Studie zu ISO-Normungsaktivitäten ISO/BPM. Anforderungen an Information Security Management Systeme
|
|
- Nadine Flater
- vor 8 Jahren
- Abrufe
Transkript
1 Studie zu ISO-Normungsaktivitäten ISO/BPM Anforderungen an Information Security Management Systeme
2 Für die Mitarbeit an der Studie dankt das Bundesamt für Sicherheit in der Informationstechnik Dr. Alfred Scheerhorn und Jens Nedon von der ConSecur GmbH. Bundesamt für Sicherheit in der Informationstechnik Referat I 1.4 Systemsicherheit, IT-Grundschutz Postfach Bonn Tel.: +49 (0) gshb@bsi.bund.de Internet: Bundesamt für Sicherheit in der Informationstechnik
3 Inhaltsverzeichnis 1 Ausgangssituation Management Summary Ziel und Inhalt der Studie Grundlegende Dokumente Ergebnisse der Studie Anforderungen an Information Security Management Systeme Aufbau der Studie Basismodell und Kernelemente eines ISMS Definition eines ISMS Informationssicherheitsprozess Übergeordnete Elemente des Managementsystems Zusammenfassung der Kernelemente und Anforderungen an das ISMS Übersicht über bestehende ISMS-Ansätze BSI IT-Grundschutzhandbuch (GSHB) BS (Information security management systems Specification with guidance for use) ISO/IEC-Technical Report TR MICTS (früher: GMITS) Information Technology Infrastructure Library (ITIL) Cobit ISO TC Vergleich bestehender ISMS-Ansätze IT-Sicherheitsmanagement im IT-Grundschutzhandbuch BS MICTS (früher: GMITS) ITIL Security Management Cobit TC
4 3.5 Zusammenfassung der Vergleichsergebnisse IT-Grundschutzhandbuch BS TR (GMITS, MICTS) ITIL Security Management Cobit TC Auditierung und Zertifizierung von ISMS Anhang Glossar und Abkürzungen Referenzen
5 1 Ausgangssituation Das BSI beteiligt sich an den laufenden ISO-Normungsaktivitäten im Bereich IT-Sicherheitsmanagement. In den entsprechenden Arbeitsgruppen der ISO (International Standards Organization), in der Working Group WG 1 im Subcommittee SC 27, sind in den vergangenen Jahren hierzu zwei wesentliche Ansätze diskutiert worden: der von der britischen Standardisierungsbehörde herausgegebene nationale Standard BS 7799 (bestehend aus den Teilen BS und BS ) der von anderen europäischen Ländern gemeinsam erarbeitete ISO/IEC Technical Report TR (GMITS, Guidelines for Management of IT-Security). Parallel dazu gibt es in den europäischen Ländern nationale Empfehlungen und Ausarbeitungen zum IT- Sicherheitsmanagement, u. a. in einem entsprechenden Baustein des vom BSI herausgegebenen IT- Grundschutzhandbuchs (GSHB). Von den ISO-Gremien wurde Teil 1 des britischen Standards (BS ) im Jahr 2000 offiziell als nunmehr maßgeblicher ISO/IEC-Standard IS verabschiedet. Der Technical Report TR hat weiterhin Bestand und befindet sich ebenfalls in der Normungsdiskussion. Betrachtet man die in Abbildung 1 dargestellten drei relevanten Ebenen der IT-Sicherheit: Sicherheitsmanagement, Organisation/Umsetzung und Maßnahmen, und vergleicht die drei Vorgehensmodelle, so wird deutlich, dass jedes Modell einen individuellen Schwerpunkt beschreibt, wobei partielle Überschneidungen zu den anderen Modellen deutlich werden. Abbildung 1: Darstellung der drei Vorgehensmodelle IS 17799, TR und GSHB. Das BSI möchte seine bisherigen Aktivitäten und Interessen bzgl. des IT-Grundschutzhandbuchs (GSHB) in geeigneter Form in die Diskussion um IS sowie um TR einbringen. Da derzeit sowohl der IS als auch der TR innerhalb der Gremien überarbeitet werden, sollen mit der vorliegenden Studie die relevanten Aspekte aufgearbeitet werden und die Positionierung des IT-Grundschutzhandbuchs gegenüber des IS sowie des TR in diesen Gremien geeignet untermauert werden. Gleichzeitig möchte das BSI die Zertifizierung nach dem GSHB national und international fördern. Das BSI hat gemeinsam mit Interessenten aus der Wirtschaft ein Zertifizierungsschema für den IT- Grundschutz entwickelt. Voraussetzung für die Vergabe eines IT-Grundschutz-Zertifikats ist eine Überprüfung, ob die hierfür festgelegten Anforderungen erfüllt werden. International hat die Zertifizierung nach der britischen Norm BS aufgrund der Standardisierung des BS (identisch mit IS 17799) sehr starke Nachfrage erhalten. Daher ist es erforderlich, so schnell wie möglich die Grundlagen für eine erfolgreiche Einführung und Verbreitung des IT-Grundschutz-Zertifikats zu schaffen. 5
6 2 Management Summary 2.1 Ziel und Inhalt der Studie In dieser Studie wird analysiert, durch welche Kernprozesse und Kernelemente ein Information Security Management System (ISMS) gekennzeichnet ist. Ziel der Studie ist es, ein generisches Basismodell eines ISMS zu erhalten, anhand dessen dann bestehende ISMS verglichen und eingeordnet werden können. 2.2 Grundlegende Dokumente Für die Studie wurden insbesondere die folgenden Dokumente und Standards ausgewertet (vgl. Kapitel 4.2): BSI IT-Grundschutzhandbuch, Kapitel IT-Sicherheitsmanagement zusammen mit den dort referenzierten IT-Grundschutz-Maßnahmen BS :2002 Information security management systems - Specification with guidance for use ISO/IEC TR Information technology - Security Techniques - Management of information and communications technology security IT Infrastructure Library - ITIL Security Management Cobit (Control objectives for information and related technology) ISO/IEC TC 68 Banking and other financial services, TR Information security guidelines 2.3 Ergebnisse der Studie Bei der Entwicklung einer generischen Definition eines ISMS wurde von einem Informationssicherheits- Prozess ausgegangen, der basierend auf den Unternehmenszielen die Entwicklung und Umsetzung einer dazu angemessenen Informationssicherheit sowie deren Bewertung und Aufrechterhaltung umfasst. Ziel des Informationssicherheitsmanagements ist es, diesen Informationssicherheits-Prozess und damit die für das jeweilige Unternehmen angemessene Informationssicherheit zu etablieren und aufrecht zu erhalten. Im Gegensatz zum Informationssicherheitsprozess ist ein ISMS jedoch insbesondere durch den systemischen Ansatz des Managementsystems gekennzeichnet, so dass folgende generische Definition entwickelt wurde: Definition eines ISMS Das Information Security Management System (ISMS) ist jener Teil des übergreifenden Managementsystems, der die Organisationsstruktur, Regelungen, Abläufe sowie Ressourcen zur Entwicklung, Umsetzung, Bewertung und Aufrechterhaltung der Information Security Policy beinhaltet und dokumentiert. 6
