Studie zu ISO-Normungsaktivitäten ISO/BPM. Anforderungen an Information Security Management Systeme

Größe: px
Ab Seite anzeigen:

Download "Studie zu ISO-Normungsaktivitäten ISO/BPM. Anforderungen an Information Security Management Systeme"

Transkript

1 Studie zu ISO-Normungsaktivitäten ISO/BPM Anforderungen an Information Security Management Systeme

2 Für die Mitarbeit an der Studie dankt das Bundesamt für Sicherheit in der Informationstechnik Dr. Alfred Scheerhorn und Jens Nedon von der ConSecur GmbH. Bundesamt für Sicherheit in der Informationstechnik Referat I 1.4 Systemsicherheit, IT-Grundschutz Postfach Bonn Tel.: +49 (0) Internet: Bundesamt für Sicherheit in der Informationstechnik

3 Inhaltsverzeichnis 1 Ausgangssituation Management Summary Ziel und Inhalt der Studie Grundlegende Dokumente Ergebnisse der Studie Anforderungen an Information Security Management Systeme Aufbau der Studie Basismodell und Kernelemente eines ISMS Definition eines ISMS Informationssicherheitsprozess Übergeordnete Elemente des Managementsystems Zusammenfassung der Kernelemente und Anforderungen an das ISMS Übersicht über bestehende ISMS-Ansätze BSI IT-Grundschutzhandbuch (GSHB) BS (Information security management systems Specification with guidance for use) ISO/IEC-Technical Report TR MICTS (früher: GMITS) Information Technology Infrastructure Library (ITIL) Cobit ISO TC Vergleich bestehender ISMS-Ansätze IT-Sicherheitsmanagement im IT-Grundschutzhandbuch BS MICTS (früher: GMITS) ITIL Security Management Cobit TC

4 3.5 Zusammenfassung der Vergleichsergebnisse IT-Grundschutzhandbuch BS TR (GMITS, MICTS) ITIL Security Management Cobit TC Auditierung und Zertifizierung von ISMS Anhang Glossar und Abkürzungen Referenzen

5 1 Ausgangssituation Das BSI beteiligt sich an den laufenden ISO-Normungsaktivitäten im Bereich IT-Sicherheitsmanagement. In den entsprechenden Arbeitsgruppen der ISO (International Standards Organization), in der Working Group WG 1 im Subcommittee SC 27, sind in den vergangenen Jahren hierzu zwei wesentliche Ansätze diskutiert worden: der von der britischen Standardisierungsbehörde herausgegebene nationale Standard BS 7799 (bestehend aus den Teilen BS und BS ) der von anderen europäischen Ländern gemeinsam erarbeitete ISO/IEC Technical Report TR (GMITS, Guidelines for Management of IT-Security). Parallel dazu gibt es in den europäischen Ländern nationale Empfehlungen und Ausarbeitungen zum IT- Sicherheitsmanagement, u. a. in einem entsprechenden Baustein des vom BSI herausgegebenen IT- Grundschutzhandbuchs (GSHB). Von den ISO-Gremien wurde Teil 1 des britischen Standards (BS ) im Jahr 2000 offiziell als nunmehr maßgeblicher ISO/IEC-Standard IS verabschiedet. Der Technical Report TR hat weiterhin Bestand und befindet sich ebenfalls in der Normungsdiskussion. Betrachtet man die in Abbildung 1 dargestellten drei relevanten Ebenen der IT-Sicherheit: Sicherheitsmanagement, Organisation/Umsetzung und Maßnahmen, und vergleicht die drei Vorgehensmodelle, so wird deutlich, dass jedes Modell einen individuellen Schwerpunkt beschreibt, wobei partielle Überschneidungen zu den anderen Modellen deutlich werden. Abbildung 1: Darstellung der drei Vorgehensmodelle IS 17799, TR und GSHB. Das BSI möchte seine bisherigen Aktivitäten und Interessen bzgl. des IT-Grundschutzhandbuchs (GSHB) in geeigneter Form in die Diskussion um IS sowie um TR einbringen. Da derzeit sowohl der IS als auch der TR innerhalb der Gremien überarbeitet werden, sollen mit der vorliegenden Studie die relevanten Aspekte aufgearbeitet werden und die Positionierung des IT-Grundschutzhandbuchs gegenüber des IS sowie des TR in diesen Gremien geeignet untermauert werden. Gleichzeitig möchte das BSI die Zertifizierung nach dem GSHB national und international fördern. Das BSI hat gemeinsam mit Interessenten aus der Wirtschaft ein Zertifizierungsschema für den IT- Grundschutz entwickelt. Voraussetzung für die Vergabe eines IT-Grundschutz-Zertifikats ist eine Überprüfung, ob die hierfür festgelegten Anforderungen erfüllt werden. International hat die Zertifizierung nach der britischen Norm BS aufgrund der Standardisierung des BS (identisch mit IS 17799) sehr starke Nachfrage erhalten. Daher ist es erforderlich, so schnell wie möglich die Grundlagen für eine erfolgreiche Einführung und Verbreitung des IT-Grundschutz-Zertifikats zu schaffen. 5

6 2 Management Summary 2.1 Ziel und Inhalt der Studie In dieser Studie wird analysiert, durch welche Kernprozesse und Kernelemente ein Information Security Management System (ISMS) gekennzeichnet ist. Ziel der Studie ist es, ein generisches Basismodell eines ISMS zu erhalten, anhand dessen dann bestehende ISMS verglichen und eingeordnet werden können. 2.2 Grundlegende Dokumente Für die Studie wurden insbesondere die folgenden Dokumente und Standards ausgewertet (vgl. Kapitel 4.2): BSI IT-Grundschutzhandbuch, Kapitel IT-Sicherheitsmanagement zusammen mit den dort referenzierten IT-Grundschutz-Maßnahmen BS :2002 Information security management systems - Specification with guidance for use ISO/IEC TR Information technology - Security Techniques - Management of information and communications technology security IT Infrastructure Library - ITIL Security Management Cobit (Control objectives for information and related technology) ISO/IEC TC 68 Banking and other financial services, TR Information security guidelines 2.3 Ergebnisse der Studie Bei der Entwicklung einer generischen Definition eines ISMS wurde von einem Informationssicherheits- Prozess ausgegangen, der basierend auf den Unternehmenszielen die Entwicklung und Umsetzung einer dazu angemessenen Informationssicherheit sowie deren Bewertung und Aufrechterhaltung umfasst. Ziel des Informationssicherheitsmanagements ist es, diesen Informationssicherheits-Prozess und damit die für das jeweilige Unternehmen angemessene Informationssicherheit zu etablieren und aufrecht zu erhalten. Im Gegensatz zum Informationssicherheitsprozess ist ein ISMS jedoch insbesondere durch den systemischen Ansatz des Managementsystems gekennzeichnet, so dass folgende generische Definition entwickelt wurde: Definition eines ISMS Das Information Security Management System (ISMS) ist jener Teil des übergreifenden Managementsystems, der die Organisationsstruktur, Regelungen, Abläufe sowie Ressourcen zur Entwicklung, Umsetzung, Bewertung und Aufrechterhaltung der Information Security Policy beinhaltet und dokumentiert. 6

