MaRisk in der IT Herausforderungen im regulatorischen Umfeld.

Größe: px
Ab Seite anzeigen:

Download "MaRisk in der IT Herausforderungen im regulatorischen Umfeld. www.q-perior.com"

Transkript

1 MaRisk in der IT Herausforderungen im regulatorischen Umfeld

2 Übersicht 1. Gesetzliche Bestimmungen 2. IT Infrastruktur und Betrieb 3. IKS in der IT 4. Business Continuity Management (BCM) 5. Datenschutz 6. IT-Security 7. Individuelle Datenverarbeitung (IDV) Seite 2

3 Rahmendaten, Standorte und Kunden Q_PERIOR hat sich erfolgreich entwickelt und verfügt aktuell über mehr als 430 hochqualifizierte Mitarbeiter. Rahmendaten Markterfahrung: seit 1977 Umsatz: 90 Mio. EUR* Mitarbeiter: 460* Mehrheitlich im Besitz des Managements Umsatz in Mio. Standorte Deutschland Schweiz Österreich Slowakei USA, Kanada * Mitarbeiter gesamt 400 Kunden Erst- und Rückversicherungen Banken Industrie Öffentlicher Sektor * * 2013 geplant Seite 3

4 Unser Leistungsportfolio im Bereich Banken Projekt-Management PM-Methodik Anforderungs-, Test- & Change-Management Expert Service Head-to-Head Vergl. Managed Service 3rd Party Mgmt. Benchmarking Eine Auswahl an Kunden im Bereich Banken: Service Mgmt. Sourcing Mgmt. Steuerung der IT IT Cost Cutting Projekt-& Implementierungsmgmt. Strategisches IT-Management Staffing Solutions Engineering Systemintegration Komponentenentwicklung Systemdesign Interne Revision Advisory im Prüfungsbereich Risk Management IT Security Policy Mgmt. Audit & Risk Kunden-& Beschaffungsmgmt. Technologie & Innovation Business Intelligence Mobility Portale / Search Social Business Collaboration Architektur Entw. (ABAP,.NET, JAVA) Marketing & Sales Procurement SAP Solutions (CRM, SRM, ERP) Reporting Integrierte Planung BI/BO Architektur Seite 4

5 1. Gesetzliche Bestimmungen Seite 5

6 MaRisk in der IT Herausforderungen im regulatorischen Umfeld Gesetzliche Bestimmungen MaRisk Anforderungen (IT Systeme und Prozesse) IT-Systeme dürfen der Wirksamkeit des Risikomanagements nicht entgegenstehen Orientierung der technisch-organisatorischen Ausstattung an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation Sicherstellung der Integrität, der Verfügbarkeit, der Authentizität sowie der Vertraulichkeit der Daten Ausgestaltung der IT-Landschaft gemäß gängiger Standards Sicherstellung einer angemessenen IT-Berechtigungsvergabe Seite 6

7 Gesetzliche Bestimmungen MaRisk Anforderungen (IT Systeme und Prozesse) Regelmäßige Eignungsprüfung der IT-Landschaft Durchführung von Test vor Einsatz und nach wesentlichen Veränderungen unter Trennung von Produktions- und Testumgebung Entwicklungen und Änderungen durch Fachleute und unabhängige Freigabe Existenz eines angemessenen Notfallkonzeptes inklusive Geschäftsfortführungssowie Wiederanlaufplänen Durchführung von regelmäßigen Notfalltests Abstimmung Notfallkonzepte bei Auslagerung Seite 7

8 Gesetzliche Bestimmungen Sicht der BaFin 5 Kernaussagen 1. Zur Bankenaufsicht gehört auch die Aufsicht über die Informationstechnik 2. Die IT ist ein wesentlicher Risikotreiber 3. IT-Sicherheit im Fokus 4. Anforderungen an Interne Kontrollsysteme und Dokumentation in der IT enorm gestiegen 5. Sonderprüfungen im IT-Umfeld sind inzwischen zur Regel geworden Seite 8

9 2.IT Infrastruktur und Betrieb Seite 9

10 IT Infrastruktur und Betrieb Mögliche Bedrohungen Quelle: Seite 10

11 IT Infrastruktur und Betrieb Anforderungen Zentrale und vollständige Risikotransparenz über die IT der Konzerntochter bzw. -töchter Übergeordnete und zentrale IT-Strategie unter Einbezug dezentralisierter Einheiten Auswahl der IT-Anwendungen und -Systeme entsprechend der IT-Strategie Existenz eines systematischen Auswahlprozesses für Anwendungen/Systeme Durchführung von Prozess -Reviews Seite 11

