Studie zu ISO-Normungsaktivitäten ISO/BPM. Anforderungen an Information Security Management Systeme

Größe: px
Ab Seite anzeigen:

Download "Studie zu ISO-Normungsaktivitäten ISO/BPM. Anforderungen an Information Security Management Systeme"

Transkript

1 Studie zu ISO-Normungsaktivitäten ISO/BPM Anforderungen an Information Security Management Systeme

2 Für die Mitarbeit an der Studie dankt das Bundesamt für Sicherheit in der Informationstechnik Dr. Alfred Scheerhorn und Jens Nedon von der ConSecur GmbH. Bundesamt für Sicherheit in der Informationstechnik Referat I 1.4 Systemsicherheit, IT-Grundschutz Postfach Bonn Tel.: +49 (0) gshb@bsi.bund.de Internet: Bundesamt für Sicherheit in der Informationstechnik

3 Inhaltsverzeichnis 1 Ausgangssituation Management Summary Ziel und Inhalt der Studie Grundlegende Dokumente Ergebnisse der Studie Anforderungen an Information Security Management Systeme Aufbau der Studie Basismodell und Kernelemente eines ISMS Definition eines ISMS Informationssicherheitsprozess Übergeordnete Elemente des Managementsystems Zusammenfassung der Kernelemente und Anforderungen an das ISMS Übersicht über bestehende ISMS-Ansätze BSI IT-Grundschutzhandbuch (GSHB) BS (Information security management systems Specification with guidance for use) ISO/IEC-Technical Report TR MICTS (früher: GMITS) Information Technology Infrastructure Library (ITIL) Cobit ISO TC Vergleich bestehender ISMS-Ansätze IT-Sicherheitsmanagement im IT-Grundschutzhandbuch BS MICTS (früher: GMITS) ITIL Security Management Cobit TC

4 3.5 Zusammenfassung der Vergleichsergebnisse IT-Grundschutzhandbuch BS TR (GMITS, MICTS) ITIL Security Management Cobit TC Auditierung und Zertifizierung von ISMS Anhang Glossar und Abkürzungen Referenzen

5 1 Ausgangssituation Das BSI beteiligt sich an den laufenden ISO-Normungsaktivitäten im Bereich IT-Sicherheitsmanagement. In den entsprechenden Arbeitsgruppen der ISO (International Standards Organization), in der Working Group WG 1 im Subcommittee SC 27, sind in den vergangenen Jahren hierzu zwei wesentliche Ansätze diskutiert worden: der von der britischen Standardisierungsbehörde herausgegebene nationale Standard BS 7799 (bestehend aus den Teilen BS und BS ) der von anderen europäischen Ländern gemeinsam erarbeitete ISO/IEC Technical Report TR (GMITS, Guidelines for Management of IT-Security). Parallel dazu gibt es in den europäischen Ländern nationale Empfehlungen und Ausarbeitungen zum IT- Sicherheitsmanagement, u. a. in einem entsprechenden Baustein des vom BSI herausgegebenen IT- Grundschutzhandbuchs (GSHB). Von den ISO-Gremien wurde Teil 1 des britischen Standards (BS ) im Jahr 2000 offiziell als nunmehr maßgeblicher ISO/IEC-Standard IS verabschiedet. Der Technical Report TR hat weiterhin Bestand und befindet sich ebenfalls in der Normungsdiskussion. Betrachtet man die in Abbildung 1 dargestellten drei relevanten Ebenen der IT-Sicherheit: Sicherheitsmanagement, Organisation/Umsetzung und Maßnahmen, und vergleicht die drei Vorgehensmodelle, so wird deutlich, dass jedes Modell einen individuellen Schwerpunkt beschreibt, wobei partielle Überschneidungen zu den anderen Modellen deutlich werden. Abbildung 1: Darstellung der drei Vorgehensmodelle IS 17799, TR und GSHB. Das BSI möchte seine bisherigen Aktivitäten und Interessen bzgl. des IT-Grundschutzhandbuchs (GSHB) in geeigneter Form in die Diskussion um IS sowie um TR einbringen. Da derzeit sowohl der IS als auch der TR innerhalb der Gremien überarbeitet werden, sollen mit der vorliegenden Studie die relevanten Aspekte aufgearbeitet werden und die Positionierung des IT-Grundschutzhandbuchs gegenüber des IS sowie des TR in diesen Gremien geeignet untermauert werden. Gleichzeitig möchte das BSI die Zertifizierung nach dem GSHB national und international fördern. Das BSI hat gemeinsam mit Interessenten aus der Wirtschaft ein Zertifizierungsschema für den IT- Grundschutz entwickelt. Voraussetzung für die Vergabe eines IT-Grundschutz-Zertifikats ist eine Überprüfung, ob die hierfür festgelegten Anforderungen erfüllt werden. International hat die Zertifizierung nach der britischen Norm BS aufgrund der Standardisierung des BS (identisch mit IS 17799) sehr starke Nachfrage erhalten. Daher ist es erforderlich, so schnell wie möglich die Grundlagen für eine erfolgreiche Einführung und Verbreitung des IT-Grundschutz-Zertifikats zu schaffen. 5

6 2 Management Summary 2.1 Ziel und Inhalt der Studie In dieser Studie wird analysiert, durch welche Kernprozesse und Kernelemente ein Information Security Management System (ISMS) gekennzeichnet ist. Ziel der Studie ist es, ein generisches Basismodell eines ISMS zu erhalten, anhand dessen dann bestehende ISMS verglichen und eingeordnet werden können. 2.2 Grundlegende Dokumente Für die Studie wurden insbesondere die folgenden Dokumente und Standards ausgewertet (vgl. Kapitel 4.2): BSI IT-Grundschutzhandbuch, Kapitel IT-Sicherheitsmanagement zusammen mit den dort referenzierten IT-Grundschutz-Maßnahmen BS :2002 Information security management systems - Specification with guidance for use ISO/IEC TR Information technology - Security Techniques - Management of information and communications technology security IT Infrastructure Library - ITIL Security Management Cobit (Control objectives for information and related technology) ISO/IEC TC 68 Banking and other financial services, TR Information security guidelines 2.3 Ergebnisse der Studie Bei der Entwicklung einer generischen Definition eines ISMS wurde von einem Informationssicherheits- Prozess ausgegangen, der basierend auf den Unternehmenszielen die Entwicklung und Umsetzung einer dazu angemessenen Informationssicherheit sowie deren Bewertung und Aufrechterhaltung umfasst. Ziel des Informationssicherheitsmanagements ist es, diesen Informationssicherheits-Prozess und damit die für das jeweilige Unternehmen angemessene Informationssicherheit zu etablieren und aufrecht zu erhalten. Im Gegensatz zum Informationssicherheitsprozess ist ein ISMS jedoch insbesondere durch den systemischen Ansatz des Managementsystems gekennzeichnet, so dass folgende generische Definition entwickelt wurde: Definition eines ISMS Das Information Security Management System (ISMS) ist jener Teil des übergreifenden Managementsystems, der die Organisationsstruktur, Regelungen, Abläufe sowie Ressourcen zur Entwicklung, Umsetzung, Bewertung und Aufrechterhaltung der Information Security Policy beinhaltet und dokumentiert. 6

