grenzwerten 14. Zugang des Kunden zu Informationen über den Status der Zahlungsauslösung und -ausführung IT-Sicherheitsgesetz (ITSiG) und daraus resultierend BSI- Gesetz (BSIG) 1. Erreichung eines angemessenen Standards für IT-Sicherheit (BSIG 8a (1)) 2. Durchführung regelmäßiger Audits (BSIG 8a (3)) 3. Meldepflicht und Kontaktstelle (BSIG 8b (3) und (4)) 10 Schritte zur Compliance Zur Umsetzung der Anforderungen aus MaSI bzw. ITSiG (vorbereitend) bietet sich ein schrittweises Vorgehen an, das ausgehend von einer Gap-Analyse mit Fokus MaSI zunächst alle Voraussetzungen zur Einhaltung der MaSI-Anforderungen schafft. Die in diesem Zusammenhang zu etablierenden Prozesse sollten allerdings so gestaltet sein, dass sie sich auch für eine Generalisierung im Zusammenhang mit den künftig zu erwartenden Anforderungen des ITSiG sowie der BAIT eignen. Baustein 1: Grundlegender Compliance-Check Ein grundlegender Compliance-Check dient dazu, auf Grundlage bereits existierender Maßnahmen und Dokumentationen zu überprüfen, inwieweit die Anforderungen der MaSI bereits erfüllt werden. Im Rahmen eines Compliance-Checks wird für alle Anforderungen der Aufsicht detailliert überprüft, ob diese eingehalten sind und ob die zum Nachweis notwendigen Dokumentationen vorliegen. Soweit sich im Rahmen des Checks offene Punkte ergeben, können diese als Grundlage für die Entwicklung einer Planung zur Umsetzung der vollständigen Compliance herangezogen werden. Um sich einen ersten Überblick über die MaSI-Compliance zu verschaffen und eventuelle Lücken zu identifizieren, wurde der MaSI-Compliance Check entwickelt. Dabei wird für alle Anforderungen der MaSI überprüft, ob die Anforderungen der BaFIN erfüllt werden und ob die Dokumentation hierzu ausreichend ist. Eventuelle Gaps werden so frühzeitig erkannt und können angegangen werden. MaSI Basis-Check 5
8 Baustein 2: Schutzbedarfsfeststellung Grundlage jedes Informationssicherheitsmanagementsystems ist eine Schutzbedarfsfeststellung. Hierbei gilt es festzustellen, welcher Schutz für die IT-Systeme und Daten ausreichend und angemessen ist. Zunächst müssen die angestrebten Schutzziele festgelegt werden. Üblicherweise sind dies Vertraulichkeit, Integrität und Verfügbarkeit, ggf. ergänzt um institutseigene Schutzziele. Auf dieser Grundlage wird der Schutzbedarf ermittelt. Er gibt an, welche möglichen Schäden bei Nichterreichung der Schutzziele entstehen können, und wie wichtig es daher ist, den Eintritt solcher Schäden zu verhindern. Ein allgemein akzeptierter methodischer Ansatz zur Schutzbedarfsfeststellung ist die BSI- Schutzbedarfsfeststellung, bei der der Schutzbedarf nicht nur für zu schützende Daten, sondern für "Objekte im Informationsverbund" ermittelt wird. Dies umfasst Anwendungen, Datenträger, IT- Systeme, Netzwerk-Verbindungen und Räumlichkeiten. Dabei leitet sich der Schutzbedarf dieser Objekte von den Daten ab, die darauf/darin gespeichert, verarbeitet oder übertragen werden. Der Schutzbedarf selber wird jedem Objekt zugeordnet. Das BSI unterscheidet dabei nach drei qualitativen Kategorien: "normal" - Die Schadensauswirkungen sind begrenzt und überschaubar. "hoch" - Die Schadensauswirkungen können beträchtlich sein. "sehr hoch" - Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen. Der zugeordnete Schutzbedarf hängt davon ab, wie hoch der Schaden im Fall des Nichterreichens der Schutzziele ist. Bei den zu berücksichtigenden Schäden wird üblicherweise zwischen den folgenden Schäden differenziert: Verstoß gegen Gesetze/Vorschriften/Verträge, Beeinträchtigung des informationellen Selbstbestimmungsrechts, Beeinträchtigung der persönlichen Unversehrtheit, Beeinträchtigung der Aufgabenerfüllung, negative Innen- oder Außenwirkung und finanzielle Auswirkungen. Schutzbedarfs- feststellung 6