12 IT Infrastruktur und Betrieb Anforderungen Durchführung und Dokumentation von fachlichen und technischen Tests (Nachweispflicht) Zwingend getrennte IT-Produktions- und IT-Testumgebungen Enge Abstimmung zwischen Fachabteilung und IT bei Anwendungs-bzw. Parameteränderungen (Berücksichtigung Fachkonzept etc.) Stringenter Change-und Release-Prozess (keine Stand-Alone-Lösungen in Fachabteilungen) Technische Administration/Pflege von Anwendungen und Systemen durch Fachabteilung und IT Seite 12

13 IT Infrastruktur und Betrieb Leistungsangebot von Q_PERIOR IST Analyse GAP Analyse Optimierungsempf. Umsetzung Test & Abnahme IT Strategie Aufbauorganisation und IT-Prozesse IT-Infrastruktur mit Fokus IT-Sicherheit Themenfelder IT-Anwendungen IT-gestützte Geschäftsprozesse Schutzbedarfsanalyse IT-Outsourcing IT-Kontrollsystem: Design und Effektivität Richtlinien und Verfahrensanweisungen Seite 13

14 3. IKS in der IT Seite 14

15 IKS in der IT Anforderungen Organisatorische Ausgestaltung, Bestimmung Zuständigkeiten und Verantwortlichkeiten des IKS Prozesse identifizieren, bewerten und dokumentieren -Bestimmung der Prozesskritikalität und der Kernprozesse Prozesse analysieren, Durchführung einer Prozessrisikoanalyse -Identifizierung der wesentlichen Risiken Erstellung Prozesslandkarte mit Abhängigkeiten Seite 15

16 IKS in der IT Anforderungen Risiken identifizieren, bewerten und dokumentieren Design von (Schlüssel-)Kontrollen, Bestimmung Verantwortliche, Performance Tests Dokumentation, Kommunikation und Reporting der festgelegten (Prozess)kontrollen Regelmäßige Reviews von Prozessen, Risiken und Kontrollen Implementierung eines Überwachungsprozesses zur jährlichen Überprüfung Seite 16

17 IKS in der IT Anforderungen Ausgestaltung des internen Kontrollsystems für den Prüfungsbereich IT-Systeme Art und Umfang der Kontrollen und der benötigten Dokumentation inkl. Berechtigungen richten sich nach der Wesentlichkeit der IT-Systeme Aktivität Wesentliche Konten und dazugehörige Prozesse Dokumentation der Prozesse und Kontrollen Bewertung/ Überwachung Prozess Jahresabschluss Wesentliche Konten Prozess Implikationen Wesentliche Prozesse What Can Go Wrong - Fragen Kontrollen Bewertung/ Überwachung Inhärente Risiken und Geschäftsrisiken Prüfungsziele Seite 17

18 IKS in der IT Leistungsangebot von Q_PERIOR IST Analyse GAP Analyse Optimierungsempf. Umsetzung Test & Abnahme Erstellung/Optimierung Prozesslandkarte Analyse Kontrollsystem Kontrolltests Leistungen im Detail Kontroll(re-)design Implementierung Kontrollen/Prozesse Wesentlichkeitsbestimmung Anpassung Reporting Verbesserung RKA Prozess Dokumentation Seite 18

19 4.Business Continuity Management (BCM) Seite 19

20 BCM Hintergrund Ein funktionierendes Business Continuity Management System (BCMS) gewährleistet die operative Geschäftstätigkeit im Notfall Basis sind Standards wie der British Standard BS und der deutsche BSI- Standard Umsetzung der Standards im Rahmen der nachfolgend gezeigten Best-Practice- Vorgehensweise 1. Planung 4. Wartung & Optimierung 2. Umsetzung & Betrieb 3. Überwachung & Prüfung Seite 20

21 BCM Anforderungen Das BCM ist auf die Art, Komplexität und Kritikalität des Unternehmens anzupassen Innerhalb eines Unternehmens ist das BCM in Abhängigkeit der Kritikalität der Prozesse zu differenzieren Die Differenzierung im Notfallvorsorgebedarf ist im Rahmen einer Business Impact Analyse zu dokumentieren Das BCM muss angemessen geregelt und dokumentiert sein Seite 21

22 BCM Anforderungen Für das BCM sind Verantwortlichkeiten für den Normal- und Notbetrieb festzulegen Die Aktualität und die laufende Aktualisierung der BCM-Dokumentationen und der BCM Organisation muss sichergestellt sein Die BCM Verfahren müssen den Mitarbeitern im Unternehmen bekannt sein Die BCM Funktionsfähigkeit muss über Tests sichergestellt bzw. nachgewiesen werden Seite 22