7 Externe Einflüsse Unternehmensziele Entwicklung/Umsetzung angemessener Informationssicherheit Bewertung und Aufrechterhaltung angemessener Informationssicherheit IS-Prozess Interne Rahmenbedingungen Angemessene Informationssicherheit Teilprozess des Informationssicherheitsprozesses Aus der Definition des ISMS wurden Kernelemente eines ISMS sowie insgesamt 25 Anforderungen abgeleitet, an denen folgende ISMS-Beschreibungen und Management-Standards verglichen wurden: BSI IT-Grundschutzhandbuch, BS , TR (MICTS, früher: GMITS), IT Infrastructure Library - ITIL Security Management, Cobit (Control objectives for information and related technology) sowie ISO/IEC TC 68 Banking and other financial services. Vergleichsergebnisse Als Ergebnis des Vergleichs konnte festgestellt werden, dass bei den meisten der betrachteten Standards eine hohe bis sehr hohe Abdeckung der generisch entwickelten Anforderungen an ein ISMS besteht, wobei deutliche Unterschiede festzustellen sind hinsichtlich der Fokussierung bestimmter Anforderungen durch die einzelnen Standards. Die höchste Überdeckung weisen BS , das BSI IT-Grundschutzhandbuch und Cobit auf, wobei der Fokus von Cobit eindeutig auf der Bewertung der Informationssicherheit und des Managementsystems selbst liegt. Stärken von ITIL in Bezug auf das zugrundeliegende ISMS-Modell liegen bei der Betrachtung des Managementsystems insbesondere in der durch den SLA-Gedanken (Service-Level Agreements) hervorgerufenen Betrachtung der Ressourcen, dagegen werden technische Aspekte vernachlässigt. Das IT-Grundschutzhandbuch geht im Vergleich zum generischen ISMS-Modell sehr detailliert auf technische und organisatorische Aspekte ein, wobei insbesondere hinsichtlich des Prozessgedankens, d.h. der dauerhaften Etablierung von Abläufen Schwächen identifiziert wurden. Die Schwächen resultieren hauptsächlich daraus, dass aus dem hier betrachteten Kapitel "IT-Sicherheitsmanagement" nicht immer auf andere Kapitel, die die entsprechenden Inhalte enthalten, referenziert wird. Der Fokus von GMITS liegt eher in der Beschreibung des Informationssicherheits-Prozesses auf Ebene des Sicherheitsmanagement, Schwächen liegen hier vor allem in einer fehlenden Beschreibung der übergeordneten Prozesse des Managementsystems und der Betrachtung und Steuerung der notwendigen Ressourcen. Die Ergebnisse des Vergleichs der genannten Standards mit dem generischen Prozessmodell eines ISMS sind in der Studie detailliert beschrieben. Den Abschluss der Studie bilden grundsätzliche Überlegungen für eine Auditierung und Zertifizierung des Managementsystems selbst. 7

8 3 Anforderungen an Information Security Management Systeme 3.1 Aufbau der Studie In dieser Studie wird aufbauend auf der Zielsetzung der Schaffung und Aufrechterhaltung angemessener Informationssicherheit ein Basismodell für Information Security Management Systeme (ISMS) entworfen (Abschnitt 3.2). Dabei wird analysiert, welche Kernelemente ein ISMS aufweisen soll. Auf Grundlage der identifizierten ISMS-Kernelemente werden bestehende ISMS-Ansätze verglichen. Das heißt, es wird geprüft, ob und in wie weit die betrachteten ISMS die Kernelemente beinhalten und wie diese im konkreten ISMS ausgeprägt sind. Auch wird untersucht, welche Möglichkeiten einer Auditierung und Zertifizierung für ISMS bestehen. Als zu untersuchende ISMS stehen die bereits in den vorhergehenden Kapiteln untersuchten Ansätze im Vordergrund: BSI IT-Grundschutzhandbuch, Kapitel IT-Sicherheitsmanagement zusammen mit den dort referenzierten IT-Grundschutz-Maßnahmen. BS :2002 Information security management systems - Specification with guidance for use. ISO/IEC TR Information technology - Security Techniques - Management of information and communications technology security Daneben gibt es eine Reihe allgemeiner IT-Management-Standards, die als übergreifende Standards auch den Bereich des Informationssicherheits-Management mit abdecken sollten. In diesem Bereich werden die folgenden Ansätze betrachtet: IT Infrastructure Library - ITIL Security Management Cobit (Control objectives for information and related technology) Des Weiteren gibt es verschiedene branchenspezifische Ansätze für das Informationssicherheits- Management. Dieser Bereich wird lediglich beispielhaft mit berücksichtigt. Ausgewählt für die Betrachtung wurde ISO/IEC TC 68 Banking and other financial services, TR Information security guidelines. Die genannten Ansätze werden zunächst kurz beschrieben (Abschnitt 3.3). Danach wird für jeden der Ansätze ermittelt, ob und in wie weit die ISMS-Kernelemente des Basismodells im jeweiligen Ansatz enthalten sind (Abschnitt 3.4). Abschließend werden die Vergleichsergebnisse zusammengefasst (Abschnitt 3.5). Den Abschluss bildet eine Untersuchung, wie ein ISMS auditiert werden kann und welche Möglichkeiten für eine Zertifizierung bestehender ISMS bestehen (Abschnitt 3.6). 3.2 Basismodell und Kernelemente eines ISMS Für die Untersuchung von ISMS wird von der folgenden Zielsetzung des Einsatzes von ISMS als Basishypothese ausgegangen: 8