9 Liegt bereits eine Schutzbedarfsfeststellung vor, kann eine Überprüfung der Feststellungen auf Grundlage des aktuellen Stands der Technik bereits ausreichend sein. Soweit noch keine Schutzbedarfsanalyse für die vom Institut unterstützten Internet-Zahlungssysteme vorliegt, bietet die Methodik des Bundesamtes für Sicherheit in der Informationstechnik einen geeigneten Ausgangspunkt, um effizient zu einer umfassenden Schutzbedarfsanalyse zu kommen. Baustein 3: Sicherheitsrichtlinien Eine zentrale Anforderung der MaSI ist das Vorliegen einer Sicherheitsrichtlinie für die angebotenen Internet-Zahlungsverfahren. Die Ergebnisse einer Schutzbedarfsanalyse führen unmittelbar zur Festlegung solcher Sicherheitsrichtlinien. Sie stellen die übergeordneten Vorgaben des Vorstands eines Kreditinstituts im Hinblick auf die vom Institut angestrebten Sicherheitsziele und die Maßnahmen zur Erreichung dieser Ziele dar. Im Mittelpunkt einer Sicherheitsrichtlinie stehen daher i.d.r. nicht nur die regulatorischen Vorgaben, sondern vor allem auch die Bedürfnisse der Kunden und die Risiken des Instituts. Banken verfügen vielfach bereits über Sicherheitsrichtlinien. Im Zusammenhang mit der Umsetzung der MaSI gilt es zunächst zu überprüfen, inwieweit die vorhandenen Sicherheitsrichtlinien dem aktuellen Stand der Technik entsprechen und die Anforderungen der MaSI abdecken. Ggf. müssen bestehende Sicherheitsrichtlinien aktualisiert bzw. gesonderte Sicherheitsrichtlinien für Internet- Zahlungen erstellt und verabschiedet werden. Sicherheits- richtlinie 7
10 Baustein 4: Risikoanalyse Die Durchführung von Risikoanalysen ist ein weiterer Kernpunkt der MaSI-Anforderungen. Aufbauend auf der Schutzbedarfsfeststellung werden Bedrohungen, bestehende Sicherheitsmaßnahmen und Schwachstellen identifiziert und resultierende Risiken unter Berücksichtigung von Eintrittswahrscheinlichkeiten und potenziellen Schadenshöhen analysiert und bewertet. Nach der Risikobewertung wird der Umgang mit den festgestellten Risiken geprüft. Die Risikobehandlung kann aus den folgenden Maßnahmen bestehen: Risikovermeidung (wenn auf die risikobehaftete Aktivität verzichtet werden kann) Risikoverminderung durch weitere Maßnahmen Risikoakzeptanz (für nach vereinbarten Kriterien als tragbar identifizierte Risiken) Risikoübertragung (z.b. durch Abschluss von Versicherungen für finanzielle Risiken). Darauf aufbauend werden die verbleibenden Restrisiken identifiziert. Eine Risikoanalyse kann in Verbindung mit den definierten Maßnahmen zur Risikobegrenzung auch bereits als Sicherheitskonzept genutzt werden, wenn die verbleibenden Restrisiken ausreichend minimiert worden sind. Risiko- analyse Zur Umsetzung der MaSI ist die Risikoanalyse ggf. um zwei besondere Prüfungsfelder zu ergänzen: Zum Nachweis der Einhaltung der Anforderungen an die starke Kundenauthentifizierung kann es erforderlich werden, die Produkte und Verfahren zur starken Kundenauthentifizierung zu begutachten. Damit sollen Risiken ausgeschlossen bzw. minimiert werden und die Zukunftsfähigkeit auch im Hinblick auf die künftigen Anforderungen der PSD 2 belegt werden. 8
11 Die Qualität der Methoden und Produkte zur Transaktionsüberwachung können gesondert geprüft werden. Damit werden die Wirksamkeit der Transaktionsüberwachung und die hiermit verbundene Minimierung der Risiken belegt. Baustein 5: Monitoring der Sicherheitsmaßnahmen Regelmäßige Überprüfungen tragen dazu bei, die in der Risikoanalyse definierten Sicherheitsmaßnahmen an sich verändernde Risikolagen anzupassen. Nur so werden Restrisiken dauerhaft ausreichend gering gehalten. Penetrationstests überprüfen die Angemessenheit von Maßnahmen gegen unautorisiertes Eindringen in die IT-Systeme. Penetrationstests bieten sich insbesondere für Server an, die über externe Schnittstellen erreichbar sind. Audits sind eine wirksame Maßnahme zur umfassenden Kontrolle aller IT- Sicherheitsprozesse und Maßnahmen. Eventuelle Abweichungen zum Soll-Zustand können identifiziert und behoben werden. Produkte und Verfahren zur starken Kundenauthentifizierung können begutachtet werden. Monitoring Audit 9