7 Externe Einflüsse Unternehmensziele Entwicklung/Umsetzung angemessener Informationssicherheit Bewertung und Aufrechterhaltung angemessener Informationssicherheit IS-Prozess Interne Rahmenbedingungen Angemessene Informationssicherheit Teilprozess des Informationssicherheitsprozesses Aus der Definition des ISMS wurden Kernelemente eines ISMS sowie insgesamt 25 Anforderungen abgeleitet, an denen folgende ISMS-Beschreibungen und Management-Standards verglichen wurden: BSI IT-Grundschutzhandbuch, BS , TR (MICTS, früher: GMITS), IT Infrastructure Library - ITIL Security Management, Cobit (Control objectives for information and related technology) sowie ISO/IEC TC 68 Banking and other financial services. Vergleichsergebnisse Als Ergebnis des Vergleichs konnte festgestellt werden, dass bei den meisten der betrachteten Standards eine hohe bis sehr hohe Abdeckung der generisch entwickelten Anforderungen an ein ISMS besteht, wobei deutliche Unterschiede festzustellen sind hinsichtlich der Fokussierung bestimmter Anforderungen durch die einzelnen Standards. Die höchste Überdeckung weisen BS , das BSI IT-Grundschutzhandbuch und Cobit auf, wobei der Fokus von Cobit eindeutig auf der Bewertung der Informationssicherheit und des Managementsystems selbst liegt. Stärken von ITIL in Bezug auf das zugrundeliegende ISMS-Modell liegen bei der Betrachtung des Managementsystems insbesondere in der durch den SLA-Gedanken (Service-Level Agreements) hervorgerufenen Betrachtung der Ressourcen, dagegen werden technische Aspekte vernachlässigt. Das IT-Grundschutzhandbuch geht im Vergleich zum generischen ISMS-Modell sehr detailliert auf technische und organisatorische Aspekte ein, wobei insbesondere hinsichtlich des Prozessgedankens, d.h. der dauerhaften Etablierung von Abläufen Schwächen identifiziert wurden. Die Schwächen resultieren hauptsächlich daraus, dass aus dem hier betrachteten Kapitel "IT-Sicherheitsmanagement" nicht immer auf andere Kapitel, die die entsprechenden Inhalte enthalten, referenziert wird. Der Fokus von GMITS liegt eher in der Beschreibung des Informationssicherheits-Prozesses auf Ebene des Sicherheitsmanagement, Schwächen liegen hier vor allem in einer fehlenden Beschreibung der übergeordneten Prozesse des Managementsystems und der Betrachtung und Steuerung der notwendigen Ressourcen. Die Ergebnisse des Vergleichs der genannten Standards mit dem generischen Prozessmodell eines ISMS sind in der Studie detailliert beschrieben. Den Abschluss der Studie bilden grundsätzliche Überlegungen für eine Auditierung und Zertifizierung des Managementsystems selbst. 7

8 3 Anforderungen an Information Security Management Systeme 3.1 Aufbau der Studie In dieser Studie wird aufbauend auf der Zielsetzung der Schaffung und Aufrechterhaltung angemessener Informationssicherheit ein Basismodell für Information Security Management Systeme (ISMS) entworfen (Abschnitt 3.2). Dabei wird analysiert, welche Kernelemente ein ISMS aufweisen soll. Auf Grundlage der identifizierten ISMS-Kernelemente werden bestehende ISMS-Ansätze verglichen. Das heißt, es wird geprüft, ob und in wie weit die betrachteten ISMS die Kernelemente beinhalten und wie diese im konkreten ISMS ausgeprägt sind. Auch wird untersucht, welche Möglichkeiten einer Auditierung und Zertifizierung für ISMS bestehen. Als zu untersuchende ISMS stehen die bereits in den vorhergehenden Kapiteln untersuchten Ansätze im Vordergrund: BSI IT-Grundschutzhandbuch, Kapitel IT-Sicherheitsmanagement zusammen mit den dort referenzierten IT-Grundschutz-Maßnahmen. BS :2002 Information security management systems - Specification with guidance for use. ISO/IEC TR Information technology - Security Techniques - Management of information and communications technology security Daneben gibt es eine Reihe allgemeiner IT-Management-Standards, die als übergreifende Standards auch den Bereich des Informationssicherheits-Management mit abdecken sollten. In diesem Bereich werden die folgenden Ansätze betrachtet: IT Infrastructure Library - ITIL Security Management Cobit (Control objectives for information and related technology) Des Weiteren gibt es verschiedene branchenspezifische Ansätze für das Informationssicherheits- Management. Dieser Bereich wird lediglich beispielhaft mit berücksichtigt. Ausgewählt für die Betrachtung wurde ISO/IEC TC 68 Banking and other financial services, TR Information security guidelines. Die genannten Ansätze werden zunächst kurz beschrieben (Abschnitt 3.3). Danach wird für jeden der Ansätze ermittelt, ob und in wie weit die ISMS-Kernelemente des Basismodells im jeweiligen Ansatz enthalten sind (Abschnitt 3.4). Abschließend werden die Vergleichsergebnisse zusammengefasst (Abschnitt 3.5). Den Abschluss bildet eine Untersuchung, wie ein ISMS auditiert werden kann und welche Möglichkeiten für eine Zertifizierung bestehender ISMS bestehen (Abschnitt 3.6). 3.2 Basismodell und Kernelemente eines ISMS Für die Untersuchung von ISMS wird von der folgenden Zielsetzung des Einsatzes von ISMS als Basishypothese ausgegangen: 8