7 Externe Einflüsse Unternehmensziele Entwicklung/Umsetzung angemessener Informationssicherheit Bewertung und Aufrechterhaltung angemessener Informationssicherheit IS-Prozess Interne Rahmenbedingungen Angemessene Informationssicherheit Teilprozess des Informationssicherheitsprozesses Aus der Definition des ISMS wurden Kernelemente eines ISMS sowie insgesamt 25 Anforderungen abgeleitet, an denen folgende ISMS-Beschreibungen und Management-Standards verglichen wurden: BSI IT-Grundschutzhandbuch, BS , TR (MICTS, früher: GMITS), IT Infrastructure Library - ITIL Security Management, Cobit (Control objectives for information and related technology) sowie ISO/IEC TC 68 Banking and other financial services. Vergleichsergebnisse Als Ergebnis des Vergleichs konnte festgestellt werden, dass bei den meisten der betrachteten Standards eine hohe bis sehr hohe Abdeckung der generisch entwickelten Anforderungen an ein ISMS besteht, wobei deutliche Unterschiede festzustellen sind hinsichtlich der Fokussierung bestimmter Anforderungen durch die einzelnen Standards. Die höchste Überdeckung weisen BS , das BSI IT-Grundschutzhandbuch und Cobit auf, wobei der Fokus von Cobit eindeutig auf der Bewertung der Informationssicherheit und des Managementsystems selbst liegt. Stärken von ITIL in Bezug auf das zugrundeliegende ISMS-Modell liegen bei der Betrachtung des Managementsystems insbesondere in der durch den SLA-Gedanken (Service-Level Agreements) hervorgerufenen Betrachtung der Ressourcen, dagegen werden technische Aspekte vernachlässigt. Das IT-Grundschutzhandbuch geht im Vergleich zum generischen ISMS-Modell sehr detailliert auf technische und organisatorische Aspekte ein, wobei insbesondere hinsichtlich des Prozessgedankens, d.h. der dauerhaften Etablierung von Abläufen Schwächen identifiziert wurden. Die Schwächen resultieren hauptsächlich daraus, dass aus dem hier betrachteten Kapitel "IT-Sicherheitsmanagement" nicht immer auf andere Kapitel, die die entsprechenden Inhalte enthalten, referenziert wird. Der Fokus von GMITS liegt eher in der Beschreibung des Informationssicherheits-Prozesses auf Ebene des Sicherheitsmanagement, Schwächen liegen hier vor allem in einer fehlenden Beschreibung der übergeordneten Prozesse des Managementsystems und der Betrachtung und Steuerung der notwendigen Ressourcen. Die Ergebnisse des Vergleichs der genannten Standards mit dem generischen Prozessmodell eines ISMS sind in der Studie detailliert beschrieben. Den Abschluss der Studie bilden grundsätzliche Überlegungen für eine Auditierung und Zertifizierung des Managementsystems selbst. 7
8 3 Anforderungen an Information Security Management Systeme 3.1 Aufbau der Studie In dieser Studie wird aufbauend auf der Zielsetzung der Schaffung und Aufrechterhaltung angemessener Informationssicherheit ein Basismodell für Information Security Management Systeme (ISMS) entworfen (Abschnitt 3.2). Dabei wird analysiert, welche Kernelemente ein ISMS aufweisen soll. Auf Grundlage der identifizierten ISMS-Kernelemente werden bestehende ISMS-Ansätze verglichen. Das heißt, es wird geprüft, ob und in wie weit die betrachteten ISMS die Kernelemente beinhalten und wie diese im konkreten ISMS ausgeprägt sind. Auch wird untersucht, welche Möglichkeiten einer Auditierung und Zertifizierung für ISMS bestehen. Als zu untersuchende ISMS stehen die bereits in den vorhergehenden Kapiteln untersuchten Ansätze im Vordergrund: BSI IT-Grundschutzhandbuch, Kapitel IT-Sicherheitsmanagement zusammen mit den dort referenzierten IT-Grundschutz-Maßnahmen. BS :2002 Information security management systems - Specification with guidance for use. ISO/IEC TR Information technology - Security Techniques - Management of information and communications technology security Daneben gibt es eine Reihe allgemeiner IT-Management-Standards, die als übergreifende Standards auch den Bereich des Informationssicherheits-Management mit abdecken sollten. In diesem Bereich werden die folgenden Ansätze betrachtet: IT Infrastructure Library - ITIL Security Management Cobit (Control objectives for information and related technology) Des Weiteren gibt es verschiedene branchenspezifische Ansätze für das Informationssicherheits- Management. Dieser Bereich wird lediglich beispielhaft mit berücksichtigt. Ausgewählt für die Betrachtung wurde ISO/IEC TC 68 Banking and other financial services, TR Information security guidelines. Die genannten Ansätze werden zunächst kurz beschrieben (Abschnitt 3.3). Danach wird für jeden der Ansätze ermittelt, ob und in wie weit die ISMS-Kernelemente des Basismodells im jeweiligen Ansatz enthalten sind (Abschnitt 3.4). Abschließend werden die Vergleichsergebnisse zusammengefasst (Abschnitt 3.5). Den Abschluss bildet eine Untersuchung, wie ein ISMS auditiert werden kann und welche Möglichkeiten für eine Zertifizierung bestehender ISMS bestehen (Abschnitt 3.6). 3.2 Basismodell und Kernelemente eines ISMS Für die Untersuchung von ISMS wird von der folgenden Zielsetzung des Einsatzes von ISMS als Basishypothese ausgegangen: 8
9 Zielsetzung ISMS Zielsetzung des Einsatzes eines Information Security Management Systems ist es, innerhalb eines gegebenen Organisationsbereichs eine angemessene Informationssicherheit zu schaffen und aufrecht zu erhalten. Beispiele für Organisationsbereiche sind dabei ein Unternehmen, eine Behörde, eine Unternehmensgruppe (Konzern) oder ein spezieller Bereich im Unternehmen. Es ist ein Niveau von Informationssicherheit anzustreben, dass den Zielen des jeweiligen Organisationsbereichs gerecht wird (angemessene Informationssicherheit). Auf der Basis dieser Zielsetzung werden im folgenden die Kernelemente hergeleitet, die ein ISMS notwendigerweise enthalten soll sowie Anforderungen an ein ISMS Definition eines ISMS Bei der Definition eines Information Security Management Systems sind zum einen die Kernprozesse zu berücksichtigen, die zur Schaffung und Aufrechterhaltung der Informationssicherheit führen, zum anderen diejenigen Randbedingungen und Elemente innerhalb der Organisation, die den ISM-Prozess initiieren und steuern. Um eine systemische, ganzheitliche Betrachtung eines ISMS bei gleichzeitiger Abgrenzung zu einzelnen Teilaspekten, z. B. relevanten Prozessen, zu ermöglichen, wird bei der weiteren Betrachtung von der folgenden generischen Definition eines ISMS