12 Baustein 6: Meldeverfahren für IT-Sicherheitsvorfälle Im Mittelpunkt dieses Bausteins steht die Meldepflicht die von der MaSI und künftig auch vom ITSiG gefordert werden. In diesem Zusammenhang ist u.a. festzulegen, wie meldepflichtige Vorfälle erkannt werden und es sind Meldewege und Prozesse zur Umsetzung der entsprechenden Vorgaben festzulegen. Bestehenden Meldeprozesse für IT-Sicherheitsvorfälle sollten überprüft und wo erforderlich um ergänzende Festlegungen erweitert werden. Dieser Baustein ergänzt die Maßnahmen zum Umgang mit erkannten Risiken (siehe Baustein 4: Risikoanalyse). Melde- verfahren Baustein 7: Business Continuity Management/Business Impact Analyse Zur Umsetzung und zum Nachweis von Maßnahmen für die Sicherstellung der Verfügbarkeit kann ein Business Continuity Management System (z.b. entsprechend ISO 22301) etabliert werden. Hierfür werden in einer Business Impact Analyse die den Prozessen zugrundeliegenden Ressourcen und Abhängigkeiten identifiziert. Der Baustein stellt ebenfalls eine Ergänzung zur Risikoanalyse dar. Business Continuity 10
13 Baustein 8: Security Awareness Versehentliche oder absichtliche Offenlegung und Manipulation von sicherheitsrelevanten Daten durch Mitarbeiter des Instituts muss verhindert werden. Entscheidend hierfür ist das Bewusstsein der Mitarbeiter für diese Sicherheitsrisiken, sog. Security Awareness. Jeder Mitarbeiter sollte kontinuierlich über Risiken informiert und zu Gegenmaßnahmen geschult werden. Dies kann z.b. über spezielle Security Awareness-Schulungen erfolgen oder auch über IT-Sicherheitsplanspiele für Bankmitarbeiter. Entsprechende Maßnahmen sind regelmäßig Bestandteil von IT-Sicherheitsrichtlinien. Security Awareness 11
14 Baustein 9: Integration aller Maßnahmen in ein Informationssicherheitsmanagementsystem (ISMS) Um die Anforderungen der Aufsicht vollumfänglich zu erfüllen, ist ein ISMS zu etablieren bzw. entsprechend den neuen Anforderungen der Aufsicht zu erweitern. Die Etablierung bzw. Erweiterung eines ISMS stützt sich wesentlich auf die Schutzbedarfsanalyse, die hierauf aufbauende Risikoanalyse und die Sicherheitsrichtlinien, deren Wirksamkeit permanent überwacht wird. 12
15 Baustein 10: Generalisierung des ISMS zur Abdeckung der Anforderungen von ITSiG und BAIT Aufbauend auf dem methodischen Ansatz zur Umsetzung der MaSI-Anforderungen und den hieraus abgeleiteten Prozessen zur Gewährleistung eines angemessenen Maßes an IT-Sicherheit bei Internet- Zahlungssystemen kann eine Generalisierung auf weitere Geschäftsprozesse erfolgen. Im Ergebnis kann so auf Grundlage eines einheitlichen methodischen Ansatzes ein umfassendes Informationssicherheitsmanagementsystem für alle sicherheitsrelevanten Geschäftsprozesse einer Bank aufgebaut werden. Ein systematisch aufgebautes und flexibles ISMS ist in der Lage, verschiedenste regulatorische Vorgaben aufzugreifen und stellt so ein Managementsystem zur permanenten Steuerung der IT- Sicherheit dar. So können nicht nur die unterschiedlichen regulatorischen Anforderungen erfüllt, sondern auch IT-Risiken vor dem Hintergrund eines sich dynamisch verändernden Umfelds gesteuert werden. 13
16 Methodik Neben den Standards des Bundesamtes für Sicherheit in der Informationstechnik und Standards für Informationssicherheitsmanagementsysteme bezieht SRC auch die Standards des PCI Security Standards Council (PCI SSC) ein. Die Standards des PCI SSC wurden explizit für Internetzahlungen entwickelt und stellen als globaler Standard eine geeignete Grundlage speziell für die Umsetzung der MaSI dar. Als vom Bundesamt für Sicherheit in der Informationstechnik anerkannter Sicherheitsgutachter und als von PCI SSC akkreditiertes Prüflabor verbindet SRC Know how aus beiden Bereichen und kann Institute umfassend bei der Umsetzung ihrer MaSI-Compliance sowie der Integration der hierzu erforderlichen Maßnahmen in ein umfassendes Informationssicherheitsmanagementsystem unterstützen. 14