9 Zielsetzung ISMS Zielsetzung des Einsatzes eines Information Security Management Systems ist es, innerhalb eines gegebenen Organisationsbereichs eine angemessene Informationssicherheit zu schaffen und aufrecht zu erhalten. Beispiele für Organisationsbereiche sind dabei ein Unternehmen, eine Behörde, eine Unternehmensgruppe (Konzern) oder ein spezieller Bereich im Unternehmen. Es ist ein Niveau von Informationssicherheit anzustreben, dass den Zielen des jeweiligen Organisationsbereichs gerecht wird (angemessene Informationssicherheit). Auf der Basis dieser Zielsetzung werden im folgenden die Kernelemente hergeleitet, die ein ISMS notwendigerweise enthalten soll sowie Anforderungen an ein ISMS Definition eines ISMS Bei der Definition eines Information Security Management Systems sind zum einen die Kernprozesse zu berücksichtigen, die zur Schaffung und Aufrechterhaltung der Informationssicherheit führen, zum anderen diejenigen Randbedingungen und Elemente innerhalb der Organisation, die den ISM-Prozess initiieren und steuern. Um eine systemische, ganzheitliche Betrachtung eines ISMS bei gleichzeitiger Abgrenzung zu einzelnen Teilaspekten, z. B. relevanten Prozessen, zu ermöglichen, wird bei der weiteren Betrachtung von der folgenden generischen Definition eines ISMS ausgegangen. Die generische Definition eines Information Security Management-Systems wurde dabei aus der Definition eines Umwelt-Managementsystems abgeleitet: Definition ISMS Das Information Security Management System ist jener Teil des übergreifenden Managementsystems, der die Organisationsstruktur, Regelungen, Abläufe sowie Ressourcen zur Entwicklung, Umsetzung, Bewertung und Aufrechterhaltung der Information Security Policy beinhaltet und dokumentiert. Der Begriff der Information Security Policy wird in der vorliegenden Studie analog dem deutschsprachigen Begriff der Informations-Sicherheitsleitlinie verwendet. Aus dieser Definition heraus lassen sich die Kernelemente eines ISMS ableiten: Übergreifende Elemente des Managementsystems: Organisationsstruktur und Zuständigkeiten, Regelungen und Anweisungen, Abläufe (Prozesse), Ressourcen. Darüber hinaus ist ein für das ISMS wesentlicher Organisationsprozess der Informationssicherheitsprozess, bestehend aus den Teilprozessen: Entwicklung von Informationssicherheit, Umsetzung von Informationssicherheit, Bewertung von Informationssicherheit, Aufrechterhaltung von Informationssicherheit. Ziel eines Information Security Management Systems ist es also, diesen Informationssicherheitsprozess zu initiieren, zu steuern, zu verbessern und dieses zu dokumentieren (siehe Abbildung 2). 9

10 Informationssicherheits-Management-System System-Ebene Informationssicherheits-Management Prozess-Ebene Abbildung 2: ISM vs. ISMS Informationssicherheitsprozess Einflussgrößen für die Zielsetzung der Schaffung und Aufrechterhaltung einer angemessenen Informationssicherheit sind die Unternehmensziele, an denen letztlich die Angemessenheit zu bewerten ist, interne Rahmenbedingungen, wie IT-Infrastruktur, IT-Anwendungen, Budget, Personal, etc. und externe Einflüsse, wie gesetzliche Rahmenbedingungen, Umwelteinflüsse, etc. Der hieraus resultierende Informationssicherheits-Prozess ist in der nachstehenden Abbildung dargestellt. Externe Einflüsse Unternehmens - ziele IS-Prozess Angemessene Informations - sicherheit Interne Rahmenbedingungen Abbildung 3: Informationssicherheitsprozess Hinsichtlich der Zielsetzung, angemessene Informationssicherheit zu schaffen und aufrecht zu erhalten, kann der Informationssicherheitsprozess in folgende Teilprozesse gegliedert werden: 1. Prozess zur Entwicklung und Umsetzung angemessener Informationssicherheit Auf der Basis eines gegebenen Ist-Zustands ist unter Berücksichtigung der Unternehmensziele ein angemessenes Niveau an Informationssicherheit festzulegen und zu schaffen. 2. Prozess zur Bewertung und Aufrechterhaltung angemessener Informationssicherheit Das erreichte Niveau einer angemessenen Informationssicherheit ist aufrecht zu erhalten. Hierzu ist es zum Einen erforderlich, Abweichungen vom einmal erreichten Zustand angemessener Informationssicherheit zu erkennen. Zum anderen sind die erkannten Abweichungen zu korrigieren, um den Zustand der angemessenen Informationssicherheit wieder herzustellen. Dieser 10

11 Korrekturschritt wird als Rückkopplung in den Prozess der Entwicklung und Umsetzung angemessener Informationssicherheit betrachtet. In der nachstehenden Abbildung ist der Informationssicherheitsprozess entsprechend detaillierter dargestellt. Externe Einflüsse Unternehmensziele Entwicklung/Umsetzung angemessener Informationssicherheit Bewertung und Aufrechterhaltung angemessener Informationssicherheit IS-Prozess Interne Rahmenbedingungen Angemessene Informationssicherheit Abbildung 4: Teilprozesse des Informationssicherheitsprozesses Teilprozess: Entwicklung und Umsetzung angemessener Informationssicherheit Hinsichtlich der Ableitung angemessener Informationssicherheit aus den Unternehmenszielen ergeben sich direkt die folgenden Fragestellungen: - Welche Anforderungen bzw. Ziele an die Sicherheit von Informationen und die IT ergeben sich aus den Unternehmenszielen? - Welche Güter sind bezogen auf die Ziele schützenswert? - Welche (Rest-)Risiken stehen diesen Anforderungen gegenüber? - Welches Sicherheitsniveau ist geeignet, um den gegebenen Risiken entgegenzuwirken, die Anforderungen zu erfüllen bzw. die Ziele zu erreichen? Als Anforderung an ein ISMS lässt sich hieraus ableiten, dass als ein wesentliches Kernelement der Teilprozess zur Schaffung angemessener Informationssicherheit enthalten sein muss, wobei die folgenden Aktivitäten abzudecken sind: Planung von Informationssicherheit - Entwicklung/Aufrechterhaltung der Information Security Policy Erarbeitung und Bearbeitung der Information Security Policy zur Dokumentation der Anforderungen bzw. Ziele hinsichtlich der Informationssicherheit in Bezug auf die Unternehmensziele. - Planung von Sicherheitsmaßnahmen Ableitung geeigneter Sicherheitsmaßnahmen (SM) unter Berücksichtigung gegebenen Risiken, Kosten-Nutzen-Aspekten und bereits realisierter Sicherheitsmaßnahmen sowie Analyse der verbleibenden Restrisiken. 11