23 BCM Leistungsangebot von Q_PERIOR IST Analyse GAP Analyse Optimierungsempf. Umsetzung Test & Abnahme Bewertung Business Continuity Planning (BCP) Entwicklung Notfall-/ Backup-Konzepte Einrichtungshilfe BCP Leistungen im Detail Business Impact Analysen Qualitätssicherung BCM Modelle Risikobewertungen Unterstützung bei Datenauslagerungsverfahren Massnahmenentwicklung BCP-/Notfall- Wiederanlaufübungen Seite 23

24 5.Datenschutz Seite 24

25 Datenschutz Anforderungen Aufgabe des Datenschutzes ist es, nach 1 Bundesdatenschutzgesetz (BDSG), "den einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird". Konsequenzen aus Datenschutzverstößen: Bußgelder, Geld- und Freiheitsstrafen sowie Schadensersatzansprüche Betroffener Bei Aufsichtspflichtverletzung persönliche Haftung verantwortlicher Organe und Führungskräfte Bei Datenschutzverstößen drohen dem Unternehmen hohe Reputationsschäden Seite 25

26 Datenschutz Anforderungen Datenschutz sollte einen nachhaltigen Stellenwert im Compliance-Management einnehmen Beachtung von datenschutzrechtlichen Anforderungen sowie Vorgaben des Arbeits-, Straf-und Telekommunikationsrechts und weiterer (europäischer) Gesetze Erfordernis eines interdisziplinären Ansatzes unter Berücksichtigung der technischen, juristischen und organisatorischen Fragestellungen Seite 26

27 Datenschutz Leistungsangebot von Q_PERIOR IST Analyse GAP Analyse Optimierungsempf. Umsetzung Test & Abnahme Leistungen im Detail Prüfung Verfahrensverzeichnis Abgleich rechtlicher Rahmenbedingungen Optimierung Berichtswesen/ Eskalationswege Prüfung der Auftragsdatenverarbeitung Erstellung Datenschutzrichtlinie & Verfahrensanweisungen Mitarbeiterschulung Datenschutzfragen Durchführung der Vorabkontrolle Prüfung Technisch Organisatorischer Maßnahmen Gestaltung der MA Verpflichtungserklärungen Seite 27

28 6.IT-Security Seite 28

29 IT-Security Anforderungen 1. Regelmäßige IT-Sicherheitsaudits bilden einen unentbehrlichen Teil des deutschen IT-Grundschutzes 2. International sind die Management-Standards für IT-Sicherheitsaudits in der Norm ISO/IEC der ISO festgelegt Informations-Sicherheits-Politik Organisation der Informationssicherheit Physische und umgebungsbezogene Sicherheit Schutzzonen Netzwerksicherheit & Datensicherung Steuerung von Zutritt, Zugang & Zugriff Sicherung der Betriebsbereitschaft & Umgang mit Verwundbarkeiten Management von Störfällen & Angriffen Seite 29

30 IT-Security Leistungsangebot von Q_PERIOR IST Analyse GAP Analyse Optimierungsempf. Umsetzung Test & Abnahme Leistungen im Detail Systemaufnahmen & Risikoeinschätzung Prüfung der Schnittstellen- Verarbeitung Prüfung des Benutzerund Berechtigungsmanagementprozesses Durchführung von Security Scans IT-Strukturanalyse Analyse des physikalischen Zugangs zum System Penetrationstests/ Schwachstellenanalyse Überprüfung der Zugangskontrolle Erstellung eines Maßnahmenkatalogs Seite 30

31 7.Individuelle Datenverarbeitung (IDV) Seite 31

32 IDV Anforderungen Definition IDV: IDV ist die Erstellung und der Betrieb von Anwendungen durch den Endbenutzer an seinem Arbeitsplatz mit zentral bereitgestellten integrierten (Standard-) Werkzeugen, um Problemstellungen aus seinem individuellen Aufgabenbereich oder dem Aufgabenbereich seiner Organisationseinheit zu lösen. Änderungen von Daten sind in IDV-Anwendungen wie Excel oder Access leicht möglich. Die Gefahr des Datenverlustes ist groß, da lokale Dateiversionen von den Nutzern versehentlich überschrieben werden können. Standard Schutzfunktionen werden zwar angeboten, sind aber häufig nur sehr aufwändig umzusetzen. Rollen- und Rechtekonzepte zur Zugriffsteuerung sind kaum möglich. Notwendige Freigabe- bzw. Archivierungskonzepte sind ohne Prozesswerkzeuge kaum darstellbar. Seite 32