17 Aktuelle Projekte von SRC SRC unterstützt bereits eine Reihe von Kreditinstituten bei der Umsetzung ihrer IT-Compliance- Projekte: Eine Bankengruppe wurde bei der Erstellung einer MaSI-Umsetzungshilfe für die in der Bankengruppe unterstützten Internet-Zahlungssysteme unterstützt. Im Mittelpunkt des Projekts stand u.a. die Zielsetzung, so weit wie möglich, auf bereits vorhandene Informationen aus Organisationshandbüchern zurückzugreifen, um den internen Umsetzungsaufwand zu optimieren. Verschiedene Kreditinstitute und IT-Dienstleister werden bei der Durchführung von Risikoanalysen unterstützt. Im Mittelpunkt steht dabei der Nachweis der Einhaltung ausgewählter Sicherheitsanforderungen der MaSI. Mehrere Teilnehmer eines Zahlungssystems werden bei der Erstellung einer MaSI- Umsetzungshilfe für das betreffende Internet-Zahlungssystem unterstützt. Eine Bankengruppe wird bei der Erstellung eines eigenen Standards für das IT- Sicherheitsmanagements unterstützt. Angelehnt an ISO soll ein gruppenbezogener Standard zur Erfüllung der Vorgaben des IT-Sicherheitsgesetzes geschaffen werden. SRC unterstützt das Bundesamt für Sicherheit in der Informationstechnik bei der Erstellung einer sog. KRITIS-Sektorstudie für das Finanz- und Versicherungswesen. Ein Kreditinstitut wird bei der Umsetzung eines Informationssicherheitsmanagementsystems nach ISO unterstützt. Nähere Informationen Für nähere Informationen zu unseren Leistungen rund um die IT-Compliance von Banken stehen wir Ihnen gerne zur Verfügung. Kontakt: Graurheindorfer Straße 149a Bonn
GPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrIT-Sicherheitsmanagement bei der Landeshauptstadt München
IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
Mehr27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich
ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
MehrIT-Sicherheit in der Energiewirtschaft
IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrDas IT-Sicherheitsgesetz
Das IT-Sicherheitsgesetz RA Dr. Jan K. Köcher Syndikus DFN-CERT Services GmbH koecher@dfn-cert.de Hintergrund/Ziele IT-Sicherheitsgesetz vom 17.7.2015 Änderungen: BSIG, TKG, TMG, AtomG... Ziele: Erhöhung
MehrFORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein
MehrResilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting
Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrIT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein
der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule
MehrIT-Grundschutz praktisch im Projekt Nationales Waffenregister
IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum
MehrDatenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA
Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht
MehrDirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen
Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist
MehrSicherheitsaspekte der kommunalen Arbeit
Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,
MehrIDV Assessment- und Migration Factory für Banken und Versicherungen
IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrVom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements
Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen
MehrISMS Teil 3 Der Startschuss
ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS
MehrDATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity
Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
MehrDer Schutz von Patientendaten
Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert
MehrIT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS
IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
MehrMaintenance & Re-Zertifizierung
Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0
MehrDATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher
DATENSCHUTZBERATUNG vertrauensvoll, qualifiziert, rechtssicher SIND SIE WIRKLICH SICHER? Wer sorgt in Ihrem Unternehmen dafür, dass die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit
MehrMuster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz
Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt
MehrInfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.
InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle. RESSOURCEN BESTMÖGLICH NUTZEN. WORKSHOP INFOSEC AWARENESS DAS NOTWENDIGE
MehrIT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern
IT-Sicherheitsstrukturen in Bayern Dr. Andreas Mück Agenda 1. Technische Rahmenbedingungen 2. Sicherheitsorganisation 3. Leitlinie zur IT-Sicherheit 4. Aktuelle Projekte Bayerisches Staatsministerium der
MehrPensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione
Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes
MehrAufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.
Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds
MehrHerzlich Willkommen zur Veranstaltung. Audit-Cocktail. DGQ-Regionalkreis Karlsruhe 07.04.2014. Klaus Dolch
Herzlich Willkommen zur Veranstaltung DGQ-Regionalkreis Karlsruhe 07.04.2014 Klaus Dolch Ausgangssituation: DIN EN 9001 und Ergänzungen An was erinnert dieses Bild? 1987 Erstausgabe 1994 2000 Großrevision
MehrRISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de
RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
MehrEU-Verordnung Nr. 1907/2006 (REACH)
Was bedeutet REACH? REACH ist die EG-Verordnung Nr. 1907/2006 zur Registration, Evaluation, Authorization and Restriction of CHemicals (Registrierung, Bewertung und Zulassung von Chemikalien). Mit dieser
MehrIT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage
IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz
MehrIT-Aufsicht im Bankensektor
IT-Aufsicht im Bankensektor - Grundlagen - Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Josef Kokert BA 58 Informationsveranstaltung: IT-Aufsicht bei Banken 29.10.2013 Seite 1
MehrCode of Conduct (CoC)
Code of Conduct (CoC) Aeiforia CoC-Check: Erkennen Sie Auswirkungen des CoC auf Ihr Unternehmen! Aeiforia hat ein auf Checklisten gestütztes Vorgehen entwickelt, mit dem Sie Klarheit erlangen, in welchen
Mehr.. für Ihre Business-Lösung
.. für Ihre Business-Lösung Ist Ihre Informatik fit für die Zukunft? Flexibilität Das wirtschaftliche Umfeld ist stärker den je im Umbruch (z.b. Stichwort: Globalisierung). Daraus resultierenden Anforderungen,
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrDie Telematikinfrastruktur als sichere Basis im Gesundheitswesen
Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrI N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte
I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen
MehrGeprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz
www.tekit.de Geprüfter TÜV Zertifikat für Geprüften TÜV-zertifizierter Der Schutz von personenbezogenen Daten ist in der EU durch eine richtlinie geregelt. In Deutschland ist dies im Bundesdatenschutzgesetz
MehrFORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept
MehrGovernance, Risk & Compliance für den Mittelstand
Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive
MehrFreifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234
IT Sicherheitskonzept Registernummer bei der Bundesnetzagentur: 14/234 1. Geltungsbereich 1.Dieses IT-Sicherheitskonzept gilt strukturell für Systemkomponenten des Freifunknetzes, welche vom selbst betrieben
MehrWir organisieren Ihre Sicherheit
Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Unternehmen Die VICCON GmbH versteht sich seit 1999 als eigentümergeführtes und neutrales Unternehmen für Management- und Sicherheitsberatung.