ausgegangen. Die generische Definition eines Information Security Management-Systems wurde dabei aus der Definition eines Umwelt-Managementsystems abgeleitet: Definition ISMS Das Information Security Management System ist jener Teil des übergreifenden Managementsystems, der die Organisationsstruktur, Regelungen, Abläufe sowie Ressourcen zur Entwicklung, Umsetzung, Bewertung und Aufrechterhaltung der Information Security Policy beinhaltet und dokumentiert. Der Begriff der Information Security Policy wird in der vorliegenden Studie analog dem deutschsprachigen Begriff der Informations-Sicherheitsleitlinie verwendet. Aus dieser Definition heraus lassen sich die Kernelemente eines ISMS ableiten: Übergreifende Elemente des Managementsystems: Organisationsstruktur und Zuständigkeiten, Regelungen und Anweisungen, Abläufe (Prozesse), Ressourcen. Darüber hinaus ist ein für das ISMS wesentlicher Organisationsprozess der Informationssicherheitsprozess, bestehend aus den Teilprozessen: Entwicklung von Informationssicherheit, Umsetzung von Informationssicherheit, Bewertung von Informationssicherheit, Aufrechterhaltung von Informationssicherheit. Ziel eines Information Security Management Systems ist es also, diesen Informationssicherheitsprozess zu initiieren, zu steuern, zu verbessern und dieses zu dokumentieren (siehe Abbildung 2). 9
10 Informationssicherheits-Management-System System-Ebene Informationssicherheits-Management Prozess-Ebene Abbildung 2: ISM vs. ISMS Informationssicherheitsprozess Einflussgrößen für die Zielsetzung der Schaffung und Aufrechterhaltung einer angemessenen Informationssicherheit sind die Unternehmensziele, an denen letztlich die Angemessenheit zu bewerten ist, interne Rahmenbedingungen, wie IT-Infrastruktur, IT-Anwendungen, Budget, Personal, etc. und externe Einflüsse, wie gesetzliche Rahmenbedingungen, Umwelteinflüsse, etc. Der hieraus resultierende Informationssicherheits-Prozess ist in der nachstehenden Abbildung dargestellt. Externe Einflüsse Unternehmens - ziele IS-Prozess Angemessene Informations - sicherheit Interne Rahmenbedingungen Abbildung 3: Informationssicherheitsprozess Hinsichtlich der Zielsetzung, angemessene Informationssicherheit zu schaffen und aufrecht zu erhalten, kann der Informationssicherheitsprozess in folgende Teilprozesse gegliedert werden: 1. Prozess zur Entwicklung und Umsetzung angemessener Informationssicherheit Auf der Basis eines gegebenen Ist-Zustands ist unter Berücksichtigung der Unternehmensziele ein angemessenes Niveau an Informationssicherheit festzulegen und zu schaffen. 2. Prozess zur Bewertung und Aufrechterhaltung angemessener Informationssicherheit Das erreichte Niveau einer angemessenen Informationssicherheit ist aufrecht zu erhalten. Hierzu ist es zum Einen erforderlich, Abweichungen vom einmal erreichten Zustand angemessener Informationssicherheit zu erkennen. Zum anderen sind die erkannten Abweichungen zu korrigieren, um den Zustand der angemessenen Informationssicherheit wieder herzustellen. Dieser 10
11 Korrekturschritt wird als Rückkopplung in den Prozess der Entwicklung und Umsetzung angemessener Informationssicherheit betrachtet. In der nachstehenden Abbildung ist der Informationssicherheitsprozess entsprechend detaillierter dargestellt. Externe Einflüsse Unternehmensziele Entwicklung/Umsetzung angemessener Informationssicherheit Bewertung und Aufrechterhaltung angemessener Informationssicherheit IS-Prozess Interne Rahmenbedingungen Angemessene Informationssicherheit Abbildung 4: Teilprozesse des Informationssicherheitsprozesses Teilprozess: Entwicklung und Umsetzung angemessener Informationssicherheit Hinsichtlich der Ableitung angemessener Informationssicherheit aus den Unternehmenszielen ergeben sich direkt die folgenden Fragestellungen: - Welche Anforderungen bzw. Ziele an die Sicherheit von Informationen und die IT ergeben sich aus den Unternehmenszielen? - Welche Güter sind bezogen auf die Ziele schützenswert? - Welche (Rest-)Risiken stehen diesen Anforderungen gegenüber? - Welches Sicherheitsniveau ist geeignet, um den gegebenen Risiken entgegenzuwirken, die Anforderungen zu erfüllen bzw. die Ziele zu erreichen? Als Anforderung an ein ISMS lässt sich hieraus ableiten, dass als ein wesentliches Kernelement der Teilprozess zur Schaffung angemessener Informationssicherheit enthalten sein muss, wobei die folgenden Aktivitäten abzudecken sind: Planung von Informationssicherheit - Entwicklung/Aufrechterhaltung der Information Security Policy Erarbeitung und Bearbeitung der Information Security Policy zur Dokumentation der Anforderungen bzw. Ziele hinsichtlich der Informationssicherheit in Bezug auf die Unternehmensziele. - Planung von Sicherheitsmaßnahmen Ableitung geeigneter Sicherheitsmaßnahmen (SM) unter Berücksichtigung gegebenen Risiken, Kosten-Nutzen-Aspekten und bereits realisierter Sicherheitsmaßnahmen sowie Analyse der verbleibenden Restrisiken. 11
12 Realisierung von Informationssicherheit - Umsetzung der Sicherheitsmaßnahmen Umsetzung und Abnahme der geplanten Sicherheitsmaßnahmen in einem definierten Zeitrahmen und mit den entsprechenden Prioritäten. - Bewertung der Information Security Policy Die nachstehende Abbildung zeigt den Teilprozess der Entwicklung und Umsetzung angemessener Informationssicherheit und die genannten Teilprozesse. Externe Einflüsse Unternehmens - ziele Planung von Informationssicherheit Realisierung von Informationssicherheit Angemessene Informations - sicherheit Interne Rahmenbedingungen Abbildung 5: Teilprozess Entwicklung und Umsetzung angemessener Informationssicherheit Teilprozess: Bewertung und Aufrechterhaltung angemessener Informationssicherheit Vergleichbar mit einem Regelkreis hat das ISMS dafür zu sorgen, dass Abweichungen vom Zustand angemessener Informationssicherheit erkannt werden und eine entsprechende Korrektur erfolgt. Im positiven Fall kann das Vorliegen einer nicht angemessenen Informationssicherheit erkannt werden, bevor diese konkrete Auswirkungen (z. B. in Form von Schäden) nach sich zieht. Im negativen Fall wird eine unangemessene IS erst anhand ihrer Auswirkungen erkannt. Um diese zeitnah zu erkennen und geeignet zu reagieren ist ein Mechanismus zur Erkennung und Behandlung von Sicherheitsvorfällen - nachfolgend unter dem Begriff Incident Handling zusammengefasst unerlässlich. Die Erkennung von Abweichungen anhand ihrer Auswirkungen reicht jedoch nicht aus. Es sind weitere Erkennungsmechanismen vorzusehen, um bereits den Ursachen für eine nicht angemessene IS entgegen zu wirken. Um diese zu ermitteln, wird zunächst betrachtet, weshalb umgesetzte Sicherheitsmaßnahmen nicht oder nicht mehr angemessene IS bieten. Gründe hierfür können sein: Die Unternehmensziele ändern sich. Externe Einflüsse ändern sich, z. B. weil neue Viren aufgetreten sind, neue Schwachstellen in Produkten bekannt geworden sind, Designfehler (unsichere Protokolle, gebrochene Kryptoalgorithmen, etc.) bekannt geworden sind, gesetzliche Rahmenbedingungen sich geändert haben. Interne Rahmenbedingungen ändern sich, z. B. weil ein IT-Dienstleister gewechselt wurde, ein Web-Server mit statischen Seiten durch ebusiness- Applikationen ersetzt wurde, neue IT-Systeme, Anwendungen oder Netze eingeführt wurden. 12