12 Realisierung von Informationssicherheit - Umsetzung der Sicherheitsmaßnahmen Umsetzung und Abnahme der geplanten Sicherheitsmaßnahmen in einem definierten Zeitrahmen und mit den entsprechenden Prioritäten. - Bewertung der Information Security Policy Die nachstehende Abbildung zeigt den Teilprozess der Entwicklung und Umsetzung angemessener Informationssicherheit und die genannten Teilprozesse. Externe Einflüsse Unternehmens - ziele Planung von Informationssicherheit Realisierung von Informationssicherheit Angemessene Informations - sicherheit Interne Rahmenbedingungen Abbildung 5: Teilprozess Entwicklung und Umsetzung angemessener Informationssicherheit Teilprozess: Bewertung und Aufrechterhaltung angemessener Informationssicherheit Vergleichbar mit einem Regelkreis hat das ISMS dafür zu sorgen, dass Abweichungen vom Zustand angemessener Informationssicherheit erkannt werden und eine entsprechende Korrektur erfolgt. Im positiven Fall kann das Vorliegen einer nicht angemessenen Informationssicherheit erkannt werden, bevor diese konkrete Auswirkungen (z. B. in Form von Schäden) nach sich zieht. Im negativen Fall wird eine unangemessene IS erst anhand ihrer Auswirkungen erkannt. Um diese zeitnah zu erkennen und geeignet zu reagieren ist ein Mechanismus zur Erkennung und Behandlung von Sicherheitsvorfällen - nachfolgend unter dem Begriff Incident Handling zusammengefasst unerlässlich. Die Erkennung von Abweichungen anhand ihrer Auswirkungen reicht jedoch nicht aus. Es sind weitere Erkennungsmechanismen vorzusehen, um bereits den Ursachen für eine nicht angemessene IS entgegen zu wirken. Um diese zu ermitteln, wird zunächst betrachtet, weshalb umgesetzte Sicherheitsmaßnahmen nicht oder nicht mehr angemessene IS bieten. Gründe hierfür können sein: Die Unternehmensziele ändern sich. Externe Einflüsse ändern sich, z. B. weil neue Viren aufgetreten sind, neue Schwachstellen in Produkten bekannt geworden sind, Designfehler (unsichere Protokolle, gebrochene Kryptoalgorithmen, etc.) bekannt geworden sind, gesetzliche Rahmenbedingungen sich geändert haben. Interne Rahmenbedingungen ändern sich, z. B. weil ein IT-Dienstleister gewechselt wurde, ein Web-Server mit statischen Seiten durch ebusiness- Applikationen ersetzt wurde, neue IT-Systeme, Anwendungen oder Netze eingeführt wurden. 12

13 In einem der Arbeitsschritte zur Schaffung angemessener Informationssicherheit sind Fehler aufgetreten, z. B. weil. - die Abhängigkeit von Geschäftsprozessen und Informationssicherheit nicht korrekt erkannt wurde. - der Schutzbedarf von Informationen oder IT-Systemen fehlerhaft eingestuft wurde. - Risiken, Bedrohungen oder Schwachstellen fehlerhaft bewertet wurden. - Maßnahmen mangelhaft umgesetzt wurden. Sowohl Änderungen der Parameter als auch Fehler können dabei zu folgenden Auswirkungen führen: Der Informationssicherheitsbedarf des Unternehmens wurde nur unzureichend erkannt bzw. trifft nicht länger zu (unangemessene Policy). Die geplanten Sicherheitsmaßnahmen entsprechen nicht dem in der Policy formulierten Sicherheitsbedarf (z. B. weil Risiken falsch bewertet wurden). Die Sicherheitsmaßnahmen wurden nicht wie geplant realisiert oder werden nicht wie geplant betrieben. Um den Ursachen nicht angemessener Informationssicherheit entgegen zu wirken, ist daher einerseits bei der Änderung von Parametern zu prüfen, ob sich Auswirkungen auf die Informationssicherheit ergeben. Andererseits ist die Aktualität und Korrektheit der Ergebnisse der Arbeitsschritte zur Schaffung angemessener Informationssicherheit regelmäßig zu prüfen. Zu beachten ist, dass trotz dieser drei Mechanismen zur Aufrechterhaltung angemessener Informationssicherheit eine Erkennung und Behandlung von Sicherheitsvorfällen erforderlich bleibt. Dies liegt insbesondere darin begründet, dass die Arbeits- bzw. Korrekturschritte grundsätzlich fehlerbehaftet sein können. Als Anforderung an ein ISMS lässt sich hieraus ableiten, dass als ein wesentliches Kernelement der Teilprozess zur Aufrechterhaltung angemessener Informationssicherheit enthalten sein muss, wobei die folgenden Aktivitäten abzudecken sind: Erkennung von Abweichungen - Prüfung der Aktualität der Information Security Policy Sowohl regelmäßig als auch bei der Änderung von Unternehmenszielen ist die Information Security Policy auf Aktualität zu prüfen und bei Bedarf zu aktualisieren. Im Falle einer Anpassung der Policy ist auch die Angemessenheit bisher geplanter Sicherheitsmaßnahmen zu kontrollieren. Änderungen in der Planung sind in der Realisierung und im Betrieb von Sicherheitsmaßnahmen zu berücksichtigen. - Prüfung der Angemessenheit geplanter Sicherheitsmaßnahmen Regelmäßig, vor allem aber bei Änderung externer Einflüsse und interner Rahmenbedingungen ist die Planung von Sicherheitsmaßnahmen (inkl. Risiko-Assessment) auf Eignung bezogen auf die Policy zu prüfen und bei Bedarf anzupassen. Änderungen in der Planung sind in der Realisierung und im Betrieb von Sicherheitsmaßnahmen zu berücksichtigen. Die Prüfung der Eignung geplanter Sicherheitsmaßnahmen sollte die Prüfung der Wirksamkeit von Maßnahmen beinhalten (z. B. Penetrationstest). 13

14 - Revision von Sicherheitsmaßnahmen Es ist regelmäßig zu prüfen, ob Sicherheitsmaßnahmen wie geplant umgesetzt und betrieben werden. Falls Abweichungen festgestellt werden, ist die Realisierung bzw. der Betrieb der Sicherheitsmaßnahmen entsprechend zu korrigieren. Reaktion auf Abweichungen - Reaktion auf Änderungsbedarf Wenn sich aufgrund der Revision oder Prüfung der Angemessenheit von SM Änderungsbedarf ergibt, so ist dieser entsprechend umzusetzen. - Incident Handling Zusätzlich zu den genannten Mechanismen sollte das ISMS die Erkennung und Behandlung von Sicherheitsvorfällen beinhalten und definieren. Die nachstehende Abbildung zeigt den Teilprozess der Aufrechterhaltung angemessener Informationssicherheit und die genannten Teilprozesse. Externe Einflüsse Unternehmens - ziele Reaktion auf Abweichungen Erkennung von Abweichungen Angemessene Informations - sicherheit Interne Rahmenbedingungen Abbildung 6: Teilprozess Aufrechterhaltung angemessener Informationssicherheit Übergeordnete Elemente des Managementsystems Ein übergeordnetes Managementsystem hat dafür Sorge zu tragen, dass die relevanten Prozesse der Schaffung und Aufrechterhaltung angemessener Informationssicherheit etabliert werden, und durch angemessene Kontroll- und Steuerungsfunktionen sicherzustellen, dass die Prozesse wie gewünscht funktionieren und miteinander koordiniert sind. Ausgehend von der Definition des ISMS werden die Kernelemente eines ISMS wie folgt identifiziert: 14 Organisationsstruktur und Zuständigkeiten Um die Prozesse zu realisieren, bedarf es einer geeigneten Organisationsstruktur. Verantwortungsbereiche sind festzulegen, Rollen zu definieren, den Mitarbeitern sind Aufgaben, Funktionen, Verantwortlichkeiten und Weisungsbefugnisse zuzuweisen. Abläufe (Prozesse) Zur Etablierung und Aufrechterhaltung der relevanten Prozesse sind Verfahren und Abläufe zu definieren und in die relevanten Geschäftsprozesse des Unternehmens zu integrieren. Dies betrifft insbesondere die IT-Prozesse, wie z. B. die Inbetriebnahme neuer IT-Systeme oder Software oder die Software- und Anwendungsentwicklung. Um bei Bedarf entsprechend steuernd einzugreifen, ist es notwendig, erkennen zu können, ob die Teilprozesse zur Schaffung und Aufrechterhaltung

15 angemessener Informationssicherheit wie beschrieben funktionieren. Hierzu bedarf es Kontrollfunktionen und eines gewissen Grads der Nachvollziehbarkeit von Teilprozessen. Um die Funktionsfähigkeit und Vertrauenswürdigkeit dieser Teilprozesse darüber hinaus auch Dritten darzulegen, ist bei Bedarf einer weitergehenden Nachvollziehbarkeit Rechnung zu tragen. Der Informationsfluss innerhalb der Teilprozesse und zwischen den verschiedenen Teilprozessen ist sicherzustellen. Hierzu sollte das ISMS klare Schnittstellen zwischen den Prozessen definieren. Zusätzlich ist die Dokumentation von Sicherheitsvorfällen und ihrer Auswirkungen sinnvoll. Diese bilden eine Erfahrungsbasis für Vorgehensweisen und zur Abschätzung, ob die Einrichtung weiterer, spezifische Sicherheitsmaßnahmen sinnvoll ist oder in wie weit die Risikobewertung zutreffend war. Regelungen und Anweisungen Das ISMS sollte sicherstellen, dass alle Funktionen und Tätigkeiten, die sich auf die Informationssicherheit auswirken können und für die Unternehmensziele relevant sind, der Planung und Kontrolle durch das ISMS unterliegen. Neben betriebsinternen Regelungen sind darüber hinaus die geltenden gesetzlichen Regelungen zu ermitteln und deren Einhaltung zu dokumentieren. Ressourcen Dem ISMS müssen die zu seiner Etablierung und Erhaltung notwendigen materiellen und immateriellen Ressourcen zur Verfügung gestellt werden, vor allem aber das erforderliche Personal Zusammenfassung der Kernelemente und Anforderungen an das ISMS In diesem Abschnitt werden die Kernelemente sowie die daraus abgeleiteten Anforderungen an das ISMS zusammengefasst wiedergegeben. Anhand der Kernelemente werden im folgenden Kapitel unterschiedliche Ansätze von ISMS verglichen. Nr. Anforderung Beschreibung IS-Prozess Teil 1: Planung von Informationssicherheit 1 IS Policy Die Ableitung von Anforderungen an die Informationssicherheit aus den Unternehmenszielen ist als Aktivität in einem ISMS vorzusehen. Anforderungen an die Informationssicherheit werden typischerweise in Form einer Information Security Policy dokumentiert. ISMS können sich darin unterscheiden, wie konkret sie Inhalte und Struktur einer Information Security Policy vorgeben. 2 Planung von Sicherheitsmaßnahmen Ein ISMS muss folgende Aktivitäten vorsehen: - Bewertung von Informationssicherheitsrisiken - Planung von Sicherheitsmaßnahmen unter Berücksichtigung der Ziele und der Risiken der Informationssicherheit - Analyse von Restrisiken - Berücksichtigung von Kosten-Nutzen-Aspekten ISMS können sich darin unterscheiden, wie konkret sie Vorgehensweisen für die Aktivitäten festlegen bzw. empfehlen. 15

16 IS-Prozess Teil 2: Realisierung von Informationssicherheit 3 Realisierung Ein ISMS hat als Aktivität die Realisierung von Sicherheitsmaßnahmen auf Basis eines Umsetzungsplans vorzusehen. Dabei sind insbesondere auch Schulungs- und Sensibilisierungsmaßnahmen zu berücksichtigen. 4 Betrieb Das ISMS muss als Aktivität den Betrieb der Sicherheitsmaßnahmen berücksichtigen IS-Prozess Teil 3: Erkennung von Abweichungen 5 Aktualität IS Policy 6 Angemessenheit der SM 7 Revision von SM Ein ISMS muss eine regelmäßige Kontrolle der Aktualität der Policy vorsehen sowie die Prüfung der Policy bei der Änderung von Unternehmenszielen. Ein ISMS muss eine regelmäßige Kontrolle des Sicherheitskonzepts vorsehen sowie dessen Prüfung bei der Änderung interner Rahmenbedingungen oder externer Einflussgrößen. Ein ISMS muss eine regelmäßige Kontrolle darüber vorsehen, ob Sicherheitsmaßnahmen wie geplant realisiert wurden und betrieben werden. IS-Prozess Teil 4: Reaktion auf Abweichungen 8 Änderungsmanagement 9 Incident Handling Organisationsstruktur und Zuständigkeiten 10 Festlegung einer Organisationsstruktur 11 Verantwortung und Befugnisse 12 Managementvertretung 13 Dokumentation der Organisationsstruktur Abläufe (Prozesse) 14 Festlegung der Abläufe Ein ISMS muss einen Prozess zur Reaktion auf erkannten Änderungsbedarf vorsehen. ISMS können sich darin unterscheiden, wie konkret dieser Prozess beschrieben ist. Ein ISMS muss einen Prozess zur Erkennung und Behandlung von Sicherheitsvorfällen vorsehen. ISMS können sich darin unterscheiden, wie konkret dieser Prozess beschrieben ist. Das ISMS muss eine Organisationsstruktur für das ISMS und dessen Integration in die Organisation beschreiben. Das ISMS muss eine Definition und Beschreibung von Rollen, den ihnen zugeordneten Aufgaben und Verantwortlichkeiten sowie der Beziehungen untereinander vorsehen. Das ISMS muss die Bestellung eines Managementvertreters mit Befugnissen und Verantwortung für die Anwendung und Aufrechterhaltung des Managementsystems vorsehen. Die Organisationsstruktur ist nachvollziehbar zu dokumentieren. Im Rahmen des ISMS müssen die relevanten Abläufe definiert werden. 16