9 Zielsetzung ISMS Zielsetzung des Einsatzes eines Information Security Management Systems ist es, innerhalb eines gegebenen Organisationsbereichs eine angemessene Informationssicherheit zu schaffen und aufrecht zu erhalten. Beispiele für Organisationsbereiche sind dabei ein Unternehmen, eine Behörde, eine Unternehmensgruppe (Konzern) oder ein spezieller Bereich im Unternehmen. Es ist ein Niveau von Informationssicherheit anzustreben, dass den Zielen des jeweiligen Organisationsbereichs gerecht wird (angemessene Informationssicherheit). Auf der Basis dieser Zielsetzung werden im folgenden die Kernelemente hergeleitet, die ein ISMS notwendigerweise enthalten soll sowie Anforderungen an ein ISMS Definition eines ISMS Bei der Definition eines Information Security Management Systems sind zum einen die Kernprozesse zu berücksichtigen, die zur Schaffung und Aufrechterhaltung der Informationssicherheit führen, zum anderen diejenigen Randbedingungen und Elemente innerhalb der Organisation, die den ISM-Prozess initiieren und steuern. Um eine systemische, ganzheitliche Betrachtung eines ISMS bei gleichzeitiger Abgrenzung zu einzelnen Teilaspekten, z. B. relevanten Prozessen, zu ermöglichen, wird bei der weiteren Betrachtung von der folgenden generischen Definition eines ISMS ausgegangen. Die generische Definition eines Information Security Management-Systems wurde dabei aus der Definition eines Umwelt-Managementsystems abgeleitet: Definition ISMS Das Information Security Management System ist jener Teil des übergreifenden Managementsystems, der die Organisationsstruktur, Regelungen, Abläufe sowie Ressourcen zur Entwicklung, Umsetzung, Bewertung und Aufrechterhaltung der Information Security Policy beinhaltet und dokumentiert. Der Begriff der Information Security Policy wird in der vorliegenden Studie analog dem deutschsprachigen Begriff der Informations-Sicherheitsleitlinie verwendet. Aus dieser Definition heraus lassen sich die Kernelemente eines ISMS ableiten: Übergreifende Elemente des Managementsystems: Organisationsstruktur und Zuständigkeiten, Regelungen und Anweisungen, Abläufe (Prozesse), Ressourcen. Darüber hinaus ist ein für das ISMS wesentlicher Organisationsprozess der Informationssicherheitsprozess, bestehend aus den Teilprozessen: Entwicklung von Informationssicherheit, Umsetzung von Informationssicherheit, Bewertung von Informationssicherheit, Aufrechterhaltung von Informationssicherheit. Ziel eines Information Security Management Systems ist es also, diesen Informationssicherheitsprozess zu initiieren, zu steuern, zu verbessern und dieses zu dokumentieren (siehe Abbildung 2). 9

10 Informationssicherheits-Management-System System-Ebene Informationssicherheits-Management Prozess-Ebene Abbildung 2: ISM vs. ISMS Informationssicherheitsprozess Einflussgrößen für die Zielsetzung der Schaffung und Aufrechterhaltung einer angemessenen Informationssicherheit sind die Unternehmensziele, an denen letztlich die Angemessenheit zu bewerten ist, interne Rahmenbedingungen, wie IT-Infrastruktur, IT-Anwendungen, Budget, Personal, etc. und externe Einflüsse, wie gesetzliche Rahmenbedingungen, Umwelteinflüsse, etc. Der hieraus resultierende Informationssicherheits-Prozess ist in der nachstehenden Abbildung dargestellt. Externe Einflüsse Unternehmens - ziele IS-Prozess Angemessene Informations - sicherheit Interne Rahmenbedingungen Abbildung 3: Informationssicherheitsprozess Hinsichtlich der Zielsetzung, angemessene Informationssicherheit zu schaffen und aufrecht zu erhalten, kann der Informationssicherheitsprozess in folgende Teilprozesse gegliedert werden: 1. Prozess zur Entwicklung und Umsetzung angemessener Informationssicherheit Auf der Basis eines gegebenen Ist-Zustands ist unter Berücksichtigung der Unternehmensziele ein angemessenes Niveau an Informationssicherheit festzulegen und zu schaffen. 2. Prozess zur Bewertung und Aufrechterhaltung angemessener Informationssicherheit Das erreichte Niveau einer angemessenen Informationssicherheit ist aufrecht zu erhalten. Hierzu ist es zum Einen erforderlich, Abweichungen vom einmal erreichten Zustand angemessener Informationssicherheit zu erkennen. Zum anderen sind die erkannten Abweichungen zu korrigieren, um den Zustand der angemessenen Informationssicherheit wieder herzustellen. Dieser 10

11 Korrekturschritt wird als Rückkopplung in den Prozess der Entwicklung und Umsetzung angemessener Informationssicherheit betrachtet. In der nachstehenden Abbildung ist der Informationssicherheitsprozess entsprechend detaillierter dargestellt. Externe Einflüsse Unternehmensziele Entwicklung/Umsetzung angemessener Informationssicherheit Bewertung und Aufrechterhaltung angemessener Informationssicherheit IS-Prozess Interne Rahmenbedingungen Angemessene Informationssicherheit Abbildung 4: Teilprozesse des Informationssicherheitsprozesses Teilprozess: Entwicklung und Umsetzung angemessener Informationssicherheit Hinsichtlich der Ableitung angemessener Informationssicherheit aus den Unternehmenszielen ergeben sich direkt die folgenden Fragestellungen: - Welche Anforderungen bzw. Ziele an die Sicherheit von Informationen und die IT ergeben sich aus den Unternehmenszielen? - Welche Güter sind bezogen auf die Ziele schützenswert? - Welche (Rest-)Risiken stehen diesen Anforderungen gegenüber? - Welches Sicherheitsniveau ist geeignet, um den gegebenen Risiken entgegenzuwirken, die Anforderungen zu erfüllen bzw. die Ziele zu erreichen? Als Anforderung an ein ISMS lässt sich hieraus ableiten, dass als ein wesentliches Kernelement der Teilprozess zur Schaffung angemessener Informationssicherheit enthalten sein muss, wobei die folgenden Aktivitäten abzudecken sind: Planung von Informationssicherheit - Entwicklung/Aufrechterhaltung der Information Security Policy Erarbeitung und Bearbeitung der Information Security Policy zur Dokumentation der Anforderungen bzw. Ziele hinsichtlich der Informationssicherheit in Bezug auf die Unternehmensziele. - Planung von Sicherheitsmaßnahmen Ableitung geeigneter Sicherheitsmaßnahmen (SM) unter Berücksichtigung gegebenen Risiken, Kosten-Nutzen-Aspekten und bereits realisierter Sicherheitsmaßnahmen sowie Analyse der verbleibenden Restrisiken. 11

