2.#IT&Grundschutztag# # Risikomanagement#nach#BSI#100&3#

Transkript

1 2.#IT&Grundschutztag# # Risikomanagement#nach#BSI#100&3# Grundlage#für#das#neue#Qualitätsmanagement#nach# ISO9001:2015?# # # Kai#WiJenburg,"Geschä)sführer,"ISO270014Audi9eamleiter"(BSI)" # Ihre%IT%in%sicheren%Händen%

2 neam#it&services#gmbh#! gegründet%1996%! ca.%55%mitarbeiter%! Zahlreiche%Referenzen%in%Europa% Ihre%IT%in%sicheren%Händen%

3 IT&Systemhaus#! ITABeratung%&%Services%! Netzwerk%! Virtualisierung%! Storage,%Backup%&%Restore%! Server,%Desktops%&%mobile%Geräte% Ihre%IT%in%sicheren%Händen%

4 InformaOonssicherheit#! Managementsysteme%(ISMS)%% ISO%27001%% BSI%Grundschutz%! Business%ConWnuity%Management% NoXallvorsorge%&%Abehandlung%! ZerWfizierung%&%Audits%! PenetraWonstests%! Schulungen%&%MitarbeiterA% sensibilisierung% Ihre%IT%in%sicheren%Händen%

5 Managementsystem# Gesamtheit%aller%% Regelungen% Maßnahmen% Prozesse% Kapazitäten% Fähigkeiten% einer%organisawon,%um%ziele%zu%definieren%und%zu%erreichen.% % ISMSAZiel:%Schutz%von%InformaWonen%jeglicher%Art%(BSI)%

6 Managementsystem# Prozessgedanke# Planung%und%KonzepWon% ( plan )% OpWmierung,% Verbesserung%( act )% Umsetzung%der%Planung% ( do )% Erfolgskontrolle,% Überwachung%der% Zielerreichung%( check )%

7 ISO#27001# Kap.#4# Kontext%der% OrganisaWon% Kap.%6%A%PLAN% Planung% (Risiken%&%Chancen,% Sicherheitsziele)% Kap.%10%A%ACT% Verbesserung% (Korrekturmaßnahmen,% ständige%verbesserung)% Kap.%8%A%DO% Betrieb% (Risikobeurteilung%&%A behandlung)% Kap.#7# Unterstützung,%Ressourcen,% Kompetenz,%Bewusstsein%% Kap.%9%A%CHECK% Bewertung%der%Leistung% (Überwachung,%Audits,% Managementbewertung)% Kap.#5# Führung,%Verpflichtung,%Rollen% &%Verantwortlichkeiten% AnhangnA# Referenzmaßnahmenziele%&%Maßnahmen%

8 ISO#2700x#! Standardreihe%

9 ISO#2700x#! ISO%27001:2013% Englisch% Deutsch%seit%März%2015%

10 ISO#2700x#! ISO27001%Anhang%A/%ISO27002%% Vollständige%Überarbeitung% Nicht%mehr%verpflichtend%(nur% cross%check )% Neue%Kapitel:% Cryptography% Supplier%RelaWonships% Neue%Maßnahmen:% IS%in%project%management% Secure%development%policy/%environment%

11 ISO#2700x#! Richtlinien:%Regeln%zur%Normenentwicklung%! Annex%SL%% Proposals%for%management%system%standards% ISO%Joint%Technical%CoordinaWon%Group% Regel%zur%Entwicklung%von%Managementsystemen%! Ziel% Einheitliche%Struktur% Verbesserung%der%Konsistenz%der%Managementsysteme% Synergien%

12 ISO#2700x#! Ziel% Homogenisierung%der%Managementsysteme% Qualitätsmanagement%(Neu:%ISO9001:2015)% Umweltmanagement% InformaWonssicherheitsmanagement%

13 ISO#2700x#! Homogenisierung%der%Managementsysteme% High%Level%Structure%(HLS)%

14 ISO#2700x#! Homogenisierung%der%Managementsysteme% Praxis% Richtlinie%zur%Dokumentenlenkung % Documented%informaWon%...%shall%be%controlled%to%ensure%...%it% is%adequately%protected%(e.g.%from%loss%of%confidenwality,% improper%use%or%loss%of%integrity) % OrganizaWon%shall%address%...%distribuWon,%access,%retrieval%and% use%...%storage%and%preservawon % Risikomanagement% When%planning%for%the%(...)%management%system,the% organizawon%shall%%...%determine%the%risks%to%prevent%or%reduce%% undesired%effects %

15 ISO#2700x#! Homogenisierung%der%Managementsysteme% Vereinheitlichung% HauptA%und%Kerntexte% Hauppeil%des%ISO27001:2013%entspricht%dem%Annex%SL% Begrifflichkeiten%und%DefiniWonen% Bsp.:% Führung%und%Verpflichtung %stap% Verantwortung%des% Managements % Struktur% integriertes%managementsystem %

16 #Neues#vom#ISO#19600:2014#! Veröffentlicht%Dezember%2014%! Compliance%Management%System%(CMS)%! Jetzt%neu%mit...% Risikomanagement%"%

17 #Neues#vom#ISO#9001:2015#! Entwurf%Mai%2014%! Veröffentlichung%geplant%September%2015%! Jetzt%neu%mit%Risikomanagement# Als% Ersatz %für%vorbeugende%maßnahmen%im%standard% Prozesse% Beschaffung% Produktentwicklung% Risikobasierte%Audits%! NoXallmanagement%

18 #Neues#vom#ISO#9001:2015#! Risikomanagement% %WIE%...?% Keine%Vorgaben%für%formelles%Risikomanagement% Risiko%als% Auswirkung%einer%Unsicherheit%auf%das%Erwartete % Auswirkung%=%Chance%oder%Risiko% Unsicherheit%=%Wahrscheinlichkeit,%Unwissenheit...% risikobasiertes%denken,%stap% ProzessAHerangehensweise % dadurch%proakwver%% Verringern%unerwünschter%Ereignisse%

19 ISO#9001:2015# Kap.#4# Kontext%der% OrganisaWon% Kap.%6%A%PLAN% Planung% (Risiken%&%Chancen,% Qualitätsziele)% Kap.%10%A%ACT% Verbesserung% (Korrekturmaßnahmen,% ständige%verbesserung)% Kap.%8%A%DO% Betrieb% (Entwicklung,%ProdukWon,% Kontrolle,%Freigabe)% Kap.#7# Unterstützung,%Ressourcen,% Kompetenz,%Bewusstsein%% Kap.%9%A%CHECK% Bewertung%der%Leistung% (Überwachung,%Audits,% Managementbewertung)% Kap.#5# Führung,%Verpflichtung,%Rollen% &%Verantwortlichkeiten%

20 Integriertes#Managementsystem#! Ziel:%Corporate%Governance% Vorgaben%in%verschiedenen%Bereichen% Qualitätsmanagement% Compliance% Umweltschutz% InformaWonssicherheit% Ausgangsbasis%ist%vorhandenes%Managementsystem,%IntegraWon% neuer%managementsysteme%und% Datenschutz% IKS% Risikomanagement% Einheitliche%Bewertungsmethoden%

21 Integriertes#Managementsystem#! Übergreifend% Managementhandbuch% Anweisungen/%DokumentaWonen% Mitarbeiterschulungen% Audits%! Fachspezifisch% QM% Umwelt%...%

22 Risikomanagement#! Standards% ca.%80%verschiedene%regelwerke,%frameworks% BSI%100A3/%ISO27005% BerücksichWgung%der%ISO31000% Risikoeigentümer %

23 Risikomanagement#! Anforderungen% Risiken% IdenWfizieren% Prozess%zur%Durchführung% Eigentümer% Analysieren% Mögliche%Folgen% Eintripswahrscheinlichkeiten% Risikoniveau% Bewerten% Priorisierung%der%Risikobehandlung%

24 Risikomanagement#! Anforderungen% Kriterien%zur%Durchführung% Kriterien%zur%Risikoakzeptanz% Ergebnisse%vergleichbar%und%konsistent%

25 neam#it&services#gmbh% Technologiepark%8% DA33100%Paderborn% % +49%5251%1652A0% +49%5251%1652A444% % % % hjp://