33 IDV Leistungsangebot von Q_PERIOR IST Analyse GAP Analyse Optimierungsempf. Umsetzung Test & Abnahme Definition Anforderungen IDV-Anwendungen Bestimmung Kriterien IDV Richtlinie Aufstellung Maßnahmenkatalog Leistungen im Detail Erstellung IDV Katalog Einhaltung IDW Prüfungsstandard 330 Definition Rollen & Verantwortlichkeiten Einhaltung IDW FAIT 1 Einrichtung Monitoring Prozess IDV Vorgaben Beachtung IDV Governance Seite 33

34 Wir sind für Sie da Christof Merz Partner Q_PERIOR Buchenweg D Ellerau Deutschland Telefon: Mobil: Internet: HAMBURG (ELLERAU) FRANKFURT l MÜNCHEN ROSENHEIM BERN l ZÜRICH WIEN l BRATISLAVA PRINCETON l TORONTO Seite 34

35 Appendix Referenzen Seite 35

36 IT Infrastruktur und Betrieb - Referenzen Finanzdienstleister, Mittelständische Versorgungskasse Ziele des Projektes Vorgehen Ergebnisse Prüfung und Analyse der IT-Planung, Steuerung und des IT- Managements in Anlehnung an COBIT Die COBIT-Prozesse dienen als Benchmark und zur Beurteilung, ob die Gesellschaft diesen Anforderungen formal genügt Darstellung der Reifegrade der anwendbaren COBIT- Prozesse PO1,PO2 Definiere einen strategischen IT-Plan und die Informationsarchitektur PO3 Bestimme die technologische Richtung PO4 Definiere die IT-Prozesse, Organisation und Beziehungen PO5,PO7,PO8 Manage die IT- Investitionen, Personal, Qualität PO6 Kommuniziere die Ziele und Richtung des Management AI5 Beschaffe IT-Ressourcen DS1,DS2 Definiere und manage Service Levels und Leistungen von Dritten DS6 Identifiziere und verrechne Kosten ME1, ME2 Überwache und evaluiere IT-Performance und Internal Controls ME3, ME4 Stelle Compliance und IT-Governance sicher Management Präsentation mit erzielten Ergebnissen und Empfehlungen Ausgefüllter COBIT Fragenkatalog zum IST-Stand der relevanten COBIT-Prozesse Darstellung der IST-Reifegrade und angestrebten SOLL- Reifegrade, sowie der vorhandenen Gaps (anhand COBIT Reifegradmodell) Identifizierte Quick Wins hinsichtlich möglicher Prozessoptimierung Skizzierung einer möglichen Roadmap zur Umsetzung Seite 36

37 IT Infrastruktur und Betrieb - Referenzen Diverse Banken und Versicherungen, Chemie- und Pharmakonzernunternehmen Ziele des Projektes Vorgehen Ergebnisse Beurteilung der Ordnungsmäßigkeit, Sicherheit, Wirtschaftlichkeit und Angemessenheit der implementierten Prozesse Die Prüfung sollte aufzeigen, ob die bei der Gesellschaft erlassenen Richtlinien und implementierten Verfahren den aufsichtsrechtlichen Anforderungen und den Anforderungen an einen ordnungsgemäßen, sicheren und wirtschaftlichen Geschäftsbetrieb genügen Beurteilung hinsichtlich Vollständigkeit, Nachvollziehbarkeit und Angemessenheit der internen Richtlinien und Verfahrensanweisungen durch Durchsicht der erhaltenen Unterlagen Prüfung der Angemessenheit der Prozesse Konzeption, Realisierung und Betrieb durch Nachvollzug der Prozesse im Rahmen von Prozess- Walkthroughs Prüfung der Vollständigkeit und Funktionsfähigkeit (Wirksamkeit) des Internen Kontrollsystems durch Prüfung der Aufgabenabgrenzung zwischen Fachabteilung und IT Prüfung der Angemessenheit der Fachkonzepte durch Einzelfallprüfung Management Präsentation mit erzielten Ergebnissen und Empfehlungen Ausgefüllter COBIT Fragenkatalog zum IST-Stand der relevanten COBIT-Prozesse Darstellung der IST-Reifegrade und angestrebten SOLL- Reifegrade, sowie der vorhandenen Gaps (anhand COBIT Reifegradmodell) Identifizierte Quick Wins hinsichtlich möglicher Prozessoptimierung Skizzierung einer möglichen Roadmap zur Umsetzung Seite 37

38 IT Infrastruktur und Betrieb - Referenzen Diverse Banken und Versicherungen Ziele des Projektes Vorgehen Ergebnisse Ermittlung der Ordnungsmäßigkeit des Systembetriebs in Abgleich mit den aufsichtsrechtlichen und berufsständischen Standards (COBIT, ITIL, BSI-Grundschutz, BITKOM-Sicherheitsleitfäden) Identifikation von Handlungsfeldern Prüfung und Analyse von: Organisation: Aufbau-und Ablauforganisation Richtlinien und Verfahrensanweisungen: Prozessdokumentation Systembetrieb, IT- Berechtigungen, Anwendungsübersicht, Klassifizierung der Anwendungen, SLA Management Verarbeitungssteuerung: Onlinebetrieb, Batchbetrieb, Remote Operating, Output Management System Management: Performance-und Kapazitätsmanagement, IT- Kontrollsystem Management Präsentation mit erzielten Ergebnissen und Empfehlungen Ausgefüllter COBIT Fragenkatalog zum IST Stand der relevanten COBIT-Prozesse Darstellung der IST-Reifegrade und angestrebten SOLL- Reifegrade, sowie der vorhandenen Gaps (anhand COBIT Reifegradmodell) Identifizierte Quick Wins hinsichtlich möglicher Prozessoptimierung Skizzierung einer möglichen Roadmap zur Umsetzung Seite 38

39 IKS in der IT -Referenzen Bank Ziele des Projektes Vorgehen Ergebnisse Einführung eines IT-Risikomanagements in den Bereichen Produkt-und Prozessrisiken zur Erfüllung aufsichtsrechtlicher Anforderungen Einführung einer integrierten Methodik zur Identifikation und Bewertung von Produkt-und Prozessrisiken sowie der Kontrolle der Risiken im Rahmen eines IKS Erstellung eines Management Prozesses für ein IT-Risikomanagement & IKS und Integration in das bestehende Prozesshaus Definition und schriftliche Fixierung von Abläufen zur periodischen Identifikation, Bewertung, Überwachung und Kontrolle der IT- Risiken Implementierung einer methodischen Grundlage zur periodischen Identifikation, Bewertung, Überwachung und Kontrolle der IT-Risiken Harmonisierung des IT- Risikomanagement & IKS mit dem Risikomanagement & IKS des Mutterkonzerns Unterstützung bei der Operationalisierung der Abläufe und Methoden des IT-Risikomanagement & IKS Durchführung von Risikoanalysen auf Applikationsbasis (Erhebung von Produktrisiken) und Bestim-mung entsprechender Kontrollen Prozess-und Produktrisiken identifiziert, bewertet und unterlegt mit entsprechenden Kontrollen Identifizierte Prozess-und Produktrisiken in die entsprechenden Templates zur periodischen Erhebung und Kontrolle überführt IT-Risikomanagement Prozessdokument für die Erhebung und Bewertung von Produkt-und Prozessrisiken definiert Implementierung der operativen Abläufe durch ein begleitendes Coaching Seite 39

40 BCM - Referenzen FDL, Banken und Versicherungen Ziele des Projektes Vorgehen Ergebnisse Erfüllung der aufsichtsrechtlichen Anforderungen aus den MaRisk BA/VA Absicherung der unternehmenskritischen Geschäftsprozesse Etablierung angemessener Notfallvorsorgemaßnahmen Aufbau einer Notfall- und Krisenmanagementorganisation Unternehmen analysieren: Risikoanalyse und Business Impact Analyse Verfügbarkeitsstrategien erarbeiten: Wiederanlaufkonzepte mit Kostenabschätzung und Ressourcen Maßnahmen und Notfallpläne implementieren: Maßnahmenumsetzung und Dokumentation der Wiederanlaufverfahren Pläne testen, pflegen und prüfen: Notfallpläne regelmäßig Testen und an die Veränderungen im Unternehmen anpassen BCM-Kultur aufbauen: Förderung der BCM-Prozesse durch sensibilisierte Mitarbeiter BCM-Strategie Integrierte BCM- Managementprozesse Wiederanlaufkonzepte für die IT und die Geschäftsprozesse Dokumentierte Notfallpläne Notfall-und Krisenmanagementorganisation Seite 40