12 Realisierung von Informationssicherheit - Umsetzung der Sicherheitsmaßnahmen Umsetzung und Abnahme der geplanten Sicherheitsmaßnahmen in einem definierten Zeitrahmen und mit den entsprechenden Prioritäten. - Bewertung der Information Security Policy Die nachstehende Abbildung zeigt den Teilprozess der Entwicklung und Umsetzung angemessener Informationssicherheit und die genannten Teilprozesse. Externe Einflüsse Unternehmens - ziele Planung von Informationssicherheit Realisierung von Informationssicherheit Angemessene Informations - sicherheit Interne Rahmenbedingungen Abbildung 5: Teilprozess Entwicklung und Umsetzung angemessener Informationssicherheit Teilprozess: Bewertung und Aufrechterhaltung angemessener Informationssicherheit Vergleichbar mit einem Regelkreis hat das ISMS dafür zu sorgen, dass Abweichungen vom Zustand angemessener Informationssicherheit erkannt werden und eine entsprechende Korrektur erfolgt. Im positiven Fall kann das Vorliegen einer nicht angemessenen Informationssicherheit erkannt werden, bevor diese konkrete Auswirkungen (z. B. in Form von Schäden) nach sich zieht. Im negativen Fall wird eine unangemessene IS erst anhand ihrer Auswirkungen erkannt. Um diese zeitnah zu erkennen und geeignet zu reagieren ist ein Mechanismus zur Erkennung und Behandlung von Sicherheitsvorfällen - nachfolgend unter dem Begriff Incident Handling zusammengefasst unerlässlich. Die Erkennung von Abweichungen anhand ihrer Auswirkungen reicht jedoch nicht aus. Es sind weitere Erkennungsmechanismen vorzusehen, um bereits den Ursachen für eine nicht angemessene IS entgegen zu wirken. Um diese zu ermitteln, wird zunächst betrachtet, weshalb umgesetzte Sicherheitsmaßnahmen nicht oder nicht mehr angemessene IS bieten. Gründe hierfür können sein: Die Unternehmensziele ändern sich. Externe Einflüsse ändern sich, z. B. weil neue Viren aufgetreten sind, neue Schwachstellen in Produkten bekannt geworden sind, Designfehler (unsichere Protokolle, gebrochene Kryptoalgorithmen, etc.) bekannt geworden sind, gesetzliche Rahmenbedingungen sich geändert haben. Interne Rahmenbedingungen ändern sich, z. B. weil ein IT-Dienstleister gewechselt wurde, ein Web-Server mit statischen Seiten durch ebusiness- Applikationen ersetzt wurde, neue IT-Systeme, Anwendungen oder Netze eingeführt wurden. 12

13 In einem der Arbeitsschritte zur Schaffung angemessener Informationssicherheit sind Fehler aufgetreten, z. B. weil. - die Abhängigkeit von Geschäftsprozessen und Informationssicherheit nicht korrekt erkannt wurde. - der Schutzbedarf von Informationen oder IT-Systemen fehlerhaft eingestuft wurde. - Risiken, Bedrohungen oder Schwachstellen fehlerhaft bewertet wurden. - Maßnahmen mangelhaft umgesetzt wurden. Sowohl Änderungen der Parameter als auch Fehler können dabei zu folgenden Auswirkungen führen: Der Informationssicherheitsbedarf des Unternehmens wurde nur unzureichend erkannt bzw. trifft nicht länger zu (unangemessene Policy). Die geplanten Sicherheitsmaßnahmen entsprechen nicht dem in der Policy formulierten Sicherheitsbedarf (z. B. weil Risiken falsch bewertet wurden). Die Sicherheitsmaßnahmen wurden nicht wie geplant realisiert oder werden nicht wie geplant betrieben. Um den Ursachen nicht angemessener Informationssicherheit entgegen zu wirken, ist daher einerseits bei der Änderung von Parametern zu prüfen, ob sich Auswirkungen auf die Informationssicherheit ergeben. Andererseits ist die Aktualität und Korrektheit der Ergebnisse der Arbeitsschritte zur Schaffung angemessener Informationssicherheit regelmäßig zu prüfen. Zu beachten ist, dass trotz dieser drei Mechanismen zur Aufrechterhaltung angemessener Informationssicherheit eine Erkennung und Behandlung von Sicherheitsvorfällen erforderlich bleibt. Dies liegt insbesondere darin begründet, dass die Arbeits- bzw. Korrekturschritte grundsätzlich fehlerbehaftet sein können. Als Anforderung an ein ISMS lässt sich hieraus ableiten, dass als ein wesentliches Kernelement der Teilprozess zur Aufrechterhaltung angemessener Informationssicherheit enthalten sein muss, wobei die folgenden Aktivitäten abzudecken sind: Erkennung von Abweichungen - Prüfung der Aktualität der Information Security Policy Sowohl regelmäßig als auch bei der Änderung von Unternehmenszielen ist die Information Security Policy auf Aktualität zu prüfen und bei Bedarf zu aktualisieren. Im Falle einer Anpassung der Policy ist auch die Angemessenheit bisher geplanter Sicherheitsmaßnahmen zu kontrollieren. Änderungen in der Planung sind in der Realisierung und im Betrieb von Sicherheitsmaßnahmen zu berücksichtigen. - Prüfung der Angemessenheit geplanter Sicherheitsmaßnahmen Regelmäßig, vor allem aber bei Änderung externer Einflüsse und interner Rahmenbedingungen ist die Planung von Sicherheitsmaßnahmen (inkl. Risiko-Assessment) auf Eignung bezogen auf die Policy zu prüfen und bei Bedarf anzupassen. Änderungen in der Planung sind in der Realisierung und im Betrieb von Sicherheitsmaßnahmen zu berücksichtigen. Die Prüfung der Eignung geplanter Sicherheitsmaßnahmen sollte die Prüfung der Wirksamkeit von Maßnahmen beinhalten (z. B. Penetrationstest). 13