17 15 Etablierung der Prozesse 16 Steuerung & Kontrolle 17 Informationsfluss 18 Erkennung von Abweichungen 19 Dokumentation der Abläufe Regelungen und Anweisungen 20 Regelungen und Anweisungen 21 Einhaltung gesetzlicher Regelungen Ressourcen 22 Personelle Ausstattung des ISMS 23 Sensibilisierung & Transparenz Das ISMS muss gewährleisten, dass die relevanten Prozesse (insbesondere der Informationssicherheitsprozess) etabliert und aufrechterhalten wird. Das ISMS muss die Steuerung und Kontrolle der relevanten Prozesse gewährleisten. Dies beinhaltet: - die Ermittlung und Dokumentation der für die Kontrolle notwendigen Informationen - die Spezifikation der anzuwendenden Kontrollverfahren und deren Dokumentation - die Spezifikation von Prüfkriterien für das ISM als auch das Kontrollsystem selbst Im Rahmen des ISMS werden Verfahren definiert für die Steuerung und Kontrolle sicherheitsrelevanter Funktionen, Tätigkeiten und Verfahren. Da sich die Teilprozesse - zumindest in größeren Unternehmen - über mehrere Mitarbeiter erstrecken, bedarf es eines geeigneten Informationsflusses, durch den sichergestellt wird, dass sämtliche beteiligten Mitarbeiter mit den für sie notwendigen und aktuellen Informationen versorgt sind. Das ISMS muss Verfahren zur Erkennung, Dokumentation und Reaktion auf Abweichungen von den im ISMS definierten Abläufen vorsehen. Die Nachvollziehbarkeit (bzw. Nachweisbarkeit) erfordert eine besondere Dokumentation, die so gestaltet ist, dass der komplette Ablauf einzelner Prozesse bzw. Aktivitäten nachvollzogen werden kann: Die im ISMS definierten Verfahren müssen auch die Dokumentation sicherheitsrelevanter Funktionen, Tätigkeiten und Verfahren beinhalten, in Form von - Arbeitsanweisungen für Interne - Arbeitsanweisungen für Externe, z. B. Dienstleister und Lieferanten. Im Rahmen des ISMS sollen Verfahren zur Erhebung und Dokumentation aller relevanten gesetzlichen Regelungen und Rechtsvorschriften, die Informationssicherheit betreffend, etabliert und fortgeschrieben werden. Die im ISMS definierten Rollen müssen qualifiziert personell besetzt werden. Das ISMS sollte hierzu entsprechende Regelungen enthalten. Das ISMS muss gewährleisten, dass sich alle Beschäftigten bewusst sind über - die Bedeutung der Einhaltung der Information Security Policy - ihre Rolle und Verantwortung bei der Einhaltung der Information Security Policy - die möglichen Auswirkungen ihrer Arbeit auf die Informationssicherheit in der Organisation - die möglichen Folgen bei Abweichung von den festgelegten Arbeitsabläufen. 17

18 24 Qualifikation & Schulung 25 Materielle Ausstattung des ISMS Das ISMS muss Verfahren zur Ermittlung von Qualifikationsbedarf und der Durchführung entsprechender Schulungsmaßnahmen vorsehen. Für die Etablierung und Erhaltung der Information Security Policy werden in der Regel notwendige Sicherheitsmaßnahmen identifiziert, die auch umgesetzt werden müssen, um ihre Wirkung zu entfalten. Bei der Etablierung des ISMS muss daher die Zuweisung entsprechender Mittel erfolgen. Zur Erhaltung des ISMS muss eine Anknüpfung an die internen Organisationsprozesse zur Mittelzuweisung sichergestellt werden. 18

19 3.3 Übersicht über bestehende ISMS-Ansätze In diesem Kapitel werden zunächst unterschiedliche ISMS-Ansätze kurz beschrieben: BSI IT-Grundschutzhandbuch, Kapitel IT-Sicherheitsmanagement BS (Information security management systems Specification with guidance for use) ISO/IEC-Technical Report TR Management of information and communications technology - MICTS (früher: GMITS) IT Infrastructure Library - ITIL Security Management Cobit (Control objectives for information and related technology) ISO/IEC TC 68 Banking and other financial services, TR Information security guidelines BSI IT-Grundschutzhandbuch (GSHB) Das IT-Grundschutzhandbuch wurde vom BSI entwickelt, um ohne aufwendige Risikoanalyse ein Sicherheitsniveau für IT-Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist. Das IT-Grundschutzhandbuch ist als Baukastensystem aufgebaut und empfiehlt für gängige IT-Systeme und IT-Anwendungen geeignete Standard-Sicherheitsmaßnahmen. Besondere Bedeutung kommt dabei "übergeordneten Aspekten" wie IT-Sicherheitsmanagement, Organisation des IT-Betriebs, Schulung und Sensibilisierung von Personal, Notfallvorsorge und -Reaktion oder Hard- und Softwaremanagement zu. Die Anwendung der meisten übergeordneten Bausteine ist dabei verpflichtend. Komponentenbasierte Bausteine (IT-Komponenten, Infrastruktur, Computer-Netzwerke) sind dagegen nur bei Vorhandensein entsprechender Komponenten anzuwenden. Der Aufbau der Bausteinkapitel gliedert sich immer in die drei Bereiche Kurzbeschreibung, Gefährdungslage und Maßnahmenempfehlungen. Das IT-Grundschutzhandbuch wurde in den vergangenen Jahren kontinuierlich weiterentwickelt und sukzessive um weitere Bausteine ergänzt, so dass sich derzeit eine Vielzahl von in der Praxis vorkommenden IT-Systemlandschaften durch Kombination von IT-Grundschutz-Bausteinen modellieren und absichern lassen. Der wichtigste Baustein des IT-Grundschutzhandbuchs beschreibt das IT-Sicherheitsmanagement. Das IT-Sicherheitsmanagement wird definiert als Planungs- und Lenkungsaufgabe zur sinnvollen Umsetzung und Erfolgskontrolle von IT-Sicherheitsmaßnahmen. Das Vorgehen hierzu ist in der Maßnahme M Etablierung des IT-Sicherheitsprozesses beschrieben. In dieser Maßnahme werden sämtliche der im Baustein IT-Sicherheitsmanagement empfohlenen Maßnahmen referenziert. Die einzelnen Schritte zur Etablierung des IT- Sicherheitsprozesses sind: 1. Erstellung einer IT-Sicherheitsleitlinie (detailliert in Maßnahme M beschrieben). 2. Auswahl und Etablierung einer geeigneten Organisationsstruktur für IT-Sicherheit (detailliert in Maßnahme M beschrieben). 3. Erstellung einer Übersicht über vorhandene IT-Systeme (detailliert in Maßnahme M beschrieben) 4. Festlegen der Vorgehensweise zur Erstellung eines IT-Sicherheitskonzepts (detailliert in Maßnahme M beschrieben) 19

20 5. Umsetzung der IT-Sicherheitsmaßnahmen (detailliert in Maßnahme M beschrieben) 6. IT-Sicherheit im laufenden Betrieb. Dies beinhaltet die Schulung (M 2.197) und Sensibilisierung (M 2.198) der Mitarbeiter. 7. Aufrechterhalten des sicheren Betriebs (detailliert in Maßnahme M beschrieben). Hier wird die Notwendigkeit beschrieben, bestehende IT-Sicherheitsmaßnahmen bei Erkenntnissen aus Sicherheitsvorfällen, Veränderungen im technisch-organisatorischen Umfeld sowie Änderungen von Sicherheitsanforderungen bzw. neuen Bedrohungen geeignet anzupassen. Die Erstellung von Managementreports (M 2.200) ist dabei als Grundlage für Entscheidungen der Leitungsebene erforderlich. Des Weiteren wird die Dokumentation des IT-Sicherheitsprozesses (M 2.201) verlangt, um dessen Kontinuität und Konsistenz sicherzustellen und Schwächen sowie Fehlentwicklungen zu erkennen BS (Information security management systems Specification with guidance for use) Das Dokument BS :2002 beschreibt ein Information security management system, dessen Bestandteile wie folgt dargestellt werden: Information security management system - General requirements - Establish and managing the ISMS - Documentation requirements Management responsibility - Management commitment - Resource management Management review of the ISMS - General - Review input - Review output - Internal ISMS audits ISMS improvement - Continual improvement - Corrective action - Preventive action Im Anhang des Dokuments werden weitere Informationen aufgelistet: Annex A (normative), Control objectives and controls Hier werden die Controls aus dem IS tabellarisch aufgelistet. Der internationale ISO- Standard IS ist gleichlautend mit dem Britischen Standard BS (Teil 1 des BS 7799). BS (Teil 2 des BS 7799) ist dagegen noch nicht standardisiert worden, ist jedoch derzeit Gegenstand der Diskussion innerhalb der zuständigen ISO-Standardisierungsgremien. 20