41 Datenschutz - Referenzen Mittelständische Banken und Versicherungen Ziele des Projektes Vorgehen Ergebnisse Ermittlung der Konformität mit den Vorgaben der Datenschutzgesetze Einschätzung der Risiken aus dem Umfeld des Datenschutzes der Gesellschaft Sicherstellen der ordnungsgemäßen Bestellung des Datenschutzbeauftragten Überprüfung der Prüfungs-und Gestaltungsaufgaben des Datenschutzbeauftragten Prüfung und Analyse von: Technische und organisatorische Maßnahmen Führung des Verfahrensverzeichnisses Durchführung der Vorabkontrolle Auftragsdatenverarbeitung Übermittlung personenbezogener Daten in EU- und Drittländer Bearbeitung von Anfragen Angemessenheit der Datenschutzrichtlinie Verpflichtungserklärung der Mitarbeiter Datenschutz-Erklärung auf der Website Schulung der Mitarbeiter in Datenschutzfragen Abgestimmte Ergebnisse mit den geprüften Einheiten sowie dem Auftraggeber Auditbericht mit identifizierten Schwachstellen und Maßnahmenempfehlungen Skizzierung einer möglichen Roadmap zur Umsetzung der Maßnahmenempfehlungen Seite 41

42 Security - Referenzen Finanzdienstleister, Mittelständische Banken und Versicherungen Ziele des Projektes Vorgehen Ergebnisse Prüfung und Analyse des IT-Sicherheits- Managementsystems Identifikation von Sicherheitslücken und Schwachstellen Identifikation von Handlungsfeldern und Ableitung von Maßnahmenempfehlungen Prüfung und Analyse von: Organisation: Aufbau-und Ablauforganisation Richtlinien und Verfahrensanweisungen: Prozessdokumentation, Sicherheitsleitlinie, Sicherheitskonzepte, technische Anweisungen Sicherheitsmaßnahmen: Personelle, physikalische, technische, prozessorientierte, Umgang mit Sicherheitsvorfällen, Bewusstseinsbildung System Management: Sicherheitsmonitoring, IT- Kontrollsystem Abgestimmte Ergebnisse mit den geprüften Einheiten sowie dem Auftraggeber Auditbericht mit identifizierten Schwachstellen und Maßnahmenempfehlungen Skizzierung einer möglichen Roadmap zur Umsetzung der Maßnahmenempfehlungen Seite 42

43 Security - Referenzen Landesbank Ziele des Projektes Vorgehen Ergebnisse Implementierung eines IDMS Anbindung erster IT-Systeme Vereinfachung administrativer Prozesse Konsolidiertes Informationssystem zur Darstellung von Userdaten Erhaltung der Flexibilität bei Veränderung der Aufbauorganisation und Prozesse Unterstützung des Lizenzmanagements Software-Evaluation Erstellung eines Fachkonzeptes für das IDMS Auswahl der anzubindenden IT- Systeme Information der Fachbereiche und Rekrutierung vom Projektmitarbeitern Analyse und Bereinigung der Daten in den anzubindenden IT- Systemen Implementierung der User im IDMS mit Workflow für das Accounting Erarbeitung von Rollen mit den Fachbereichen Anpassung der Software und Implementierung der Rollen Schulung der Fachbereiche im Umgang mit dem IDMS Anpassung der Prozesse für die User-Administration Einhaltung geltender Gesetze / Vorschriften / Anforderungen Datensicherheit und -schutz Zentrales Informationssystem zur Darstellung von Benutzerdaten Zentrales Verwaltungssystem für Benutzer und deren Berechtigungen Revalidierte Benutzer-Accounts und -berechtigungen für die angeschlossenen IT-Systeme Strukturierter und standardisierter Aufbau von Verzeichnisdiensten Etablierter Workflow für die Freigabe von Berechtigungen und automatisierte Provisionierung in die IT- Systeme Zentrales Audit von Berechtigungen und deren Freigabe Seite 43

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Compliance bei Kundendaten

Compliance bei Kundendaten Compliance bei Kundendaten Ein bisher unterschätzter Bereich www.q-perior.com Compliance bei Kundendaten 1. Rechtliche Grundlagen 2. Risiken und Status quo im Umgang mit Kundendaten 3. 8 Regeln im Umgang

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Business Continuity Management Systeme

Business Continuity Management Systeme Business Continuity Management Systeme Q_PERIOR AG 2014 www.q-perior.com Einführung Verschiedene Gefahren bzw. Risiken bedrohen die wirtschaftliche Existenz eines Unternehmens. Terrorismus: Anschläge auf

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013 Alexander Koderman GmbH, Berlin Übersicht Wieso werde ich auditiert? IS-Audits, Grundlagen, Standards Was erwartet mich? Inhalte,

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung Ihr Partner für das der IT von der Strategie bis zur Lösung Agenda In aller Kürze 1. Tätigkeitsfelder 2. Leistungen 3. Referenzen 4. Unternehmen 2015 2 Lieferanten 1. Tätigkeitsfelder Gestalten Sie die

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem 17. Bundesfachtagung IKS Transparenz schafft Sicherheit Erfolgsfaktor Internes Kontrollsystem Mag. Gunnar Frei Warum braucht eine Gemeinde ein IKS? Landeskriminalamt ermittelt Wie aus gut informierten

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit.