MehrStuPro-Seminar Dokumentation in der Software-Wartung. StuPro-Seminar Probleme und Schwierigkeiten in der Software-Wartung.
StuPro-Seminar Dokumentation in der Software-Wartung StuPro-Seminar Probleme und Schwierigkeiten in der Software-Wartung Folie 1/xx Software-Wartung: theoretisch Ausgangslage eigentlich simpel: fertige
MehrSicherheitstechnische Qualifizierung (SQ), Version 9.0
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected
Mehr----------------------------------------------------------------------------------------------------------------------------------------
0 Seite 0 von 20 03.02.2015 1 Ergebnisse der BSO Studie: Trends und Innovationen im Business Performance Management (BPM) bessere Steuerung des Geschäfts durch BPM. Bei dieser BSO Studie wurden 175 CEOs,
MehrBCM Schnellcheck. Referent Jürgen Vischer
BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
MehrDienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden
Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2
MehrIhr Rechenzentrum: hochverfügbar und zertifizierfähig
Ihr Rechenzentrum: hochverfügbar und zertifizierfähig Gewerkübergreifende Beratung und Bewertung für mehr Sicherheit und Effizienz. EN 50600 TÜV SÜD Industrie Service GmbH Machen Sie Ihr Rechenzentrum
MehrDatenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand
Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,
MehrMedizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong
Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten
MehrEffizientes Risikomanagement für den Mittelstand
Effizientes Risikomanagement für den Mittelstand Unternehmens-Sicherheit nach ISO/IEC 27001 Erhöhen Sie Ihre Wettbewerbsfähigkeit! Mit jedem Schritt, den Sie nach der ProCERTIS-Methode gehen, erhöhen Sie
MehrCloud Computing mit IT-Grundschutz
Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung
MehrIT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit
IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft
MehrNeu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter
und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt
MehrSiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)
Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche
MehrQualitätsmanagement-Handbuch 4.0.0.0 Das QM-System 4.1.0.0 Struktur des QM-Systems
s Seite 1 von 5 In diesem Kapitel wird die Struktur des in der Fachstelle eingeführten Qualitätsmanagementsystems (QMS) nach DIN EN ISO 9001:2008 beschrieben, sowie die Vorgehensweise zu seiner Anwendung,
MehrKriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen
MehrSystemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrErläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)
Erläuternder Bericht des Vorstands der Demag Cranes AG zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB) Erläuternder Bericht des Vorstands 1 Rechtlicher Hintergrund Das
MehrHinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.
AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk
MehrInterne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!
Interne Revision Ressourcen optimieren Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Wertetreiber Interne Revision Internationalisierung und Wettbewerbsdruck zwingen Unternehmen dazu, ihre
Mehrstatuscheck im Unternehmen
Studentische Beratungsgesellschaft für Sicherheitsangelegenheiten an der HWR Berlin statuscheck im Unternehmen Mit unserem statuscheck analysieren wir für Sie Schwachstellen, Risiken sowie Kosten und Nutzen
MehrCloud Computing aus Sicht von Datensicherheit und Datenschutz
Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen
MehrDie vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante
ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem
MehrDer kleine Risikomanager 1. Karin Gastinger 29.05.2008
Risikomanagement Eine Chance zur Unternehmenswertsteigerung Der kleine Risikomanager 1 2 Der kleine Risikomanager 2 3 Der kleine Risikomanager 3 4 Risiko Risiko ist die aus der Unvorhersehbarkeit der Zukunft
MehrDatenschutz-Management
Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb
MehrISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz
ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit
MehrTest zur Bereitschaft für die Cloud
Bericht zum EMC Test zur Bereitschaft für die Cloud Test zur Bereitschaft für die Cloud EMC VERTRAULICH NUR ZUR INTERNEN VERWENDUNG Testen Sie, ob Sie bereit sind für die Cloud Vielen Dank, dass Sie sich
MehrDer Datenschutzbeauftragte. Eine Information von ds² 05/2010
Der Datenschutzbeauftragte Eine Information von ds² 05/2010 Inhalt Voraussetzungen Der interne DSB Der externe DSB Die richtige Wahl treffen Leistungsstufen eines ds² DSB Was ds² für Sie tun kann 2 Voraussetzungen
MehrRisikoanalyse mit der OCTAVE-Methode
Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte
MehrIT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen
Dr. Stefan Kronschnabl Stephan Weber Christian Dirnberger Elmar Török Isabel Münch IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen Studie IT-Sicherheitsstandards
MehrDok.-Nr.: Seite 1 von 6
Logo Apotheke Planung, Durchführung und Dokumentation von QM-Audits Standardarbeitsanweisung (SOP) Standort des Originals: Dok.-Nr.: Seite 1 von 6 Nummer der vorliegenden Verfaßt durch Freigabe durch Apothekenleitung
MehrBestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)
Bestimmungen zur Kontrolle externer Lieferanten BCM (Business Continuity Management) BCM- Bestimmungen Beschreibung BCM-Tiers Recovery Time Objective Über die Bedeutung 1. Business- Continuity- Management-
MehrWie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner
MehrIT-Grundschutz nach BSI 100-1/-4
IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management
MehrZwischenbericht der UAG NEGS- Fortschreibung
Zwischenbericht der UAG NEGS- Fortschreibung Vorlage zur 16. Sitzung des IT-Planungsrats am 18. März 2015 Entwurf vom 29. Januar 2015 Inhaltsverzeichnis 1 Anlass für die Fortschreibung der NEGS... 3 2
MehrMUSTER-IT-SICHERHEITSKONZEPTE DER EKD
KONFORMITÄTSBESTÄTIGUNG MUSTER-IT-SICHERHEITSKONZEPTE DER EKD Version 1.0 Datum: Mittwoch, 30.07.2014 Kunde: EVANGELISCHE KIRCHE IN DEUTSCHLAND (EKD) INHALTSVERZEICHNIS 1 ERGEBNISZUSAMMENFASSUNG 2 1.1
MehrStand 10.2011 vr bank Südthüringen eg 1 von 10. Smart TAN plus Umstellungsanleitung VR-NetWorld Software
Stand 10.2011 vr bank Südthüringen eg 1 von 10 Smart TAN plus Umstellungsanleitung VR-NetWorld Software INHALTSVERZEICHNIS 1. Einführung 3 2. Allgemeine Informationen 4 3. Schritt 1 die Anmeldung des Generators
MehrGemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz
Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz Gemeinsame Sitzung von AK 1 & 5 am 02.04.2013 Bernhard C. Witt (it.sec GmbH & Co. KG) Bernhard C. Witt Berater für Datenschutz
MehrEinstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)
32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter
MehrJahresrechnung zum 31. Dezember 2014
PRÜFUNGSBERICHT Jahresrechnung zum 31. Dezember 2014 Bolivianisches Kinderhilfswerk e. V. Stuttgart KPMG AG Wirtschaftsprüfungsgesellschaft An den Bolivianische Kinderhilfswerk e.v., Stuttgart 1 Prüfungsauftrag
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit 9.1 Vergleich Sicherheitsziele & Aufgabe: Kontrollbereiche Ordnen Sie die im BDSG genannten Kontrollbereiche
MehrRisikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement
SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent
MehrModernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central
Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei
MehrISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.
ISO 9001:2015 REVISION Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.2015 in Kraft 1 Präsentationsinhalt Teil 1: Gründe und Ziele der Revision,
MehrDatenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund
Muster (Ausschnitt) Datenschutzkonzept Informationsverbund.. Dokumentinformationen BSI-Konformität und gesetzliche Grundlagen Bausteine Gesetzliche Grundlagen verantwortlich für den Inhalt Name Telefon
Mehr