13 In einem der Arbeitsschritte zur Schaffung angemessener Informationssicherheit sind Fehler aufgetreten, z. B. weil. - die Abhängigkeit von Geschäftsprozessen und Informationssicherheit nicht korrekt erkannt wurde. - der Schutzbedarf von Informationen oder IT-Systemen fehlerhaft eingestuft wurde. - Risiken, Bedrohungen oder Schwachstellen fehlerhaft bewertet wurden. - Maßnahmen mangelhaft umgesetzt wurden. Sowohl Änderungen der Parameter als auch Fehler können dabei zu folgenden Auswirkungen führen: Der Informationssicherheitsbedarf des Unternehmens wurde nur unzureichend erkannt bzw. trifft nicht länger zu (unangemessene Policy). Die geplanten Sicherheitsmaßnahmen entsprechen nicht dem in der Policy formulierten Sicherheitsbedarf (z. B. weil Risiken falsch bewertet wurden). Die Sicherheitsmaßnahmen wurden nicht wie geplant realisiert oder werden nicht wie geplant betrieben. Um den Ursachen nicht angemessener Informationssicherheit entgegen zu wirken, ist daher einerseits bei der Änderung von Parametern zu prüfen, ob sich Auswirkungen auf die Informationssicherheit ergeben. Andererseits ist die Aktualität und Korrektheit der Ergebnisse der Arbeitsschritte zur Schaffung angemessener Informationssicherheit regelmäßig zu prüfen. Zu beachten ist, dass trotz dieser drei Mechanismen zur Aufrechterhaltung angemessener Informationssicherheit eine Erkennung und Behandlung von Sicherheitsvorfällen erforderlich bleibt. Dies liegt insbesondere darin begründet, dass die Arbeits- bzw. Korrekturschritte grundsätzlich fehlerbehaftet sein können. Als Anforderung an ein ISMS lässt sich hieraus ableiten, dass als ein wesentliches Kernelement der Teilprozess zur Aufrechterhaltung angemessener Informationssicherheit enthalten sein muss, wobei die folgenden Aktivitäten abzudecken sind: Erkennung von Abweichungen - Prüfung der Aktualität der Information Security Policy Sowohl regelmäßig als auch bei der Änderung von Unternehmenszielen ist die Information Security Policy auf Aktualität zu prüfen und bei Bedarf zu aktualisieren. Im Falle einer Anpassung der Policy ist auch die Angemessenheit bisher geplanter Sicherheitsmaßnahmen zu kontrollieren. Änderungen in der Planung sind in der Realisierung und im Betrieb von Sicherheitsmaßnahmen zu berücksichtigen. - Prüfung der Angemessenheit geplanter Sicherheitsmaßnahmen Regelmäßig, vor allem aber bei Änderung externer Einflüsse und interner Rahmenbedingungen ist die Planung von Sicherheitsmaßnahmen (inkl. Risiko-Assessment) auf Eignung bezogen auf die Policy zu prüfen und bei Bedarf anzupassen. Änderungen in der Planung sind in der Realisierung und im Betrieb von Sicherheitsmaßnahmen zu berücksichtigen. Die Prüfung der Eignung geplanter Sicherheitsmaßnahmen sollte die Prüfung der Wirksamkeit von Maßnahmen beinhalten (z. B. Penetrationstest). 13
14 - Revision von Sicherheitsmaßnahmen Es ist regelmäßig zu prüfen, ob Sicherheitsmaßnahmen wie geplant umgesetzt und betrieben werden. Falls Abweichungen festgestellt werden, ist die Realisierung bzw. der Betrieb der Sicherheitsmaßnahmen entsprechend zu korrigieren. Reaktion auf Abweichungen - Reaktion auf Änderungsbedarf Wenn sich aufgrund der Revision oder Prüfung der Angemessenheit von SM Änderungsbedarf ergibt, so ist dieser entsprechend umzusetzen. - Incident Handling Zusätzlich zu den genannten Mechanismen sollte das ISMS die Erkennung und Behandlung von Sicherheitsvorfällen beinhalten und definieren. Die nachstehende Abbildung zeigt den Teilprozess der Aufrechterhaltung angemessener Informationssicherheit und die genannten Teilprozesse. Externe Einflüsse Unternehmens - ziele Reaktion auf Abweichungen Erkennung von Abweichungen Angemessene Informations - sicherheit Interne Rahmenbedingungen Abbildung 6: Teilprozess Aufrechterhaltung angemessener Informationssicherheit Übergeordnete Elemente des Managementsystems Ein übergeordnetes Managementsystem hat dafür Sorge zu tragen, dass die relevanten Prozesse der Schaffung und Aufrechterhaltung angemessener Informationssicherheit etabliert werden, und durch angemessene Kontroll- und Steuerungsfunktionen sicherzustellen, dass die Prozesse wie gewünscht funktionieren und miteinander koordiniert sind. Ausgehend von der Definition des ISMS werden die Kernelemente eines ISMS wie folgt identifiziert: 14 Organisationsstruktur und Zuständigkeiten Um die Prozesse zu realisieren, bedarf es einer geeigneten Organisationsstruktur. Verantwortungsbereiche sind festzulegen, Rollen zu definieren, den Mitarbeitern sind Aufgaben, Funktionen, Verantwortlichkeiten und Weisungsbefugnisse zuzuweisen. Abläufe (Prozesse) Zur Etablierung und Aufrechterhaltung der relevanten Prozesse sind Verfahren und Abläufe zu definieren und in die relevanten Geschäftsprozesse des Unternehmens zu integrieren. Dies betrifft insbesondere die IT-Prozesse, wie z. B. die Inbetriebnahme neuer IT-Systeme oder Software oder die Software- und Anwendungsentwicklung. Um bei Bedarf entsprechend steuernd einzugreifen, ist es notwendig, erkennen zu können, ob die Teilprozesse zur Schaffung und Aufrechterhaltung
15 angemessener Informationssicherheit wie beschrieben funktionieren. Hierzu bedarf es Kontrollfunktionen und eines gewissen Grads der Nachvollziehbarkeit von Teilprozessen. Um die Funktionsfähigkeit und Vertrauenswürdigkeit dieser Teilprozesse darüber hinaus auch Dritten darzulegen, ist bei Bedarf einer weitergehenden Nachvollziehbarkeit Rechnung zu tragen. Der Informationsfluss innerhalb der Teilprozesse und zwischen den verschiedenen Teilprozessen ist sicherzustellen. Hierzu sollte das ISMS klare Schnittstellen zwischen den Prozessen definieren. Zusätzlich ist die Dokumentation von Sicherheitsvorfällen und ihrer Auswirkungen sinnvoll. Diese bilden eine Erfahrungsbasis für Vorgehensweisen und zur Abschätzung, ob die Einrichtung weiterer, spezifische Sicherheitsmaßnahmen sinnvoll ist oder in wie weit die Risikobewertung zutreffend war. Regelungen und Anweisungen Das ISMS sollte sicherstellen, dass alle Funktionen und Tätigkeiten, die sich auf die Informationssicherheit auswirken können und für die Unternehmensziele relevant sind, der Planung und Kontrolle durch das ISMS unterliegen. Neben betriebsinternen Regelungen sind darüber hinaus die geltenden gesetzlichen Regelungen zu ermitteln und deren Einhaltung zu dokumentieren. Ressourcen Dem ISMS müssen die zu seiner Etablierung und Erhaltung notwendigen materiellen und immateriellen Ressourcen zur Verfügung gestellt werden, vor allem aber das erforderliche Personal Zusammenfassung der Kernelemente und Anforderungen an das ISMS In diesem Abschnitt werden die Kernelemente sowie die daraus abgeleiteten Anforderungen an das ISMS zusammengefasst wiedergegeben. Anhand der Kernelemente werden im folgenden Kapitel unterschiedliche Ansätze von ISMS verglichen. Nr. Anforderung Beschreibung IS-Prozess Teil 1: Planung von Informationssicherheit 1 IS Policy Die Ableitung von Anforderungen an die Informationssicherheit aus den Unternehmenszielen ist als Aktivität in einem ISMS vorzusehen. Anforderungen an die Informationssicherheit werden typischerweise in Form einer Information Security Policy dokumentiert. ISMS können sich darin unterscheiden, wie konkret sie Inhalte und Struktur einer Information Security Policy vorgeben. 2 Planung von Sicherheitsmaßnahmen Ein ISMS muss folgende Aktivitäten vorsehen: - Bewertung von Informationssicherheitsrisiken - Planung von Sicherheitsmaßnahmen unter Berücksichtigung der Ziele und der Risiken der Informationssicherheit - Analyse von Restrisiken - Berücksichtigung von Kosten-Nutzen-Aspekten ISMS können sich darin unterscheiden, wie konkret sie Vorgehensweisen für die Aktivitäten festlegen bzw. empfehlen. 15
16 IS-Prozess Teil 2: Realisierung von Informationssicherheit 3 Realisierung Ein ISMS hat als Aktivität die Realisierung von Sicherheitsmaßnahmen auf Basis eines Umsetzungsplans vorzusehen. Dabei sind insbesondere auch Schulungs- und Sensibilisierungsmaßnahmen zu berücksichtigen. 4 Betrieb Das ISMS muss als Aktivität den Betrieb der Sicherheitsmaßnahmen berücksichtigen IS-Prozess Teil 3: Erkennung von Abweichungen 5 Aktualität IS Policy 6 Angemessenheit der SM 7 Revision von SM Ein ISMS muss eine regelmäßige Kontrolle der Aktualität der Policy vorsehen sowie die Prüfung der Policy bei der Änderung von Unternehmenszielen. Ein ISMS muss eine regelmäßige Kontrolle des Sicherheitskonzepts vorsehen sowie dessen Prüfung bei der Änderung interner Rahmenbedingungen oder externer Einflussgrößen. Ein ISMS muss eine regelmäßige Kontrolle darüber vorsehen, ob Sicherheitsmaßnahmen wie geplant realisiert wurden und betrieben werden. IS-Prozess Teil 4: Reaktion auf Abweichungen 8 Änderungsmanagement 9 Incident Handling Organisationsstruktur und Zuständigkeiten 10 Festlegung einer Organisationsstruktur 11 Verantwortung und Befugnisse 12 Managementvertretung 13 Dokumentation der Organisationsstruktur Abläufe (Prozesse) 14 Festlegung der Abläufe Ein ISMS muss einen Prozess zur Reaktion auf erkannten Änderungsbedarf vorsehen. ISMS können sich darin unterscheiden, wie konkret dieser Prozess beschrieben ist. Ein ISMS muss einen Prozess zur Erkennung und Behandlung von Sicherheitsvorfällen vorsehen. ISMS können sich darin unterscheiden, wie konkret dieser Prozess beschrieben ist. Das ISMS muss eine Organisationsstruktur für das ISMS und dessen Integration in die Organisation beschreiben. Das ISMS muss eine Definition und Beschreibung von Rollen, den ihnen zugeordneten Aufgaben und Verantwortlichkeiten sowie der Beziehungen untereinander vorsehen. Das ISMS muss die Bestellung eines Managementvertreters mit Befugnissen und Verantwortung für die Anwendung und Aufrechterhaltung des Managementsystems vorsehen. Die Organisationsstruktur ist nachvollziehbar zu dokumentieren. Im Rahmen des ISMS müssen die relevanten Abläufe definiert werden. 16
17 15 Etablierung der Prozesse 16 Steuerung & Kontrolle 17 Informationsfluss 18 Erkennung von Abweichungen 19 Dokumentation der Abläufe Regelungen und Anweisungen 20 Regelungen und Anweisungen 21 Einhaltung gesetzlicher Regelungen Ressourcen 22 Personelle Ausstattung des ISMS 23 Sensibilisierung & Transparenz Das ISMS muss gewährleisten, dass die relevanten Prozesse (insbesondere der Informationssicherheitsprozess) etabliert und aufrechterhalten wird. Das ISMS muss die Steuerung und Kontrolle der relevanten Prozesse gewährleisten. Dies beinhaltet: - die Ermittlung und Dokumentation der für die Kontrolle notwendigen Informationen - die Spezifikation der anzuwendenden Kontrollverfahren und deren Dokumentation - die Spezifikation von Prüfkriterien für das ISM als auch das Kontrollsystem selbst Im Rahmen des ISMS werden Verfahren definiert für die Steuerung und Kontrolle sicherheitsrelevanter Funktionen, Tätigkeiten und Verfahren. Da sich die Teilprozesse - zumindest in größeren Unternehmen - über mehrere Mitarbeiter erstrecken, bedarf es eines geeigneten Informationsflusses, durch den sichergestellt wird, dass sämtliche beteiligten Mitarbeiter mit den für sie notwendigen und aktuellen Informationen versorgt sind. Das ISMS muss Verfahren zur Erkennung, Dokumentation und Reaktion auf Abweichungen von den im ISMS definierten Abläufen vorsehen. Die Nachvollziehbarkeit (bzw. Nachweisbarkeit) erfordert eine besondere Dokumentation, die so gestaltet ist, dass der komplette Ablauf einzelner Prozesse bzw. Aktivitäten nachvollzogen werden kann: Die im ISMS definierten Verfahren müssen auch die Dokumentation sicherheitsrelevanter Funktionen, Tätigkeiten und Verfahren beinhalten, in Form von - Arbeitsanweisungen für Interne - Arbeitsanweisungen für Externe, z. B. Dienstleister und Lieferanten. Im Rahmen des ISMS sollen Verfahren zur Erhebung und Dokumentation aller relevanten gesetzlichen Regelungen und Rechtsvorschriften, die Informationssicherheit betreffend, etabliert und fortgeschrieben werden. Die im ISMS definierten Rollen müssen qualifiziert personell besetzt werden. Das ISMS sollte hierzu entsprechende Regelungen enthalten. Das ISMS muss gewährleisten, dass sich alle Beschäftigten bewusst sind über - die Bedeutung der Einhaltung der Information Security Policy - ihre Rolle und Verantwortung bei der Einhaltung der Information Security Policy - die möglichen Auswirkungen ihrer Arbeit auf die Informationssicherheit in der Organisation - die möglichen Folgen bei Abweichung von den festgelegten Arbeitsabläufen. 17
18 24 Qualifikation & Schulung 25 Materielle Ausstattung des ISMS Das ISMS muss Verfahren zur Ermittlung von Qualifikationsbedarf und der Durchführung entsprechender Schulungsmaßnahmen vorsehen. Für die Etablierung und Erhaltung der Information Security Policy werden in der Regel notwendige Sicherheitsmaßnahmen identifiziert, die auch umgesetzt werden müssen, um ihre Wirkung zu entfalten. Bei der Etablierung des ISMS muss daher die Zuweisung entsprechender Mittel erfolgen. Zur Erhaltung des ISMS muss eine Anknüpfung an die internen Organisationsprozesse zur Mittelzuweisung sichergestellt werden. 18
19 3.3 Übersicht über bestehende ISMS-Ansätze In diesem Kapitel werden zunächst unterschiedliche ISMS-Ansätze kurz beschrieben: BSI IT-Grundschutzhandbuch, Kapitel IT-Sicherheitsmanagement BS (Information security management systems Specification with guidance for use) ISO/IEC-Technical Report TR Management of information and communications technology - MICTS (früher: GMITS) IT Infrastructure Library - ITIL Security Management Cobit (Control objectives for information and related technology) ISO/IEC TC 68 Banking and other financial services, TR Information security guidelines BSI IT-Grundschutzhandbuch (GSHB) Das IT-Grundschutzhandbuch wurde vom BSI entwickelt, um ohne aufwendige Risikoanalyse ein Sicherheitsniveau für IT-Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist. Das IT-Grundschutzhandbuch ist als Baukastensystem aufgebaut und empfiehlt für gängige IT-Systeme und IT-Anwendungen geeignete Standard-Sicherheitsmaßnahmen. Besondere Bedeutung kommt dabei "übergeordneten Aspekten" wie IT-Sicherheitsmanagement, Organisation des IT-Betriebs, Schulung und Sensibilisierung von Personal, Notfallvorsorge und -Reaktion oder Hard- und Softwaremanagement zu. Die Anwendung der meisten übergeordneten Bausteine ist dabei verpflichtend. Komponentenbasierte Bausteine (IT-Komponenten, Infrastruktur, Computer-Netzwerke) sind dagegen nur bei Vorhandensein entsprechender Komponenten anzuwenden. Der Aufbau der Bausteinkapitel gliedert sich immer in die drei Bereiche Kurzbeschreibung, Gefährdungslage und Maßnahmenempfehlungen. Das IT-Grundschutzhandbuch wurde in den vergangenen Jahren kontinuierlich weiterentwickelt und sukzessive um weitere Bausteine ergänzt, so dass sich derzeit eine Vielzahl von in der Praxis vorkommenden IT-Systemlandschaften durch Kombination von IT-Grundschutz-Bausteinen modellieren und absichern lassen. Der wichtigste Baustein des IT-Grundschutzhandbuchs beschreibt das IT-Sicherheitsmanagement. Das IT-Sicherheitsmanagement wird definiert als Planungs- und Lenkungsaufgabe zur sinnvollen Umsetzung und Erfolgskontrolle von IT-Sicherheitsmaßnahmen. Das Vorgehen hierzu ist in der Maßnahme M Etablierung des IT-Sicherheitsprozesses beschrieben. In dieser Maßnahme werden sämtliche der im Baustein IT-Sicherheitsmanagement empfohlenen Maßnahmen referenziert. Die einzelnen Schritte zur Etablierung des IT- Sicherheitsprozesses sind: 1. Erstellung einer IT-Sicherheitsleitlinie (detailliert in Maßnahme M beschrieben). 2. Auswahl und Etablierung einer geeigneten Organisationsstruktur für IT-Sicherheit (detailliert in Maßnahme M beschrieben). 3. Erstellung einer Übersicht über vorhandene IT-Systeme (detailliert in Maßnahme M beschrieben) 4. Festlegen der Vorgehensweise zur Erstellung eines IT-Sicherheitskonzepts (detailliert in Maßnahme M beschrieben) 19
20 5. Umsetzung der IT-Sicherheitsmaßnahmen (detailliert in Maßnahme M beschrieben) 6. IT-Sicherheit im laufenden Betrieb. Dies beinhaltet die Schulung (M 2.197) und Sensibilisierung (M 2.198) der Mitarbeiter. 7. Aufrechterhalten des sicheren Betriebs (detailliert in Maßnahme M beschrieben). Hier wird die Notwendigkeit beschrieben, bestehende IT-Sicherheitsmaßnahmen bei Erkenntnissen aus Sicherheitsvorfällen, Veränderungen im technisch-organisatorischen Umfeld sowie Änderungen von Sicherheitsanforderungen bzw. neuen Bedrohungen geeignet anzupassen. Die Erstellung von Managementreports (M 2.200) ist dabei als Grundlage für Entscheidungen der Leitungsebene erforderlich. Des Weiteren wird die Dokumentation des IT-Sicherheitsprozesses (M 2.201) verlangt, um dessen Kontinuität und Konsistenz sicherzustellen und Schwächen sowie Fehlentwicklungen zu erkennen BS (Information security management systems Specification with guidance for use) Das Dokument BS :2002 beschreibt ein Information security management system, dessen Bestandteile wie folgt dargestellt werden: Information security management system - General requirements - Establish and managing the ISMS - Documentation requirements Management responsibility - Management commitment - Resource management Management review of the ISMS - General - Review input - Review output - Internal ISMS audits ISMS improvement - Continual improvement - Corrective action - Preventive action Im Anhang des Dokuments werden weitere Informationen aufgelistet: Annex A (normative), Control objectives and controls Hier werden die Controls aus dem IS tabellarisch aufgelistet. Der internationale ISO- Standard IS ist gleichlautend mit dem Britischen Standard BS (Teil 1 des BS 7799). BS (Teil 2 des BS 7799) ist dagegen noch nicht standardisiert worden, ist jedoch derzeit Gegenstand der Diskussion innerhalb der zuständigen ISO-Standardisierungsgremien. 20
Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrProzessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08
Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer
MehrÄnderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000
Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Dr. Martin Czaske Sitzung der DKD-FA HF & Optik, GS & NF am 11. bzw. 13. Mai 2004 Änderung der ISO/IEC 17025 Anpassung der ISO/IEC 17025 an ISO 9001:
MehrDer Blindflug in der IT - IT-Prozesse messen und steuern -
Der Blindflug in der IT - IT-Prozesse messen und steuern - Ralf Buchsein KESS DV-Beratung GmbH Seite 1 Agenda Definition der IT Prozesse Ziel der Prozessmessung Definition von Prozesskennzahlen KPI und
MehrWie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
Mehr27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich
ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrITIL IT Infrastructure Library
ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrDATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity
Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen
MehrFachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik
Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver
MehrÄnderungen ISO 27001: 2013
Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar
MehrModul 5: Service Transition Teil 1
Modul 5: Service Transition Teil 1 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung
MehrITIL V3 zwischen Anspruch und Realität
ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service
MehrEinstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)
32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter
MehrMuster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz
Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt
MehrIT-Sicherheit in der Energiewirtschaft
IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens
MehrC R I S A M im Vergleich
C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
MehrManagements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY
Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches
MehrKooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung
Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Umsetzungsplan - Stand 19.02.2013 Version 1.6 (10. IT-Planungsrat Beschluss
MehrLösungen die standhalten.
Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrLeitfaden zum sicheren Betrieb von Smart Meter Gateways
Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrVorlesung Hochschule Esslingen IT-Winter School 2013
Service - ITIL V3 Leitfaden für Vorlesung für Vorlesung Vorlesung Hochschule Esslingen IT-Winter School 2013 Einführung in die IT Infrastructure Library (ITIL) Agenda 1 Was ist ITIL? 2 Wieso ITIL, mit
MehrErläuterungen zur Untervergabe von Instandhaltungsfunktionen
Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion
MehrSicherheitstechnische Qualifizierung (SQ), Version 9.0
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
MehrIHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)
Zertifikatslehrgang IT Service Management (ITIL) IHK-Lehrgang IT Service Management (ITIL) Termin: 01.06.2012 bis 16.06.2012 IT12090 Ort: Industrie- und Handelskammer Erfurt Arnstädter Str. 34 99096 Erfurt
MehrDie vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante
ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem
Mehr7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert
ITIL Merkmale ITIL ist konsequent und durchgängig prozessorientiert ITIL berücksichtigt aber auch in allen Prozessen funktionale und organisatorische Strukturen sowie kosten- und benutzerorientierte Aspekte
MehrMaintenance & Re-Zertifizierung
Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0
MehrHerzlich Willkommen zur Veranstaltung. Audit-Cocktail. DGQ-Regionalkreis Karlsruhe 07.04.2014. Klaus Dolch
Herzlich Willkommen zur Veranstaltung DGQ-Regionalkreis Karlsruhe 07.04.2014 Klaus Dolch Ausgangssituation: DIN EN 9001 und Ergänzungen An was erinnert dieses Bild? 1987 Erstausgabe 1994 2000 Großrevision
MehrMUSTER-IT-SICHERHEITSKONZEPTE DER EKD
KONFORMITÄTSBESTÄTIGUNG MUSTER-IT-SICHERHEITSKONZEPTE DER EKD Version 1.0 Datum: Mittwoch, 30.07.2014 Kunde: EVANGELISCHE KIRCHE IN DEUTSCHLAND (EKD) INHALTSVERZEICHNIS 1 ERGEBNISZUSAMMENFASSUNG 2 1.1
MehrIT-Sicherheitsmanagement bei der Landeshauptstadt München
IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung
MehrInformation zur Revision der ISO 9001. Sehr geehrte Damen und Herren,
Sehr geehrte Damen und Herren, mit diesem Dokument möchten wir Sie über die anstehende Revision der ISO 9001 und die sich auf die Zertifizierung ergebenden Auswirkungen informieren. Die folgenden Informationen
MehrPRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag
1 Zweck PRÜFMODUL D UND CD Diese Anweisung dient als Basis für unsere Kunden zur Information des Ablaufes der folgenden EG-Prüfung nach folgenden Prüfmodulen: D CD Es beschreibt die Aufgabe der benannten
MehrService Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL
Orientierung organisiertes IT Management in der BWI IT auf Basis ITIL 97. AFCEA-Fachveranstaltung Diensteorientierung aber mit Management Heiko Maneth, BWI IT Delivery, Leitung Prozessarchitektur und -management
MehrModul 3: Service Transition
Modul 3: Service Transition 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung
MehrBCM Schnellcheck. Referent Jürgen Vischer
BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz
MehrIT Service Management und IT Sicherheit
5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure
MehrGrundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert.
Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen im gesundheitlichen Verbraucherschutz 1 Vorwort Die in der Verordnung (EG) Nr. 882/2004 des Europäischen Parlaments und des Rates über amtliche
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrBSI Technische Richtlinie
BSI Technische Richtlinie Bezeichnung: Accountmanagement IT-Sicherheit Anwendungsbereich: De-Mail Kürzel: BSI TR 01201 Teil 2.3 Version: 1.2 Bundesamt für Sicherheit in der Informationstechnik Postfach
MehrITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.
ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more
Mehr4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management
1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT
MehrDok.-Nr.: Seite 1 von 6
Logo Apotheke Planung, Durchführung und Dokumentation von QM-Audits Standardarbeitsanweisung (SOP) Standort des Originals: Dok.-Nr.: Seite 1 von 6 Nummer der vorliegenden Verfaßt durch Freigabe durch Apothekenleitung
MehrIT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein
der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule
MehrSecurity. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.
Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch
MehrITIL, eine Einführung DECUS Symposium 2004 in Bonn (1B09)
ITIL, eine Einführung DECUS Symposium 2004 in Bonn (1B09) Rolf-Dieter Härter Keyldo GmbH Leinfelden-Echterdingen Keyldo GmbH 1 Keyldo GmbH» Im Januar 2003 in Stuttgart gegründet» Dienstleistungen für die
MehrITIL und Entwicklungsmodelle: Die zwei Kulturen
Kombination von IT Service Management (ITIL) und Anwendungsentwicklung Kai Witte und Matthias Kaulke, München, den 30.03.2006 Rahmeninformationen Wo sind wir? Unternehmensdarstellung (1) Unabhängiges Beratungsunternehmen
MehrMedizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong
Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten
MehrIT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage
IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz
MehrIT-Grundschutz nach BSI 100-1/-4
IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management
MehrFORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein
MehrResilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting
Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting
MehrQualitätsmanagement-Handbuch 4.0.0.0 Das QM-System 4.1.0.0 Struktur des QM-Systems
s Seite 1 von 5 In diesem Kapitel wird die Struktur des in der Fachstelle eingeführten Qualitätsmanagementsystems (QMS) nach DIN EN ISO 9001:2008 beschrieben, sowie die Vorgehensweise zu seiner Anwendung,
MehrIT-Governance und COBIT. DI Eberhard Binder
IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?
MehrRISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de
RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT
MehrManagementbewertung Managementbewertung
Managementbewertung Grundlagen für die Erarbeitung eines Verfahrens nach DIN EN ISO 9001:2000 Inhalte des Workshops 1. Die Anforderungen der ISO 9001:2000 und ihre Interpretation 2. Die Umsetzung der Normanforderungen
MehrBeispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)
Allgemeine Hinweise: Es wird von den Teilnehmern erwartet, dass ausreichende Kenntnisse vorhanden sind, um die Fragen 1.1 bis 1.10 unter Verwendung der EN 9100 und ISO 19011 innerhalb von 20 Minuten zu
MehrProzessoptimierung. und. Prozessmanagement
Prozessoptimierung und Prozessmanagement Prozessmanagement & Prozessoptimierung Die Prozesslandschaft eines Unternehmens orientiert sich genau wie die Aufbauorganisation an den vorhandenen Aufgaben. Mit
MehrStrategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014
Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,
MehrNutzen Sie das in Easy Turtle voll editierbare Modell der DIN EN ISO 9001:2008
Nutzen Sie das in Easy Turtle voll editierbare Modell der DIN EN ISO 9001:2008 Qualität ist keine Funktion Qualität ist ein Weg des Denkens. Qualität ist die Summe aller Tätigkeiten in einem Unternehmen.
MehrInformations- / IT-Sicherheit Standards
Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für
MehrISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.
ISO 9001:2015 REVISION Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.2015 in Kraft 1 Präsentationsinhalt Teil 1: Gründe und Ziele der Revision,
MehrNischendisziplin Configuration Management?
Nischendisziplin Configuration Management? Ergebnisse der itsmf-marktstudie Hans-Peter Fröschle itsmf Deutschland e.v. hans-peter.froeschle@itsmf.de 1 Gliederung 1. Definitionen und Stellenwert Configuration
MehrITSM Executive Studie 2007
ITSM Executive Studie 2007 Ergebnisse der Befragung in Österreich und Deutschland Patrick Schnebel Geschäftsführer Niederlassung Wien Telefon: +43 6410820-0 E-Mail: Patrick.Schnebel@materna.de Ines Gebel
MehrRollenspezifische Verhaltenstrainings
Rollenspezifische Verhaltenstrainings ITIL V3 EXPERT ALL-IN-1 (SS, SD, ST, SO, CSI, MALC) In nur 10 Arbeitstagen zum ITIL V3 Expert Der ITIL V3 Expert All-in-1 ist ideal für Manager, die schnell eine umfassende
MehrInformationssicherheit in handlichen Päckchen ISIS12
Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin
MehrISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand
ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)
MehrErfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank
Turning visions into business Oktober 2010 Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank David Croome Warum Assessments? Ein strategisches Ziel des IT-Bereichs der Großbank
MehrWir organisieren Ihre Sicherheit
Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Unternehmen Die VICCON GmbH versteht sich seit 1999 als eigentümergeführtes und neutrales Unternehmen für Management- und Sicherheitsberatung.
MehrUmfrage Mitarbeiterkapazitäten für das BCM 2010 der bcm news Mai 2010 Ergebnisse der bcm news Umfrage Mitarbeiterkapazitäten für das BCM 2010
Ergebnisse der bcm news Umfrage Mitarbeiterkapazitäten für das BCM 2010 1. Management Summary Im März/April 2010 führte bcm news eine Online Umfrage zur Mitarbeiterkapazität für das BCM durch. Spiegelt
Mehr.. für Ihre Business-Lösung
.. für Ihre Business-Lösung Ist Ihre Informatik fit für die Zukunft? Flexibilität Das wirtschaftliche Umfeld ist stärker den je im Umbruch (z.b. Stichwort: Globalisierung). Daraus resultierenden Anforderungen,
MehrSchon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge
Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen
MehrQualitätsmanagement-Handbuch. 1.7 Projektmanagement
Seite 1 von 5 Erstellt: Geprüft: Freigegeben: Dr. Christine Reimann Datum: Datum: Datum: Inhaltsverzeichnis Nr. Element-Abschnitt Seite 1 Ziel und Zweck 2 2 Geltungsbereich / Verantwortung 2 3 Vorgehen
MehrA u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n
Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...
MehrSLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht -
SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht - Christina Dreller Christina.Dreller@stuttgarter-volksbank.de Übersicht I. Theoretische Grundlagen II. ITIL bei der Stuttgarter Volksbank
MehrRealisierung der Anbindung an den Handelsplatz Koeln.de Leitfaden zur Projektplanung bei Lieferanten
Handelsplatz Köln.de Leitfaden zur Projektplanung bei en Realisierung der Anbindung an den Handelsplatz Koeln.de Leitfaden zur Projektplanung bei en Autor: Christoph Winkelhage Status: Version 1.0 Datum:
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der
MehrKriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.
Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen
MehrDelta Audit - Fragenkatalog ISO 9001:2014 DIS
QUMedia GbR Eisenbahnstraße 41 79098 Freiburg Tel. 07 61 / 29286-50 Fax 07 61 / 29286-77 E-mail info@qumedia.de www.qumedia.de Delta Audit - Fragenkatalog ISO 9001:2014 DIS Zur Handhabung des Audit - Fragenkatalogs
MehrPensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione
Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes
MehrISMS Teil 3 Der Startschuss
ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS
MehrBCM Business Continuity Management
BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.
MehrDie Umsetzung von IT-Sicherheit in KMU
Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche
MehrModul 3: Service Transition Teil 2
Modul 3: Service Transition Teil 2 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung
MehrBSI Technische Richtlinie
Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:
MehrService Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13
Service Transition Martin Beims WKV SS13 Karsten Nolte Inhalt Einführung & Ziele Transition Planning & Support Change Management Service Asset & Configuration Management Release & Deployment Management
MehrBusiness Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess
Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz
Mehr