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08 Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer

Mehr

Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000

Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Dr. Martin Czaske Sitzung der DKD-FA HF & Optik, GS & NF am 11. bzw. 13. Mai 2004 Änderung der ISO/IEC 17025 Anpassung der ISO/IEC 17025 an ISO 9001:

Mehr

Der Blindflug in der IT - IT-Prozesse messen und steuern -

Der Blindflug in der IT - IT-Prozesse messen und steuern - Der Blindflug in der IT - IT-Prozesse messen und steuern - Ralf Buchsein KESS DV-Beratung GmbH Seite 1 Agenda Definition der IT Prozesse Ziel der Prozessmessung Definition von Prozesskennzahlen KPI und

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert

Mehr

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Modul 5: Service Transition Teil 1

Modul 5: Service Transition Teil 1 Modul 5: Service Transition Teil 1 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

Dieter Brunner ISO 27001 in der betrieblichen Praxis

Dieter Brunner ISO 27001 in der betrieblichen Praxis Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Umsetzungsplan - Stand 19.02.2013 Version 1.6 (10. IT-Planungsrat Beschluss

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Vorlesung Hochschule Esslingen IT-Winter School 2013

Vorlesung Hochschule Esslingen IT-Winter School 2013 Service - ITIL V3 Leitfaden für Vorlesung für Vorlesung Vorlesung Hochschule Esslingen IT-Winter School 2013 Einführung in die IT Infrastructure Library (ITIL) Agenda 1 Was ist ITIL? 2 Wieso ITIL, mit

Mehr

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Atos Worldline GmbH Hahnstraße 25 60528 Frankfurt/Main für das PIN Change-Verfahren Telefonbasierte Self Selected

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL) Zertifikatslehrgang IT Service Management (ITIL) IHK-Lehrgang IT Service Management (ITIL) Termin: 01.06.2012 bis 16.06.2012 IT12090 Ort: Industrie- und Handelskammer Erfurt Arnstädter Str. 34 99096 Erfurt

Mehr

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem

Mehr

7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert

7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert ITIL Merkmale ITIL ist konsequent und durchgängig prozessorientiert ITIL berücksichtigt aber auch in allen Prozessen funktionale und organisatorische Strukturen sowie kosten- und benutzerorientierte Aspekte

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Herzlich Willkommen zur Veranstaltung. Audit-Cocktail. DGQ-Regionalkreis Karlsruhe 07.04.2014. Klaus Dolch

Herzlich Willkommen zur Veranstaltung. Audit-Cocktail. DGQ-Regionalkreis Karlsruhe 07.04.2014. Klaus Dolch Herzlich Willkommen zur Veranstaltung DGQ-Regionalkreis Karlsruhe 07.04.2014 Klaus Dolch Ausgangssituation: DIN EN 9001 und Ergänzungen An was erinnert dieses Bild? 1987 Erstausgabe 1994 2000 Großrevision

Mehr

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD KONFORMITÄTSBESTÄTIGUNG MUSTER-IT-SICHERHEITSKONZEPTE DER EKD Version 1.0 Datum: Mittwoch, 30.07.2014 Kunde: EVANGELISCHE KIRCHE IN DEUTSCHLAND (EKD) INHALTSVERZEICHNIS 1 ERGEBNISZUSAMMENFASSUNG 2 1.1

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Information zur Revision der ISO 9001. Sehr geehrte Damen und Herren,

Information zur Revision der ISO 9001. Sehr geehrte Damen und Herren, Sehr geehrte Damen und Herren, mit diesem Dokument möchten wir Sie über die anstehende Revision der ISO 9001 und die sich auf die Zertifizierung ergebenden Auswirkungen informieren. Die folgenden Informationen

Mehr

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag 1 Zweck PRÜFMODUL D UND CD Diese Anweisung dient als Basis für unsere Kunden zur Information des Ablaufes der folgenden EG-Prüfung nach folgenden Prüfmodulen: D CD Es beschreibt die Aufgabe der benannten

Mehr

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL Orientierung organisiertes IT Management in der BWI IT auf Basis ITIL 97. AFCEA-Fachveranstaltung Diensteorientierung aber mit Management Heiko Maneth, BWI IT Delivery, Leitung Prozessarchitektur und -management

Mehr

Modul 3: Service Transition

Modul 3: Service Transition Modul 3: Service Transition 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert.

Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert. Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen im gesundheitlichen Verbraucherschutz 1 Vorwort Die in der Verordnung (EG) Nr. 882/2004 des Europäischen Parlaments und des Rates über amtliche

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie BSI Technische Richtlinie Bezeichnung: Accountmanagement IT-Sicherheit Anwendungsbereich: De-Mail Kürzel: BSI TR 01201 Teil 2.3 Version: 1.2 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

Dok.-Nr.: Seite 1 von 6

Dok.-Nr.: Seite 1 von 6 Logo Apotheke Planung, Durchführung und Dokumentation von QM-Audits Standardarbeitsanweisung (SOP) Standort des Originals: Dok.-Nr.: Seite 1 von 6 Nummer der vorliegenden Verfaßt durch Freigabe durch Apothekenleitung

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

ITIL, eine Einführung DECUS Symposium 2004 in Bonn (1B09)

ITIL, eine Einführung DECUS Symposium 2004 in Bonn (1B09) ITIL, eine Einführung DECUS Symposium 2004 in Bonn (1B09) Rolf-Dieter Härter Keyldo GmbH Leinfelden-Echterdingen Keyldo GmbH 1 Keyldo GmbH» Im Januar 2003 in Stuttgart gegründet» Dienstleistungen für die

Mehr

ITIL und Entwicklungsmodelle: Die zwei Kulturen

ITIL und Entwicklungsmodelle: Die zwei Kulturen Kombination von IT Service Management (ITIL) und Anwendungsentwicklung Kai Witte und Matthias Kaulke, München, den 30.03.2006 Rahmeninformationen Wo sind wir? Unternehmensdarstellung (1) Unabhängiges Beratungsunternehmen

Mehr

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten

Mehr

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein

Mehr

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting

Mehr

Qualitätsmanagement-Handbuch 4.0.0.0 Das QM-System 4.1.0.0 Struktur des QM-Systems

Qualitätsmanagement-Handbuch 4.0.0.0 Das QM-System 4.1.0.0 Struktur des QM-Systems s Seite 1 von 5 In diesem Kapitel wird die Struktur des in der Fachstelle eingeführten Qualitätsmanagementsystems (QMS) nach DIN EN ISO 9001:2008 beschrieben, sowie die Vorgehensweise zu seiner Anwendung,

Mehr

IT-Governance und COBIT. DI Eberhard Binder

IT-Governance und COBIT. DI Eberhard Binder IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?

Mehr

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT

Mehr

Managementbewertung Managementbewertung

Managementbewertung Managementbewertung Managementbewertung Grundlagen für die Erarbeitung eines Verfahrens nach DIN EN ISO 9001:2000 Inhalte des Workshops 1. Die Anforderungen der ISO 9001:2000 und ihre Interpretation 2. Die Umsetzung der Normanforderungen

Mehr

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party) Allgemeine Hinweise: Es wird von den Teilnehmern erwartet, dass ausreichende Kenntnisse vorhanden sind, um die Fragen 1.1 bis 1.10 unter Verwendung der EN 9100 und ISO 19011 innerhalb von 20 Minuten zu

Mehr

Prozessoptimierung. und. Prozessmanagement

Prozessoptimierung. und. Prozessmanagement Prozessoptimierung und Prozessmanagement Prozessmanagement & Prozessoptimierung Die Prozesslandschaft eines Unternehmens orientiert sich genau wie die Aufbauorganisation an den vorhandenen Aufgaben. Mit

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Nutzen Sie das in Easy Turtle voll editierbare Modell der DIN EN ISO 9001:2008

Nutzen Sie das in Easy Turtle voll editierbare Modell der DIN EN ISO 9001:2008 Nutzen Sie das in Easy Turtle voll editierbare Modell der DIN EN ISO 9001:2008 Qualität ist keine Funktion Qualität ist ein Weg des Denkens. Qualität ist die Summe aller Tätigkeiten in einem Unternehmen.

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09. ISO 9001:2015 REVISION Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit 15.09.2015 in Kraft 1 Präsentationsinhalt Teil 1: Gründe und Ziele der Revision,

Mehr

Nischendisziplin Configuration Management?

Nischendisziplin Configuration Management? Nischendisziplin Configuration Management? Ergebnisse der itsmf-marktstudie Hans-Peter Fröschle itsmf Deutschland e.v. hans-peter.froeschle@itsmf.de 1 Gliederung 1. Definitionen und Stellenwert Configuration

Mehr

ITSM Executive Studie 2007

ITSM Executive Studie 2007 ITSM Executive Studie 2007 Ergebnisse der Befragung in Österreich und Deutschland Patrick Schnebel Geschäftsführer Niederlassung Wien Telefon: +43 6410820-0 E-Mail: Patrick.Schnebel@materna.de Ines Gebel

Mehr

Rollenspezifische Verhaltenstrainings

Rollenspezifische Verhaltenstrainings Rollenspezifische Verhaltenstrainings ITIL V3 EXPERT ALL-IN-1 (SS, SD, ST, SO, CSI, MALC) In nur 10 Arbeitstagen zum ITIL V3 Expert Der ITIL V3 Expert All-in-1 ist ideal für Manager, die schnell eine umfassende

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)

Mehr

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank Turning visions into business Oktober 2010 Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank David Croome Warum Assessments? Ein strategisches Ziel des IT-Bereichs der Großbank

Mehr

Wir organisieren Ihre Sicherheit

Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Unternehmen Die VICCON GmbH versteht sich seit 1999 als eigentümergeführtes und neutrales Unternehmen für Management- und Sicherheitsberatung.

Mehr

Umfrage Mitarbeiterkapazitäten für das BCM 2010 der bcm news Mai 2010 Ergebnisse der bcm news Umfrage Mitarbeiterkapazitäten für das BCM 2010

Umfrage Mitarbeiterkapazitäten für das BCM 2010 der bcm news Mai 2010 Ergebnisse der bcm news Umfrage Mitarbeiterkapazitäten für das BCM 2010 Ergebnisse der bcm news Umfrage Mitarbeiterkapazitäten für das BCM 2010 1. Management Summary Im März/April 2010 führte bcm news eine Online Umfrage zur Mitarbeiterkapazität für das BCM durch. Spiegelt

Mehr

.. für Ihre Business-Lösung

.. für Ihre Business-Lösung .. für Ihre Business-Lösung Ist Ihre Informatik fit für die Zukunft? Flexibilität Das wirtschaftliche Umfeld ist stärker den je im Umbruch (z.b. Stichwort: Globalisierung). Daraus resultierenden Anforderungen,

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Qualitätsmanagement-Handbuch. 1.7 Projektmanagement

Qualitätsmanagement-Handbuch. 1.7 Projektmanagement Seite 1 von 5 Erstellt: Geprüft: Freigegeben: Dr. Christine Reimann Datum: Datum: Datum: Inhaltsverzeichnis Nr. Element-Abschnitt Seite 1 Ziel und Zweck 2 2 Geltungsbereich / Verantwortung 2 3 Vorgehen

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht -

SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht - SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht - Christina Dreller Christina.Dreller@stuttgarter-volksbank.de Übersicht I. Theoretische Grundlagen II. ITIL bei der Stuttgarter Volksbank

Mehr

Realisierung der Anbindung an den Handelsplatz Koeln.de Leitfaden zur Projektplanung bei Lieferanten

Realisierung der Anbindung an den Handelsplatz Koeln.de Leitfaden zur Projektplanung bei Lieferanten Handelsplatz Köln.de Leitfaden zur Projektplanung bei en Realisierung der Anbindung an den Handelsplatz Koeln.de Leitfaden zur Projektplanung bei en Autor: Christoph Winkelhage Status: Version 1.0 Datum:

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Delta Audit - Fragenkatalog ISO 9001:2014 DIS QUMedia GbR Eisenbahnstraße 41 79098 Freiburg Tel. 07 61 / 29286-50 Fax 07 61 / 29286-77 E-mail info@qumedia.de www.qumedia.de Delta Audit - Fragenkatalog ISO 9001:2014 DIS Zur Handhabung des Audit - Fragenkatalogs

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

Die Umsetzung von IT-Sicherheit in KMU

Die Umsetzung von IT-Sicherheit in KMU Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche

Mehr

Modul 3: Service Transition Teil 2

Modul 3: Service Transition Teil 2 Modul 3: Service Transition Teil 2 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:

Mehr

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13 Service Transition Martin Beims WKV SS13 Karsten Nolte Inhalt Einführung & Ziele Transition Planning & Support Change Management Service Asset & Configuration Management Release & Deployment Management

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr