Datenschutz und Datensicherheit in Kleinen und Mittelständischen Unternehmen

Transkript

1 Datenschutz und Datensicherheit in Kleinen und Mittelständischen Unternehmen Prof. Dr. Reiner Creutzburg brandenburg.de Geprüfter Datenschutzbeauftragter (SGS TÜV) Geprüfter IT Sicherheitsbeauftragter (SGS TÜV) ISO27001 Auditor(SGS TÜV) Certified Ethical Hacker (CEH) Computer Hacking Forensic Investigator (CHFI) Security Analyst (ECSA) Licensed Penetration Tester (LPT) Cobit Practitioner Jenny Knackmuß Geprüfte Datenschutzbeauftragte (SGS TÜV) Geprüfte IT Sicherheitsbeauftragte (SGS TÜV) Unser Team um Professor Dr. Reiner Creutzburg verfügt über langjährige Erfahrung und Expertise sowohl im deutschen, als auch im internationalen Datensicherheits-Bereich. Wir beraten interdisziplinär national und international aggierende Unternehmen der Privatwirtschaft und Organisationen sowie Betriebe und Behörden aus dem Bereich der öffentlichen Verwaltung zu allen datenschutz- und sicherheitsrelevanten Fragestellungen. Wir bieten unseren Projektpartnern und Mandanten eine vollumfängliche und auf alle Bereiche der jeweiligen Organisation zugeschnittene Datenschutzberatung und betreuung, beispielsweise in folgenden Bereichen: Durchführung von Sicherheits- und Datenschutz- Checks, Durchführung von regelmäßigen unternehmensweiten Sicherheits-Schulungen, - belehrungen und Sensibilisierungsmaßnahmen, Erstellung von Datenschutzkonzepten, Erstellung von unternehmensspezifischen Sicherheits-Leitlinien und Sicherheits-Richtlinien, Erstellung von Verfahrensverzeichnissen h i und Vorabkontrollen. Darüber hinaus übernehmen wir auf Wunsch die Funktion des für viele Organisationen und Unternehmen gesetzlich vorgeschriebenen Datenschutzbeauftragten. Unsere umfangreichen Praxiserfahrungen ermöglichen es uns, individuell auf ihre Bedürfnisse einzugehen und ein angemessenes Datenschutz- und Datensicherheitsniveau in Ihrer Organisation zu etablieren, aufrecht zu erhalten und zu verbessern. In einem fortlaufenden Prozess erarbeiten wir mit Ihnen maßgeschneiderte Lösungen, um datenschutzrechtliche Bestimmungen und kaufmännische Sorgfaltspflichten im Unternehmen zu erfüllen. Die Implementierung geeigneter technischer und organisatorischer Maßnahmen zum Datenschutz und zur Informationssicherheit i h it wird Ihnen helfen, eine missbräuchliche Verwendung Ihrer Daten zu vermeiden.

2 IT-Sicherheit / Informationssicherheit Effektive Informationssicherheit ist ein Prozess. Er umfasst sowohl technische Faktoren und infra-strukturelle Aspekte als auch organisatorische und personelle Belange. Wir begleiten Sie bei diesem Prozess, zum Beispiel im Rahmen der Einführung oder Optimierung Ihres Informationssicherheitsmanagements (ISMS). Auf Basis anerkannter Kriterienwerke und Normen beraten, unterstützen und prüfen wir. Wozu Informationssicherheit? Informationssicherheit ist ein lebendiger Prozess, welcher die Vertraulichkeit, Verfügbarkeit und Integrität von Daten sicherstellen soll. Mit Informationssicherheit schützen und steigern Sie Ihre Unternehmenswerte. In vielen Unternehmen scheint es schwierig, ein angemessenes Informationssicherheitsniveau einzurichten und aufrecht zu erhalten. Dafür gibt es vielerlei Faktoren: fehlende Ressourcen, knappe Budgets und steigende Anforderungen. Durch entsprechende Gesetze werden jedoch Vorstände und Geschäftsführer persönlich für Versäumnisse und mangelnde Risikovorsorge zur Verantwortung herangezogen, siehe das Aktiengesetz bzw. KonTraG Bundesdatenschutzgesetz (BDSG) Basel II / III (Banken) Solvency II (Versicherungen) Es gibt also genügend Gründe dafür, sich mit dem Thema Informationssicherheit eingehend zu beschäftigen, und das einmal erreichte Niveau stetig anzupassen. Informationssicherheit beginnt mit einer Schutzbedarfsanalyse und der Untersuchung, welche Ihrer Prozesse unternehmenskritisch sind. Darauf aufbauend werden speziell für Ihr Unternehmen Maßnahmen zur Absicherung dieser kritischen Prozesse definiert. Ausrichtung an Standards Wir lassen uns von Ihren Unternehmenszielen leiten und setzen auf wirtschaftlich sinnvolle Maßnahmen. Basis ist die Ausrichtung an bewährten Sicherheitsstandards wie ISO und ISO auf Basis von IT-Grundschutz. Auch individuelle Unternehmensstandards beziehen wir auf Wunsch in Projekte ein und richten Ihre Informationssicherheit strategisch aus. Unsere Stärken Unsere berufserfahrenen Consultants bringen sich mit interdisziplinären Kenntnissen aus informationstechnischen, juristischen und datenschutzrechtlichen Fachrichtungen bzw. Ihren Qualifikationen als zertifizierte Auditoren für ISO Grundschutz ein. Dabei setzen wir auf pragmatische Lösungen, die Ihrem Unternehmen angemessen sind.

3 Leistungsüberblick Inhaltliche Schwerpunkte der Beratung Informationssicherheitsberatung: Erstellung und Überprüfung von unternehmensweiten Sicherheitskonzepten und von Fachkonzeptionen sowie Erarbeitung von Lösungen für die Informationssicherheit. Business Continuity Management / Notfallvorsorge: Aufbau eines leistungsfähigen Notfall- und Krisenmanagements sowie Unterstützung bei der Durchführung von Business Impact Analysen (BIA), Erstellung von Notfallvorsorgekonzepten und Notfallhandbüchern, Unterstützung bei der Vorbereitung von Notfallübungen Zertifizierungsvorbereitung: Vorbereitung auf eine Zertifizierung nach anerkannten Sicherheitsstandards (ISO bzw. ISO auf Basis von IT-Grundschutz) Inhaltlicher Schwerpunkt bei externer Beauftragung Externer IT-Sicherheitsbeauftragter: Stellung eines IT-Sicherheitsbeauftragten, der regelmäßig die Informationssicherheitsbelange koordiniert, wie z.b. Erstellung, Umsetzung und Kontrolle der Wirksamkeit der Leitlinie zur Informationssicherheit (Security Policy) und des unternehmensweiten Informationssicherheitskonzeptes. Inhaltliche Schwerpunkte der Unterstützung Business Impact Analyse: Analyse aller Geschäftsprozesse und Identifikation der wesentlicher Prozesse und Ressourcen innerhalb Ihrer Organisation. Risk Management: Systematische Erfassung, Bewertung und Steuerung von Risiken für Ihr Unternehmen. Business Continuity Planning: Planung sämtlicher Notfallvorkehrungen, zur schnellstmöglichen Wiederherstellung der Betriebsfähigkeit Ihres Unternehmens nach einem Schadensfall. Notfallübungen: Vorbereitung, Begleitung, Auswertung und Dokumentation von Notfallübungen Informationssicherheitsdokumentation: Aktualisierung, Komplettierung oder Erstellung Ihrer Dokumentation zur Informationssicherheit (Gesamtkonzepte und Einzelkonzepte)

4 Externer Datenschutzbeauftragter Der Datenschutzbeauftragte eines Unternehmens steht für den Schutz allgemeiner Persönlichkeitsrechte von Mitarbeitern und Kunden. Die Verpflichtung zu seiner Bestellung ergibt sich aus dem Gesetz. Häufig ist es eine ökonomische Alternative, diese Position extern zu vergeben: Sie profitieren dabei von fundiertem Fachwissen, vermeiden interne Interessenkonflikte und gewinnen Rechtssicherheit. Wir unterstützen Sie in Ihrem Unternehmen bei Ihren individuellen Fragestellungen und als verlässliche Partner. Komplettes Leistungsangebot Wir beraten nach den Datenschutzgesetzen des Bundes und der Länder (BDSG) sowie nach den für Ihr Unternehmen zutreffenden weiteren gesetzlichen Bestimmungen, wie z.b. UWG, TMG und TKG. Der externe Datenschutzbeauftragte unterstützt Sie beim Aufbau einer Datenschutzorganisation und übernimmt u.a. für Sie: Erstellen und Führen der Verfahrensübersichten, Regelung der - und Internetnutzung Ihrer Mitarbeiter am Arbeitsplatz, Datenschutzkonforme Verträge mit Ihren Dienstleistern, Unterstützung bei Marketing- und Werbemaßnahmen, Beratung zum Thema Arbeitnehmerdatenschutz. Vertrauen Sie uns beim Datenschutz Wir sind mit unserem Team von Datenschutz- und IT-Sicherheitsbeauftragten ein in der Region führender Dienstleister. Zu unseren Kunden zählen kleine und mittelständische Unternehmen, Arztpraxen, Organisationen und Einrichtungen unterschiedlicher Branchen und Strukturen. Darüber hinaus verfügen unsere Consultants über Spezialwissen im Bereich der IT-Sicherheit und modernen Netzwerk- und IT-Forensik. Unsere Berater Unser Team beschäfigt hoch spezialisierte und erfahrene Mitarbeiter und Berater, die auf dem Gebiet des Datenschutzes auf pragmatische Lösungen setzen und mit interdisziplinären Kompetenzen in den Bereichen Datenschutz, Recht und IT überzeugen. Ihr Mehrwert Durch einen externen Datenschutzbeauftragten können Sie: vom breiten Erfahrungsschatz aus der Tätigkeit in unterschiedlichen Unternehmen und Branchen profitieren. Interessenkonflikte innerhalb der betrieblichen Strukturen vermeiden und Ressourcen freisetzen. Vertrauen Stärken und Wettbewerbsvorteile sichern Fragen Sie uns! Gern erstellen wir Ihnen ein individuelles Angebot.

5 Datenschutz-Check Unser Datenschutz-Check bietet eine neutrale Ist-Aufnahme zum Stand des Datenschutzes in Ihrem Unternehmen. Der Fokus liegt auf eventuellen Risiken und Schwachstellen. Je nach Prüfergebnis erhalten Sie Maßnahmenempfehlungen zur Risikobeseitigung oder zur Effektivierung der bereits durch Sie getroffenen Umsetzung datenschutzrechtlicher Bestimmungen. Wir erstellen für Sie einen Abschlussbericht, der Ihnen durch priorisierte Handlungsempfehlungen die weitere Arbeit erleichtert. Methodisches Vorgehen Wir arbeiten mit Checklisten auf Basis des BDSG und anderer auf Ihr Unternehmen zutreffenden Richtlinien. Die Anforderungspunkte sind thematisch gruppiert und nach Dringlichkeit ihrer Umsetzung gegliedert. Die Recherche zum aktuellen Stand des Datenschutzes in Ihrem Unternehmen führen wir mittels Interviews von sachkundigen Personen aus Ihrem Hause durch, wir sondieren und analysieren bereits vorhandene Dokumente, führen Ortsbegehungen sowie Internetrecherchen durch. Gezielte Umsetzungsstichproben ergänzen das Gesamtbild. Aus den strukturiert festgehaltenen Eindrücken leiten wir für Sie pragmatische Empfehlungen ab. Inhaltliche Schwerpunkte Wir überprüfen insbesondere folgende datenschutzrelevante Prozesse: Umsetzung grundsätzlicher Datenschutz-Anforderungen Umsetzung technischer und organisatorischer Maßnahmen Videoüberwachung öffentlicher Bereiche Zutritts- und Zugangskontrollen Regelung der Auftragsdatenverarbeitung Systemverwaltung Ausgestaltung mobiler Arbeitsplätze Ablauf und weitere Leistungen Die erste Phase des Datenschutz-Checks entspricht der Sondierung, wir ermitteln die vorhandene Unternehmensstruktur sowie z.b. Vereinbarungen mit Dienstleistern und vorhandene Betriebsvereinbarungen. Im zweiten Schritt analysieren wir die Rechtsgrundlagen, sichten u.a. vorhandene Dokumentationen sowie den Web-Auftritt und nehmen rechtliche Bewertungen vor. Den Abschluss des Checks bildet die Berichterstellung. Sie erhalten im Ergebnis ein Dokument, welches Schwachstellen fixiert, eine Risikoabschätzung und Maßnahmenbündel enthält und Ihnen als Leitfaden für weitere Aktivitäten im Datenschutz dient. Auf Wunsch präsentieren wir die Ergebnisse vor der Geschäftsführung, erstellen erforderliche Dokumente, schulen Mitarbeiter oder vereinbaren mit Ihnen eine laufende Datenschutzberatung.