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit. www.actgruppe.de ACT Gruppe Effizienz. Innovation. Sicherheit. ACT Gruppe, Rudolf-Diesel-Straße 18, 53859 Niederkassel Telefon: +49 228 97125-0, Fax: +49 228 97125-40 E-Mail: info@actgruppe.de, Internet:

Mehr

Q_PERIOR Staffing Solutions Unternehmensvorstellung

Q_PERIOR Staffing Solutions Unternehmensvorstellung Q_PERIOR Staffing Solutions Unternehmensvorstellung März 2014 www.q-staffingsolutions.com Unternehmensdaten Q_PERIOR Staffing Solutions Wir gehören zu den Top Anbietern im Bereich Staffing & Resourcing

Mehr

Personal- und Kundendaten Datenschutz bei Energieversorgern

Personal- und Kundendaten Datenschutz bei Energieversorgern Personal- und Kundendaten Datenschutz bei Energieversorgern Datenschutz bei Energieversorgern Datenschutz nimmt bei Energieversorgungsunternehmen einen immer höheren Stellenwert ein. Neben der datenschutzkonformen

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Personal- und Kundendaten Datenschutz in Werbeagenturen

Personal- und Kundendaten Datenschutz in Werbeagenturen Personal- und Kundendaten Datenschutz in Werbeagenturen Datenschutz in Werbeagenturen Bei Werbeagenturen stehen neben der Verarbeitung eigener Personaldaten vor allem die Verarbeitung von Kundendaten von

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Scheer Management BPM Assessment - Wo stehen wir und was müssen wir tun? Thomas Schulte-Wrede 10.10.2014

Scheer Management BPM Assessment - Wo stehen wir und was müssen wir tun? Thomas Schulte-Wrede 10.10.2014 Scheer Management BPM Assessment - Wo stehen wir und was müssen wir tun? Thomas Schulte-Wrede 10.10.2014 Woher weiß ich, dass sich der ganze Aufwand lohnt? Komplexitätstreiber: viele Mitarbeiter viele

Mehr

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Universität Zürich Prorektorat Rechts- und Künstlergasse 15 CH-8001 Zürich Telefon +41 44 634 57 44 www.rww.uzh.ch IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Version vom 6. Juni 2014

Mehr

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. AT 9 der MaRisk Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten. MC-Bankrevision, www.mc-bankrevision.de Stand 18.04.2013 1 Outsourcing nach AT 9 der MaRisk

Mehr

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Beraten statt prüfen Behördlicher Datenschutzbeauftragter Beraten statt prüfen Behördlicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach den Vorgaben aller Landesdatenschutzgesetze müssen öffentliche Stellen des Landes grundsätzlich

Mehr

Personal- und Patientendaten Datenschutz in Krankenhäusern

Personal- und Patientendaten Datenschutz in Krankenhäusern Personal- und Patientendaten Datenschutz in Krankenhäusern Datenschutz in Krankenhäusern In Krankenhäusern stehen neben der datenschutzkonformen Speicherung eigener Personaldaten vor allem die Verarbeitung

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Notfallmanagement-Forum 2009

Notfallmanagement-Forum 2009 Notfallmanagement-Forum 2009 Business und IT-Service Continuity Management (BCM) Aktuelle Herausforderungen und Erfolgsfaktoren Nürnberg 14. Oktober 2009 Lothar Goecke Lothar Goecke Selbstständig seit

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

System-Tool MaRisk Light

System-Tool MaRisk Light Unser Angebot System-Tool MaRisk Light Von der Strategie bis zum Risikolimitsystem! Das System-Tool MaRisk Light umfasst die Module Risikoreport, Adressen- Risikomanagement, Interne Revision und IKS, Marktpreisrisikomanagement,

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

IT-Dienstleistungszentrum Berlin

IT-Dienstleistungszentrum Berlin IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren IKS, Compliance, Risikomanagement Wie Sie angemessene und wirtschaftliche Kontrollen installieren Das Interne Kontrollsystem (IKS) rückt immer stärker in den Fokus der Bankenaufsicht Damit steht es auch

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

Schutz sensibler Personendaten im e-government-umfeld. Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management

Schutz sensibler Personendaten im e-government-umfeld. Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management Schutz sensibler Personendaten im e-government-umfeld Christian Spörer Juni 2013 Chief Information Officer Total Security & Quality Management OeSD im Überblick Gründung: 1804 Mitarbeiter: 180 Produktion:

Mehr

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT 1 E-SEC ONLINE RISK ANALYSIS & MANAGEMENT Überprüfung der Personellen Informationssicherheit Ihres Unternehmens aussagekräftig, schnell und effektiv Änderungen vorbehalten, Stand: Jänner 2007 E-SEC INFORMATION

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Datenschutz in Pharmaunternehmen Bei Pharmaunternehmen stehen neben der Verarbeitung eigener Personaldaten vor allem die Dokumentation

Mehr

Interne Revision. Bericht gemäß 386 SGB III. Change-Management. Revision SGB III

Interne Revision. Bericht gemäß 386 SGB III. Change-Management. Revision SGB III Revision SGB III Bericht gemäß 386 SGB III Change-Management Inhaltsverzeichnis 1 Revisionsauftrag... 1 2 Zusammenfassung... 1 3 Revisionsergebnisse... 2 3.1 Prozessgestaltung... 2 3.1.1 Prozessmodell...

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte

UNTERNEHMENSVORSTELLUNG. Wir schützen Ihre Unternehmenswerte UNTERNEHMENSVORSTELLUNG Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Wer sind wir? Die wurde 1996 als klassisches IT-Systemhaus gegründet. 15 qualifizierte Mitarbeiter, Informatiker,

Mehr

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN sicher bedarfsgerecht gesetzeskonform Zielgruppe Unser Beratungskonzept ist für die Unternehmensleitungen kleiner und mittelständischer Unternehmen

Mehr

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISIS 12 Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISIS12 Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor Security Excellence Der psychologische

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte W A R U M? W E R I S T G E E I G N E T? W O F Ü R? Christoph Süsens & Matthias Holdorf Projekt Agenda Vorstellung Präsentation der betriebliche Datenschutzbeauftragte

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Aus dem Mittelstand, für den Mittelstand: RISIMA Consulting.

Aus dem Mittelstand, für den Mittelstand: RISIMA Consulting. www.risima.de Aus dem Mittelstand, für den Mittelstand: RISIMA Consulting. Als Unternehmensberatung sollte man seinen Kunden kennen, seine Stärken und Schwächen unter Einsatz von bewährten Methoden und

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Das INTARGIA Datenschutzmanagementsystem

Das INTARGIA Datenschutzmanagementsystem Das INTARGIA Datenschutzmanagementsystem Effektiver Datenschutz mit Augenmaß Kontaktdaten: Dr. Thomas Jurisch, Steffen Weber Telefon: +49 (0)6103 350860 E-Mail: it-sicherheitsmanagement@intargia.com Webseite:

Mehr

IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe

IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe IT Security @ EGGER ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe Michael Danzl, IT Security Officer, Fritz Egger GmbH und Co.OG Inhalt Die EGGER Gruppe Die EGGER OrgIT

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

IT-Governance einführen Herausforderungen, Aufgabenbereiche, Roadmap

IT-Governance einführen Herausforderungen, Aufgabenbereiche, Roadmap IT-Governance einführen Herausforderungen, Aufgabenbereiche, Roadmap Ernst Tiemeyer, IT-Consulting AGENDA IT-Governance Herausforderungen und Zielsetzungen im Überblick Zentrale IT-Steuerung Bereiche/Handlungserfordernisse

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

2. BPM Symposium am 28. November 2013 in Iserlohn

2. BPM Symposium am 28. November 2013 in Iserlohn 2. BPM Symposium am 28. November 2013 in Iserlohn BPM für den Mittelstand IYOPRO Projekte, Erfahrungsberichte und Trends BPM & Projektmanagement Wie kann BPM in methodisch strukturierten Projekten erfolgreich

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

INFORMATIKZENTRUM DER SPARKASSEN- ORGANISATION GMBH

INFORMATIKZENTRUM DER SPARKASSEN- ORGANISATION GMBH INFORMATIKZENTRUM DER SPARKASSEN- ORGANISATION GMBH GmbH 2011 INFORMATIKZENTRUM DER SPARKASSEN- ORGANISATION GMBH Sicherer IT-Betrieb Produkt für ein ganzheitliches Informationssicherheits-Management Name

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Zertifikatsstudiengang Certified Security Manager (CSM)

Zertifikatsstudiengang Certified Security Manager (CSM) Zertifikatsstudiengang Certified Security Manager (CSM) Mit Security Management sind Sie gut vorbereitet Das Thema Sicherheit im Unternehmen wird meist in verschiedene Bereiche, Unternehmenssicherheit,

Mehr