14 - Revision von Sicherheitsmaßnahmen Es ist regelmäßig zu prüfen, ob Sicherheitsmaßnahmen wie geplant umgesetzt und betrieben werden. Falls Abweichungen festgestellt werden, ist die Realisierung bzw. der Betrieb der Sicherheitsmaßnahmen entsprechend zu korrigieren. Reaktion auf Abweichungen - Reaktion auf Änderungsbedarf Wenn sich aufgrund der Revision oder Prüfung der Angemessenheit von SM Änderungsbedarf ergibt, so ist dieser entsprechend umzusetzen. - Incident Handling Zusätzlich zu den genannten Mechanismen sollte das ISMS die Erkennung und Behandlung von Sicherheitsvorfällen beinhalten und definieren. Die nachstehende Abbildung zeigt den Teilprozess der Aufrechterhaltung angemessener Informationssicherheit und die genannten Teilprozesse. Externe Einflüsse Unternehmens - ziele Reaktion auf Abweichungen Erkennung von Abweichungen Angemessene Informations - sicherheit Interne Rahmenbedingungen Abbildung 6: Teilprozess Aufrechterhaltung angemessener Informationssicherheit Übergeordnete Elemente des Managementsystems Ein übergeordnetes Managementsystem hat dafür Sorge zu tragen, dass die relevanten Prozesse der Schaffung und Aufrechterhaltung angemessener Informationssicherheit etabliert werden, und durch angemessene Kontroll- und Steuerungsfunktionen sicherzustellen, dass die Prozesse wie gewünscht funktionieren und miteinander koordiniert sind. Ausgehend von der Definition des ISMS werden die Kernelemente eines ISMS wie folgt identifiziert: 14 Organisationsstruktur und Zuständigkeiten Um die Prozesse zu realisieren, bedarf es einer geeigneten Organisationsstruktur. Verantwortungsbereiche sind festzulegen, Rollen zu definieren, den Mitarbeitern sind Aufgaben, Funktionen, Verantwortlichkeiten und Weisungsbefugnisse zuzuweisen. Abläufe (Prozesse) Zur Etablierung und Aufrechterhaltung der relevanten Prozesse sind Verfahren und Abläufe zu definieren und in die relevanten Geschäftsprozesse des Unternehmens zu integrieren. Dies betrifft insbesondere die IT-Prozesse, wie z. B. die Inbetriebnahme neuer IT-Systeme oder Software oder die Software- und Anwendungsentwicklung. Um bei Bedarf entsprechend steuernd einzugreifen, ist es notwendig, erkennen zu können, ob die Teilprozesse zur Schaffung und Aufrechterhaltung

15 angemessener Informationssicherheit wie beschrieben funktionieren. Hierzu bedarf es Kontrollfunktionen und eines gewissen Grads der Nachvollziehbarkeit von Teilprozessen. Um die Funktionsfähigkeit und Vertrauenswürdigkeit dieser Teilprozesse darüber hinaus auch Dritten darzulegen, ist bei Bedarf einer weitergehenden Nachvollziehbarkeit Rechnung zu tragen. Der Informationsfluss innerhalb der Teilprozesse und zwischen den verschiedenen Teilprozessen ist sicherzustellen. Hierzu sollte das ISMS klare Schnittstellen zwischen den Prozessen definieren. Zusätzlich ist die Dokumentation von Sicherheitsvorfällen und ihrer Auswirkungen sinnvoll. Diese bilden eine Erfahrungsbasis für Vorgehensweisen und zur Abschätzung, ob die Einrichtung weiterer, spezifische Sicherheitsmaßnahmen sinnvoll ist oder in wie weit die Risikobewertung zutreffend war. Regelungen und Anweisungen Das ISMS sollte sicherstellen, dass alle Funktionen und Tätigkeiten, die sich auf die Informationssicherheit auswirken können und für die Unternehmensziele relevant sind, der Planung und Kontrolle durch das ISMS unterliegen. Neben betriebsinternen Regelungen sind darüber hinaus die geltenden gesetzlichen Regelungen zu ermitteln und deren Einhaltung zu dokumentieren. Ressourcen Dem ISMS müssen die zu seiner Etablierung und Erhaltung notwendigen materiellen und immateriellen Ressourcen zur Verfügung gestellt werden, vor allem aber das erforderliche Personal Zusammenfassung der Kernelemente und Anforderungen an das ISMS In diesem Abschnitt werden die Kernelemente sowie die daraus abgeleiteten Anforderungen an das ISMS zusammengefasst wiedergegeben. Anhand der Kernelemente werden im folgenden Kapitel unterschiedliche Ansätze von ISMS verglichen. Nr. Anforderung Beschreibung IS-Prozess Teil 1: Planung von Informationssicherheit 1 IS Policy Die Ableitung von Anforderungen an die Informationssicherheit aus den Unternehmenszielen ist als Aktivität in einem ISMS vorzusehen. Anforderungen an die Informationssicherheit werden typischerweise in Form einer Information Security Policy dokumentiert. ISMS können sich darin unterscheiden, wie konkret sie Inhalte und Struktur einer Information Security Policy vorgeben. 2 Planung von Sicherheitsmaßnahmen Ein ISMS muss folgende Aktivitäten vorsehen: - Bewertung von Informationssicherheitsrisiken - Planung von Sicherheitsmaßnahmen unter Berücksichtigung der Ziele und der Risiken der Informationssicherheit - Analyse von Restrisiken - Berücksichtigung von Kosten-Nutzen-Aspekten ISMS können sich darin unterscheiden, wie konkret sie Vorgehensweisen für die Aktivitäten festlegen bzw. empfehlen. 15

16 IS-Prozess Teil 2: Realisierung von Informationssicherheit 3 Realisierung Ein ISMS hat als Aktivität die Realisierung von Sicherheitsmaßnahmen auf Basis eines Umsetzungsplans vorzusehen. Dabei sind insbesondere auch Schulungs- und Sensibilisierungsmaßnahmen zu berücksichtigen. 4 Betrieb Das ISMS muss als Aktivität den Betrieb der Sicherheitsmaßnahmen berücksichtigen IS-Prozess Teil 3: Erkennung von Abweichungen 5 Aktualität IS Policy 6 Angemessenheit der SM 7 Revision von SM Ein ISMS muss eine regelmäßige Kontrolle der Aktualität der Policy vorsehen sowie die Prüfung der Policy bei der Änderung von Unternehmenszielen. Ein ISMS muss eine regelmäßige Kontrolle des Sicherheitskonzepts vorsehen sowie dessen Prüfung bei der Änderung interner Rahmenbedingungen oder externer Einflussgrößen. Ein ISMS muss eine regelmäßige Kontrolle darüber vorsehen, ob Sicherheitsmaßnahmen wie geplant realisiert wurden und betrieben werden. IS-Prozess Teil 4: Reaktion auf Abweichungen 8 Änderungsmanagement 9 Incident Handling Organisationsstruktur und Zuständigkeiten 10 Festlegung einer Organisationsstruktur 11 Verantwortung und Befugnisse 12 Managementvertretung 13 Dokumentation der Organisationsstruktur Abläufe (Prozesse) 14 Festlegung der Abläufe Ein ISMS muss einen Prozess zur Reaktion auf erkannten Änderungsbedarf vorsehen. ISMS können sich darin unterscheiden, wie konkret dieser Prozess beschrieben ist. Ein ISMS muss einen Prozess zur Erkennung und Behandlung von Sicherheitsvorfällen vorsehen. ISMS können sich darin unterscheiden, wie konkret dieser Prozess beschrieben ist. Das ISMS muss eine Organisationsstruktur für das ISMS und dessen Integration in die Organisation beschreiben. Das ISMS muss eine Definition und Beschreibung von Rollen, den ihnen zugeordneten Aufgaben und Verantwortlichkeiten sowie der Beziehungen untereinander vorsehen. Das ISMS muss die Bestellung eines Managementvertreters mit Befugnissen und Verantwortung für die Anwendung und Aufrechterhaltung des Managementsystems vorsehen. Die Organisationsstruktur ist nachvollziehbar zu dokumentieren. Im Rahmen des ISMS müssen die relevanten Abläufe definiert werden. 16

17 15 Etablierung der Prozesse 16 Steuerung & Kontrolle 17 Informationsfluss 18 Erkennung von Abweichungen 19 Dokumentation der Abläufe Regelungen und Anweisungen 20 Regelungen und Anweisungen 21 Einhaltung gesetzlicher Regelungen Ressourcen 22 Personelle Ausstattung des ISMS 23 Sensibilisierung & Transparenz Das ISMS muss gewährleisten, dass die relevanten Prozesse (insbesondere der Informationssicherheitsprozess) etabliert und aufrechterhalten wird. Das ISMS muss die Steuerung und Kontrolle der relevanten Prozesse gewährleisten. Dies beinhaltet: - die Ermittlung und Dokumentation der für die Kontrolle notwendigen Informationen - die Spezifikation der anzuwendenden Kontrollverfahren und deren Dokumentation - die Spezifikation von Prüfkriterien für das ISM als auch das Kontrollsystem selbst Im Rahmen des ISMS werden Verfahren definiert für die Steuerung und Kontrolle sicherheitsrelevanter Funktionen, Tätigkeiten und Verfahren. Da sich die Teilprozesse - zumindest in größeren Unternehmen - über mehrere Mitarbeiter erstrecken, bedarf es eines geeigneten Informationsflusses, durch den sichergestellt wird, dass sämtliche beteiligten Mitarbeiter mit den für sie notwendigen und aktuellen Informationen versorgt sind. Das ISMS muss Verfahren zur Erkennung, Dokumentation und Reaktion auf Abweichungen von den im ISMS definierten Abläufen vorsehen. Die Nachvollziehbarkeit (bzw. Nachweisbarkeit) erfordert eine besondere Dokumentation, die so gestaltet ist, dass der komplette Ablauf einzelner Prozesse bzw. Aktivitäten nachvollzogen werden kann: Die im ISMS definierten Verfahren müssen auch die Dokumentation sicherheitsrelevanter Funktionen, Tätigkeiten und Verfahren beinhalten, in Form von - Arbeitsanweisungen für Interne - Arbeitsanweisungen für Externe, z. B. Dienstleister und Lieferanten. Im Rahmen des ISMS sollen Verfahren zur Erhebung und Dokumentation aller relevanten gesetzlichen Regelungen und Rechtsvorschriften, die Informationssicherheit betreffend, etabliert und fortgeschrieben werden. Die im ISMS definierten Rollen müssen qualifiziert personell besetzt werden. Das ISMS sollte hierzu entsprechende Regelungen enthalten. Das ISMS muss gewährleisten, dass sich alle Beschäftigten bewusst sind über - die Bedeutung der Einhaltung der Information Security Policy - ihre Rolle und Verantwortung bei der Einhaltung der Information Security Policy - die möglichen Auswirkungen ihrer Arbeit auf die Informationssicherheit in der Organisation - die möglichen Folgen bei Abweichung von den festgelegten Arbeitsabläufen. 17

18 24 Qualifikation & Schulung 25 Materielle Ausstattung des ISMS Das ISMS muss Verfahren zur Ermittlung von Qualifikationsbedarf und der Durchführung entsprechender Schulungsmaßnahmen vorsehen. Für die Etablierung und Erhaltung der Information Security Policy werden in der Regel notwendige Sicherheitsmaßnahmen identifiziert, die auch umgesetzt werden müssen, um ihre Wirkung zu entfalten. Bei der Etablierung des ISMS muss daher die Zuweisung entsprechender Mittel erfolgen. Zur Erhaltung des ISMS muss eine Anknüpfung an die internen Organisationsprozesse zur Mittelzuweisung sichergestellt werden. 18

19 3.3 Übersicht über bestehende ISMS-Ansätze In diesem Kapitel werden zunächst unterschiedliche ISMS-Ansätze kurz beschrieben: BSI IT-Grundschutzhandbuch, Kapitel IT-Sicherheitsmanagement BS (Information security management systems Specification with guidance for use) ISO/IEC-Technical Report TR Management of information and communications technology - MICTS (früher: GMITS) IT Infrastructure Library - ITIL Security Management Cobit (Control objectives for information and related technology) ISO/IEC TC 68 Banking and other financial services, TR Information security guidelines BSI IT-Grundschutzhandbuch (GSHB) Das IT-Grundschutzhandbuch wurde vom BSI entwickelt, um ohne aufwendige Risikoanalyse ein Sicherheitsniveau für IT-Systeme zu erreichen, das für den normalen Schutzbedarf angemessen und ausreichend ist. Das IT-Grundschutzhandbuch ist als Baukastensystem aufgebaut und empfiehlt für gängige IT-Systeme und IT-Anwendungen geeignete Standard-Sicherheitsmaßnahmen. Besondere Bedeutung kommt dabei "übergeordneten Aspekten" wie IT-Sicherheitsmanagement, Organisation des IT-Betriebs, Schulung und Sensibilisierung von Personal, Notfallvorsorge und -Reaktion oder Hard- und Softwaremanagement zu. Die Anwendung der meisten übergeordneten Bausteine ist dabei verpflichtend. Komponentenbasierte Bausteine (IT-Komponenten, Infrastruktur, Computer-Netzwerke) sind dagegen nur bei Vorhandensein entsprechender Komponenten anzuwenden. Der Aufbau der Bausteinkapitel gliedert sich immer in die drei Bereiche Kurzbeschreibung, Gefährdungslage und Maßnahmenempfehlungen. Das IT-Grundschutzhandbuch wurde in den vergangenen Jahren kontinuierlich weiterentwickelt und sukzessive um weitere Bausteine ergänzt, so dass sich derzeit eine Vielzahl von in der Praxis vorkommenden IT-Systemlandschaften durch Kombination von IT-Grundschutz-Bausteinen modellieren und absichern lassen. Der wichtigste Baustein des IT-Grundschutzhandbuchs beschreibt das IT-Sicherheitsmanagement. Das IT-Sicherheitsmanagement wird definiert als Planungs- und Lenkungsaufgabe zur sinnvollen Umsetzung und Erfolgskontrolle von IT-Sicherheitsmaßnahmen. Das Vorgehen hierzu ist in der Maßnahme M Etablierung des IT-Sicherheitsprozesses beschrieben. In dieser Maßnahme werden sämtliche der im Baustein IT-Sicherheitsmanagement empfohlenen Maßnahmen referenziert. Die einzelnen Schritte zur Etablierung des IT- Sicherheitsprozesses sind: 1. Erstellung einer IT-Sicherheitsleitlinie (detailliert in Maßnahme M beschrieben). 2. Auswahl und Etablierung einer geeigneten Organisationsstruktur für IT-Sicherheit (detailliert in Maßnahme M beschrieben). 3. Erstellung einer Übersicht über vorhandene IT-Systeme (detailliert in Maßnahme M beschrieben) 4. Festlegen der Vorgehensweise zur Erstellung eines IT-Sicherheitskonzepts (detailliert in Maßnahme M beschrieben) 19

20 5. Umsetzung der IT-Sicherheitsmaßnahmen (detailliert in Maßnahme M beschrieben) 6. IT-Sicherheit im laufenden Betrieb. Dies beinhaltet die Schulung (M 2.197) und Sensibilisierung (M 2.198) der Mitarbeiter. 7. Aufrechterhalten des sicheren Betriebs (detailliert in Maßnahme M beschrieben). Hier wird die Notwendigkeit beschrieben, bestehende IT-Sicherheitsmaßnahmen bei Erkenntnissen aus Sicherheitsvorfällen, Veränderungen im technisch-organisatorischen Umfeld sowie Änderungen von Sicherheitsanforderungen bzw. neuen Bedrohungen geeignet anzupassen. Die Erstellung von Managementreports (M 2.200) ist dabei als Grundlage für Entscheidungen der Leitungsebene erforderlich. Des Weiteren wird die Dokumentation des IT-Sicherheitsprozesses (M 2.201) verlangt, um dessen Kontinuität und Konsistenz sicherzustellen und Schwächen sowie Fehlentwicklungen zu erkennen BS (Information security management systems Specification with guidance for use) Das Dokument BS :2002 beschreibt ein Information security management system, dessen Bestandteile wie folgt dargestellt werden: Information security management system - General requirements - Establish and managing the ISMS - Documentation requirements Management responsibility - Management commitment - Resource management Management review of the ISMS - General - Review input - Review output - Internal ISMS audits ISMS improvement - Continual improvement - Corrective action - Preventive action Im Anhang des Dokuments werden weitere Informationen aufgelistet: Annex A (normative), Control objectives and controls Hier werden die Controls aus dem IS tabellarisch aufgelistet. Der internationale ISO- Standard IS ist gleichlautend mit dem Britischen Standard BS (Teil 1 des BS 7799). BS (Teil 2 des BS 7799) ist dagegen noch nicht standardisiert worden, ist jedoch derzeit Gegenstand der Diskussion innerhalb der zuständigen ISO-Standardisierungsgremien. 20

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Frank Reiländer, Berater IT-Sicherheit/Datenschutz IT Security & Risk Management, INFODAS GmbH f.reilaender@infodas.de www.save-infodas.de

Mehr

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet Xpert.press ITIL Das IT-Servicemanagement Framework von Peter Köhler überarbeitet ITIL Köhler schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: SAP Springer

Mehr

Befähigen Beherrschen Bestätigen

Befähigen Beherrschen Bestätigen ISO 20000-1:2011 Befähigen Beherrschen Bestätigen ISO/IEC 20000-1:2011 - Der Standard für IT Service Management ISO/IEC 20000-1:2011 ist ein Service Management System (SMS) Standard. Er spezifiziert die

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL) Zertifikatslehrgang IT Service Management (ITIL) IHK-Lehrgang IT Service Management (ITIL) Termin: 01.06.2012 bis 16.06.2012 IT12090 Ort: Industrie- und Handelskammer Erfurt Arnstädter Str. 34 99096 Erfurt

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Kursinformationen ITIL Zertifizierung Foundation Certificate in IT-Service Management

Kursinformationen ITIL Zertifizierung Foundation Certificate in IT-Service Management Kursinformationen ITIL Zertifizierung Foundation Certificate in IT-Service Ort: FH Bonn-Rhein-Sieg, Grantham-Allee 20, 53757 Sankt Augustin Termine: 01.03-02.03.06 täglich 9.00-17.00 Uhr Veranstalter:

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Inhaltsverzeichnis. Inhaltsverzeichnis

Inhaltsverzeichnis. Inhaltsverzeichnis 1 Qualitätssichernde Prozesse 1 1.1 Was war die alte ISO 9000:1994?... 3 1.2 ISO 9000:2000... 4 1.3 ITIL und ISO 9000: 2000... 10 1.4 Six Sigma (6)... 12 1.4.1 Fachbegriffe unter Six Sigma... 17 1.4.2

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

ISO/IEC 27001. Neue Version, neue Konzepte. Quo Vadis ISMS?

ISO/IEC 27001. Neue Version, neue Konzepte. Quo Vadis ISMS? ISO/IEC 27001 Neue Version, neue Konzepte Quo Vadis ISMS? 2/18 Ursachen und Beweggründe Regulärer Zyklus für Überarbeitung von ISO/IEC 27001:2005 Zusätzlich neues Projekt MSS (Managment System Standards)

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien

ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien Der heilige Gral des Service Management Was ist ein Standard? Was ist Best / Good Practice? Standard

Mehr

ITIL V3 - Security Management

ITIL V3 - Security Management ITIL V3 - Security Management Richard Friedl richard.friedl@itsm-partner.com ITIL is a Registered Trade Mark, and Registered Community Trade Mark of the Office of Government Commerce, and is Registered

Mehr

S-ITIL: IT-Infrastructure Library

S-ITIL: IT-Infrastructure Library S-ITIL: IT-Infrastructure Library ITIL bietet eine exzellente Basis zur Ausrichtung der IT an den Geschäftsanforderungen und Kunden sowie für einen effizienten und qualitativ hochwertigen IT-Betrieb. ITIL

Mehr

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90 ISO/IEC 20000 Eine Einführung Wie alles begann in den 80 & 90 1986 1988 1989 1990 CCTA initiiert ein Programm zur Entwicklung einer allgemein gültigen Vorgehensweise zur Verbesserung der Effizienz und

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 sverzeichnis Martin Beims IT-Service Management mit ITIL ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 Weitere Informationen oder Bestellungen unter http://www.hanser.de/978-3-446-43087-7

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Clause 3 Requirements for a Management System Clause 4 Service Management System general Requirements Neue Bezeichnung SMS

Clause 3 Requirements for a Management System Clause 4 Service Management System general Requirements Neue Bezeichnung SMS Clause 3 Requirements for a Management System Clause 4 Service Management System general Requirements Neue Bezeichnung SMS Clause 3.1 Management Responsibility Clause 4.1 Management Responsibility Clause

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Modul 3: Service Transition Teil 3

Modul 3: Service Transition Teil 3 Modul 3: Service Transition Teil 3 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

IT Sicherheitsstandards

IT Sicherheitsstandards IT Sicherheitsstandards warum, wieso, weshalb? und wenn ja, welche taugen wie für was? Überblick über die Standards: BSI Grundschutz, ISO 7799, Common Criteria und ITIL IT Sicherheitsstandards Inhalt Warum

Mehr

IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler

IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler IT Security auf Basis von SLA s am Airport Nürnberg Jörg Ziegler Agenda - Sicherheit am Airport Nürnberg - IT-Security Policy - Rolle des IT Security Managers - Gliederung für IT-Sicherheitskonzept - Maßnahmen

Mehr

Quelle: www.roewaplan.de. Stand März 2009

Quelle: www.roewaplan.de. Stand März 2009 Quelle: www.roewaplan.de Stand März 2009 ITIL V2 V3 Bridge Auszug aus der Präsentation vom 06.03.2009 RÖWAPLAN AG 2 Quellen http://www.itil.org/de/ http://de.wikipedia.org http://www.it-processmaps.com/

Mehr

Modul 2: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung)

Modul 2: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung) Modul 2: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung) M. Leischner Netzmanagement Folie 1 Was haben wir letzte Stunde gelernt? - Wiederholung Erklären Sie folgende Begriffe: Grundidee Netz als Fabrik

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Das Oracle Release- und Patch- Management unter ITIL in der Praxis

Das Oracle Release- und Patch- Management unter ITIL in der Praxis Das Oracle Release- und Patch- Management unter ITIL in der Praxis Kunde: DOAG Ort: Stuttgart Datum: 03.06.2008 Reiner Wolf, Trivadis AG Reiner.Wolf@trivadis.com Basel Baden Bern Lausanne Zürich Düsseldorf

Mehr

Teil I Überblick... 25

Teil I Überblick... 25 Inhaltsverzeichnis Vorwort... 17 Motivation und Intention... 18 ITIL ist nicht nur reine Technik... 18 ITIL ist mehr... 19 ITIL ist auch ein Thema für die Organisation... 19 Zurück zum Thema Motivation...

Mehr

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL Orientierung organisiertes IT Management in der BWI IT auf Basis ITIL 97. AFCEA-Fachveranstaltung Diensteorientierung aber mit Management Heiko Maneth, BWI IT Delivery, Leitung Prozessarchitektur und -management

Mehr

Vorlesung Hochschule Esslingen IT-Winter School 2013

Vorlesung Hochschule Esslingen IT-Winter School 2013 Service - ITIL V3 Leitfaden für Vorlesung für Vorlesung Vorlesung Hochschule Esslingen IT-Winter School 2013 Einführung in die IT Infrastructure Library (ITIL) Agenda 1 Was ist ITIL? 2 Wieso ITIL, mit

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

IT Service Management

IT Service Management IT Service Management Die IT Infrastructure Library (ITIL) Frank Klapper, CIO-IT IT,, Universität t Bielefeld München, 08.03.2006 IT Service Management: Notwendigkeit und Definition Informationen haben

Mehr

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb sverzeichnis Christian Wischki, Lutz Fröhlich ITIL & ISO/IEC 20000 für Oracle Datenbanken Praxisleitfaden für die Einführung und den Betrieb ISBN: 978-3-446-41978-0 Weitere Informationen oder Bestellungen

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Change- und Configuration Management

Change- und Configuration Management 12. itsmf Jahreskongress 2012 3./4. Dezember 2012 FUTURE OF ITSM Change- und Configuration Management Praktische Umsetzung COBIT 4.1 und Toolimplementierung 1 Vorgehensweise Prozessimplementierung Die

Mehr

Aktualisierung und Ausblick. DI. Gerald Trost

Aktualisierung und Ausblick. DI. Gerald Trost Das österr.. IT-Sicherheitshandbuch Aktualisierung und Ausblick DI. Gerald Trost Inhaltsübersicht - SIHB Ziel und Historie Struktur und Konzept Schwerpunkte der Aktualisierung 2006 Ausblick und Perspektiven

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Ihr Hacker im Unternehmen

Ihr Hacker im Unternehmen Ihr Hacker im Unternehmen Penetrationstests als ITIL basierender Prozess innerhalb des IT-Security Managements Falk Husemann Sommersemester 2011 Für die Vorlesung IT-Management Lehrstuhl 13, TU-Dortmund

Mehr

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000

EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Musterexamen EXIN IT Service Management Foundation Bridge based on ISO/IEC 20000 Ausgabe November 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced,

Mehr

Das ISO/IEC 20000 Management System & ITIL V3

Das ISO/IEC 20000 Management System & ITIL V3 Das ISO/IEC 20000 Management System & ITIL V3 Eine kleiner Vergleich Was ist ISO/IEC 20000? Was ist ITIL? ISO/IEC 20000!! Ein internationaler Qualitätsstandard, der einen integrierten Prozessansatzes für

Mehr

Neuerungen und Anpassungen rund um ISO/IEC 27001:2013

Neuerungen und Anpassungen rund um ISO/IEC 27001:2013 Neuerungen und Anpassungen rund um ISO/IEC 27001:2013 Erfahrungsbericht eines Auditors Uwe Rühl 1 Uwe Rühl Kurz zu meiner Person Externer Client Manager (Lead Auditor) für ISO/IEC 27001, ISO 22301 und

Mehr

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg sverzeichnis Christian Wischki ITIL V2, ITIL V3 und ISO/IEC 20000 Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg ISBN: 978-3-446-41977-3 Weitere Informationen oder Bestellungen

Mehr

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13 Service Transition Martin Beims WKV SS13 Karsten Nolte Inhalt Einführung & Ziele Transition Planning & Support Change Management Service Asset & Configuration Management Release & Deployment Management

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI Vorwort Sarbanes-Oxley-Act, Basel II oder KonTraG immer mehr gesetzliche Rahmenbedingungen haben einen deutlichen Bezug zur IT-Sicherheit. Sie erhöhen den Druck auf die Verantwortlichen, die Sicherheit

Mehr

Nischendisziplin Configuration Management?

Nischendisziplin Configuration Management? Nischendisziplin Configuration Management? Ergebnisse der itsmf-marktstudie Hans-Peter Fröschle itsmf Deutschland e.v. hans-peter.froeschle@itsmf.de 1 Gliederung 1. Definitionen und Stellenwert Configuration

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr