17 Abbildungsverzeichnis

Größe: px
Ab Seite anzeigen:

Download "17 Abbildungsverzeichnis"

Transkript

1 17 Abbildungsverzeichnis Abb.2.1:AllgemeinesPyramidenmodellVnachDr.Ing.Müller...20 Abb.4.1:Schutzobjektklassen...38 Abb.4.2:DetaillierterSicherheitsdreiklangnachDr.Ing.Müller...40 Abb.4.3:DetaillierterRisikodreiklangnachDr.Ing.Müller...42 Abb.5.1:SicherheitspyramideVnachDr.Ing.Müllerbzw. SicherheitsmanagementpyramideVnachDr.Ing.Müller...50 Abb.7.1:BCMLifecycle,angelehntanBS259991: Abb.8.1:HouseofHealth,Safety,SecurityandContinuity(HHSSC) Abb.8.2:Occ.Health,Safety,SecurityandContinuityFunctionDeployment (OHSSCFD) Abb.9.1:RisikolandkarteundRisikoklassen(Beispiel) Abb.9.2:PrinzipiellesKontextDiagrammzurPfadanalyse Abb.9.3:Kern,SupportundBegleitprozesseimLebenszyklus Abb.9.4:Begleitprozesse(Managementdisziplinen) Abb.9.5:Risiko(management)pyramideVnachDr.Ing.Müller Abb.9.6:Speichermedien Abb.9.7:DAS,NAS,SAN Abb.9.8:BusinessContinuityManagementmitderSicherheitspyramideV Abb.9.9:KontinuitätspyramideVnachDr.Ing.Müllerbzw. KontinuitätsmanagementpyramideVnachDr.Ing.Müller Abb.9.10:BusinessContinuityPyramidVaccordingtoDr.Ing.Mülleror BCMpyramidVaccordingtoDr.Ing.Müller Abb.9.11:Interdependenznetz(prinzipiellesundvereinfachtesBeispiel) Abb.9.12:Datensicherungsmethoden Abb.9.13:ÜberKreuzSicherung Abb.9.14:AllgemeinesSicherheitsschalenmodell Dr.Ing.Müller Abb.9.15:ElementedesSecuritymanagements gemäßsicherheitsschalenmodellnachdr.ing.müller Abb.9.16:Berechtigungswürfelbzw.kubus Abb.9.17:SubjektSubjektgruppeRechtObjektgruppeObjektModell Abb.9.18:USBToken(Prinzipdarstellung) Abb.9.19:Taschenauthentifikator(Prinzipdarstellung) Abb.9.20:Verschlüsselungsverfahren Abb.9.21:Firewallebenen(Prinzipdarstellung) Abb.10.1:Notfallablauf Abb.10.2:Eskalationstrichter Dr.Ing.Müller Abb.14.1:Sicherheits/RiSiKoStudie/Analyse Abb.14.2:Sicherheitsregelkreis Abb.15.1:ReifegradmodellnachDr.Ing.Müller,hierfürSicherheitundRiSiKo Abb.16.1:Sicherheits(management)prozessnachDr.Ing.Müller Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, DOI / , Vieweg+Teubner Verlag Springer Fachmedien Wiesbaden GmbH 2010

2 18 Markenverzeichnis DiefolgendenAngabenerfolgenohneGewährundohneHaftung.Esgeltenstetsdieent sprechendenschutzbestimmungenundrechteinihrerjeweilsaktuellenfassung. CERT undcertcoordinationcenter (CERT /CC)sindeingetrageneMarkenderCarne giemellonuniversity. CertifiedInformationSecurityManager,CISM,CertifiedInformationSecurityAuditor, CISA,CertifiedintheGovernanceofEnterpriseIT,CGEIT,CertifiedinRiskandInfor mation Systems Control und CRISC, sind Marken bzw. eingetragene Marken der In formationsystemsauditandcontrolassociation,inc.(isaca ). CMM,CMMI,CapabilityMaturityModel,CapabilityMaturityModelIntegration sind eingetragenemarkendercarnegiemellonuniversity. COBIT isteineeingetragenemarkederinformationsystemsauditandcontrolassocia tion (ISACA )unddesitgovernanceinstitute. GAMP isteineeingetragenemarkederinternationalsocietyforpharmaceuticalenginee ring IDEAisteineMarkederAscomSystecLtd. Information Systems Audit and Control Association und ISACA sind eingetragene MarkenderInformationSystemsAuditandControlAssociation. IT Governance Institute und ITGI sind eingetragene Marken der Information Systems AuditandControlAssociation. ITIL isteineeingetragenemarkedesofficeofgovernmentcommerce(ogc). KerberosisteineMarkedesMassachusettsInstituteofTechnology(MIT). Microsoft,Windows,NT sindeingetragenemarkendermicrosoftcorporation. MindMap isteineeingetragenemarkederbuzanorganisationltd. MISRA undmisrac sindeingetragenemarkendermiraltd. OCTAVE isteineeingetragenemarkedercarnegiemellonuniversity. RC5isteineMarkederRSASecurityInc. Stratus undcontinuousprocessing sindeingetragenemarkenvonstratustechnologies BermudaLtd. UNIX isteineeingetragenemarkeder TheOpenGroup. WiFi isteineeingetragenemarkederwifialliance. Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, DOI / , Vieweg+Teubner Verlag Springer Fachmedien Wiesbaden GmbH 2010

3 19 Verzeichnis über Gesetze, Vorschriften, Standards, Normen DiefolgendenUnterkapitelnenneneinigeGesetze,Verordnungen,Ausführungs bestimmungen,grundsätze,vorschriften,standardsundnormen,dieimzusam menhangmitdemthemasicherheits,kontinuitätsundrisikomanagementeine Rollespielen.Diesesindteilsbranchenübergreifendundteilsbranchenspezifisch. Sie behandeln z.b. Themen wie Sorgfaltspflicht der Vorstandsmitglieder, Über wachungssystem,risiken,notfallplanung,datenschutzundordnungsmäßigkeit. LageberichtzurInformationssicherheit2008der<kes>[90] Aufgrund der in [90] erhobenen Informationen ist das Bundesdatenschutzgesetz (BDSG) bei den Teilnehmern an der Sicherheitsstudie mit rund 90% am bekanntesten und für über 80% der Befragten auch relevant. Demgegenüber sind z.b. das Tele kommunikationsgesetz (TKG) und die TelekommunikationsÜberwachungsverord nung(tküv)71%,dastelemediengesetz(tmg)47%sowiedasgesetzzurkontrolle undtransparenzimunternehmensbereich(kontrag)59%derbefragtenbekannt.dies ist insofern ernüchternd, als Gesetze und Verordnungen z.b. für die Protokollierung auffirewalls,webundmailservern(s.a.[91])einehohebedeutungbesitzenunddas KonTraGdieEinrichtungeinesRisikomanagementsystemsfordert Gesetze, Verordnungen und Richtlinien Deutschland: Gesetze und Verordnungen AO AGG AktG AMG ArbSchG ASiG ArbStättV BDSG BGB BImSchG BImSchV ChemG GmbHG GPSG Abgabenordnung AllgemeinesGleichbehandlungsgesetz Aktiengesetz Arzneimittelgesetz Arbeitsschutzgesetz Arbeitssicherheitsgesetz Arbeitsstättenverordnung Bundesdatenschutzgesetz BürgerlichesGesetzbuch Gesetz zum Schutz vor schädlichen Umwelteinwirkungen durch Luft verunreinigungen,geräusche,erschütterungenundähnlichevorgänge Zwölfte Verordnung zur Durchführung des BundesImmissionsschutz gesetzes Chemikaliengesetz GmbHGesetz GeräteundProduktsicherheitsgesetz Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, DOI / , Vieweg+Teubner Verlag Springer Fachmedien Wiesbaden GmbH 2010

4 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 437 GwG HGB InvG KonTraG KWG PatG PfandBG ProdHaftG SGB SGBIV SGBVII SGBX SigG SigV SolvV TKG TKÜV TMG UMAG UmweltHG UrhG WpHG Geldwäschegesetz Handelsgesetzbuch Investmentgesetz GesetzzurKontrolleundTransparenzimUnternehmensbereich Kreditwesengesetz Patentgesetz Pfandbriefgesetz Produkthaftungsgesetz Sozialgesetzbuch ViertesSozialgesetzbuch GemeinsameVorschriftenfürdieSozialversiche rung SiebtesSozialgesetzbuch GesetzlicheUnfallversicherung Zehntes Sozialgesetzbuch Sozialverwaltungverfahren und Sozialdaten schutz Gesetz über Rahmenbedingungen für elektronische Signaturen (Signatur gesetz) VerordnungzurelektronischenSignatur(Signaturverordnung) Solvabilitätsverordnung Telekommunikationsgesetz Verordnung über die technische und organisatorische Umsetzung von MaßnahmenzurÜberwachungderTelekommunikation(Telekommunika tionsüberwachungsverordnung) Telemediengesetz GesetzzurUnternehmensintegritätundModernisierungdesAnfechtungs rechts Umwelthaftungsgesetz Urheberrechtsgesetz GesetzüberdenWertpapierhandel(Wertpapierhandelsgesetz) Österreich: Gesetze und Verordnungen BWG Bankwesengesetz DSG2000 Datenschutzgesetz 2000 InfoSiG Bundesgesetz über die Umsetzung völkerrechtlicher Verpflichtungen zur sicherenverwendungvoninformationen(informationssicherheitsgesetz) InfoSiV VerordnungderBundesregierungüberdieInformationssicherheit Schweiz: Gesetze, Verordnungen und Rundschreiben BankG BankV DSG FINMA RS08/7 BundesgesetzüberdieBankenundSparkassen(Bankengesetz) VerordnungüberdieBankenundSparkassen(Bankenverordnung) BundesgesetzüberdenDatenschutz Rundschreiben2008/7,OutsourcingBanken

5 438 FINMA RS08/21 FINMA RS08/32 FINMA RS08/35 GeBüV GwG GwV FINMA1 GwV FINMA2 GwV FINMA3 VAG VDSG 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen Rundschreiben2008/21,OperationelleRisikenBanken Eigenmittelanforde rungenfüroperationellerisikenbeibanken Rundschreiben2008/32,CorporateGovernanceVersicherer CorporateGov ernance,risikomanagementundinterneskontrollsystembeiversicherern Rundschreiben2008/35,InterneRevisionVersicherer InterneRevisionbei Versicherern Verordnung über die Führung und Aufbewahrung der Geschäftsbücher (Geschäftsbücherverordnung) Bundesgesetz über die Bekämpfung der Geldwäscherei und der Terroris musfinanzierungimfinanzsektor(geldwäschereigesetz) Verordnung der Eidgenössischen Finanzmarktaufsicht über die Verhinde rung von Geldwäscherei und Terrorismusfinanzierung im Banken, Effek tenhändler und Kollektivanlagenbereich (Geldwäschereiverordnung FINMA1) Verordnung der Eidgenössischen Finanzmarktaufsicht über die Verhinde rung von Geldwäscherei und Terrorismusfinanzierung im Privatversiche rungsbereich(geldwäschereiverordnungfinma2,gwvfinma2) Verordnung der Eidgenössischen Finanzmarktaufsicht über die Verhinde rungvongeldwäschereiundterrorismusfinanzierungimübrigenfinanz sektor(geldwäschereiverordnungfinma3,gwvfinma3) Bundesgesetz betreffend die Aufsicht über Versicherungsunternehmen (Versicherungsaufsichtsgesetz) VerordnungzumBundesgesetzüberdenDatenschutz Großbritannien: Gesetze, Vorschriften FoIA HASAW, HSW, HSWA FreedomofInformationAct(FoIA)2000 TheHealthandSafetyatWorketcAct1974, hinsichtlichstrafengeändertdurch TheHealthandSafety(Offences)Act2008 ManagementofHealthandSafetyatWorkRegulations WorkplaceRegulations Europa: Entscheidungen und Richtlinien Entscheidung 2000/520/EG Entscheidung Entscheidung der Kommission vom 26.Juli2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemes senheit des von den Grundsätzen des sicheren Hafens und der diesbe züglichen HäufiggestelltenFragen (FAQ)gewährleistetenSchutzes,vor gelegtvomhandelsministeriumderusa,2000/520/eg Entscheidung der Kommission vom 27.Dezember2001 hinsichtlich Stan dardvertragsklauseln für die Übermittlung personenbezogener Daten an

6 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen /16/EG Richtlinie 95/46/EG Richtlinie 2000/31/EG Richtlinie 2002/58/EG Richtlinie 2006/43/EG EuroSOX PIC/S PE0092 PIC/S PI0112 AuftragsverarbeiterinDrittländernnachderRichtlinie95/46/EG Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.Oktober1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogenerdatenundzumfreiendatenverkehr Richtlinie 2000/31/EG des Europäischen Parlaments und des Rates vom 8.Juni 2000 über bestimmte rechtliche Aspekte der Dienste der Informa tionsgesellschaft, insbesondere des elektronischen Geschäftsverkehrs, im Binnenmarkt( RichtlinieüberdenelektronischenGeschäftsverkehr ) Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12.Juli2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Daten schutzrichtliniefürelektronischekommunikation) Richtlinie 2006/43/EG des europäischen Parlaments und der Rates vom 17.Mai2006überAbschlussprüfungenvonJahresabschlüssenundkonsoli diertenabschlüssen(eurosox) European Communities: Guidelines on best practices for using electronic information,1997 Guide to Good Manufacturing Practice for Medicinal Products, Annexes, PE0098,PIC/S,15.Januar2009 Good Practices for Computerised Systems in Regulated GxP Environ ments,pi0113,pic/s,25.september USA: Gesetze, Practices und Prüfvorschriften 21CFR Part11 21CFR Part58 21CFR Part211 21CFR Part820 CGMP COPPA COSO:Internal Control DPPA FDIC,Managing MultipleService Providers ElectronicRecords;ElectronicSignatures,CodeofFederalRegulations; Title21,Part11 Good Laboratory Practice for Nonclinical Laboratory Studies regula tions,codeoffederalregulations,title21,part58 Current Good Manufacturing Practice for Finished Pharmaceuticals, CodeofFederalRegulations,Title21,Part211 QualitySystemregulation,CodeofFederalRegulations,Title21,Part 820 CurrentGoodManufacturingPractice Children sonlineprivacyprotectionact InternalControl IntegratedFramework(1992) InternalControloverFinancialReporting GuidanceforSmaller PublicCompanies(2006) GuidanceonMonitoringInternalControlSystems(2009) DriversPrivacyProtectionAct ElectronicCommunicationsPrivacyAct Technology Outsourcing, Techniques for Managing Multiple Service Providers

7 440 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen FDIC,Selectinga ServiceProvider FERPA FFIEC,BCP FFIEC,D&A FFIEC,IS FFIEC,MGT FFIEC,OPS FFIEC,OT FFIEC,TSP FISMA GLBA HMTA HIPAA OSHAct Technology Outsourcing, Effective Practices for Selecting a Service Provider FamilyEducationalRightsandPrivacyAct ITExaminationHandbook,BusinessContinuityPlanning,März2008 ITExaminationHandbook,DevelopmentandAcquisition,April2004 ITExaminationHandbook,InformationSecurity,Juli2006 IT Examination Handbook, Management (IT Risk Management Process),Juni2004 ITExaminationHandbook,Operations,Juli2004 IT Examination Handbook, Outsourcing Technology Services, Juni 2004 IT Examination Handbook, Supervision of Technology Service Provi ders(tsp),märz2003 FederalInformationSecurityManagementActof2002 GrammLeachBlileyAct HazardousMaterialsTransportationAct HealthInsurancePortabilityandAccountabilityAct OccupationalSafetyandHealthAct PrivacyAct PCAOB, AuditingStandards16: AuditingStandards Auditing Standard1:References in Auditors Reports to the Stan 1 6 dardsofthepubliccompanyaccountingoversightboard Auditing Standard2:An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements AuditingStandard3:AuditDocumentation AuditingStandard4:ReportingonWhetheraPreviouslyReported MaterialWeaknessContinuestoExist Auditing Standard5:An Audit of Internal Control Over Financial ReportingThatIsIntegratedwithAnAuditofFinancialStatements Auditing Standard6:Evaluating Consistency of Financial State ments SOX SarbanesOxleyAct SSA SocialSecurityAct TSCA ToxicSubstancesControlAct Examination Manual for U.S. Branches and Agencies of Foreign Ban kingorganizations 19.2 Ausführungsbestimmungen, Grundsätze, Vorschriften BaselII Internationale Konvergenz der Kapitalmessung und Eigenkapitalanfor derungen

8 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 441 BGV GDPdU GoB BerufsgenossenschaftlicheVorschriften GrundsätzezumDatenzugriffundzurPrüfbarkeitdigitalerUnterlagen GrundsätzeordnungsmäßigerBuchführung GoBS Grundsätzeordnungsmäßiger DVgestützterBuchführungssysteme. Die GoBS sollen durch die Grundsätze ordnungsmäßiger Buchführung beimiteinsatz(gobit)abgelöstwerden. GoDV GrundsätzeordnungsmäßigerDatenverarbeitung [19] GoS GrundsätzeordnungsmäßigerSpeicherbuchführung(neugefasstinGoBS) IDW PS330 IDW EPS525 IDW PS880 IDWPS951 IDW RSFAIT1 IDW RSFAIT2 IDW RSFAIT3 InvMaRisk MaIuK MaRiskBA MaRiskVA MaComp Abschlußprüfung bei Einsatz von Informationstechnologie, Verlautbarung desinstitutsderwirtschaftsprüfer(idw),stand: Die Beurteilung des Risikomanagements von Kreditinstituten im Rahmen der Abschlussprüfung, Entwurf IDW Prüfungsstandard, vom Hauptfach ausschuss(hfa)am verabschiedeterstand Erteilung und Verwendung von Softwarebescheinigungen (IDW), Stand: IDWEPS880n.F.:DiePrüfungvonSoftwareprodukten,EntwurfeinerNeu fassung des IDW Prüfungsstandards, vom Hauptfachausschuss (HFA) am verabschiedeterStand Die Prüfung des internen Kontrollsystems beim Dienstleistungsunterneh men für auf das Dienstleistungsunternehmen ausgelagerte Funktionen (IDW),Stand Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Informations technologie,verlautbarungdesinstitutsderwirtschaftsprüfer(idw),fach ausschussfürinformationstechnologie(fait),stand: Grundsätze ordnungsgemäßer Buchführung bei Einsatz von Electronic Commerce, Verlautbarung des Instituts der Wirtschaftsprüfer (IDW),FachausschussfürInformationstechnologie(FAIT),Stand: Grundsätze ordnungsmäßiger Buchführung beim Einsatz elektronischer Archivierungsverfahren, Verlautbarung des InstitutsderWirtschaftsprüfer (IDW),FachausschussfürInformationstechnologie(FAIT),Stand: Mindestanforderungen an das Risikomanagement für Investmentgesell schaften (InvMaRisk), Entwurf eines Rundschreibens der BaFin vom Mindestanforderungen der Rechnungshöfe des Bundes und der Länder zumeinsatzderinformationsundkommunikationstechnik IuKMindest anforderungen MindestanforderungenandasRisikomanagement(Bankenaufsicht) AufsichtsrechtlicheMindestanforderungenandasRisikomanagement(Ver sicherungsaufsicht) MindestanforderungenanComplianceunddieweiterenVerhaltens,Orga nisations und Transparenzpflichten nach 31ff. WpHG, Entwurf eines RundschreibensderBaFinvom

9 442 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 19.3 Standards, Normen, Leitlinien und Rundschreiben ANSI/AIHAZ ANSI/IEEE Std ANSI/IEEE Std ANSI/IEEE Std.1012a1998 BaselerAusschuss, Compliance,April 2005 BaselerAusschuss, RiskManagement Principles,Juli2003 BaselerAusschuss, SoundPractices, Februar2003 BaselerAusschuss, StressTesting,Ja nuar2009 BSOHSAS BSOHSAS 18001:2007 BSOHSAS 18002:2008 BS259991:2006 OccupationalHealthandSafetyManagementSystems StandardforSoftwareTestDocumentation StandardforSoftwareUnitTest StandardforSoftwareVerificationandValidationPlans Complianceandthecompliancefunctioninbanks RiskManagementPrinciplesforElectronicBanking,BaselerAusschuss SoundPracticesfortheManagementandSupervisionofOperational Risk,BaselerAusschuss Principlesforsoundstresstestingpracticesandsupervision,Consulta tivedocument OccupationalHealthandSafetyAssessmentSeries Occupationalhealthandsafetymanagementsystems Requirements Occupationalhealthandsafetymanagementsystems Guidelinesfor theimplementationofohsas18001:2007 Business Continuity Management Code of practice. Diese britische NormersetztPAS56:2003 BS259992:2007 BusinessContinuityManagement Specification BSIStandard 1001:2008 Managementsysteme für Informationssicherheit (ISMS), Version 1.5, Mai2008 BSIStandard ITGrundschutzVorgehensweise,Version2.0,Mai :2008 BSIStandard 1003:2008 Risikoanalyse auf der Basis von ITGrundschutz, Version 2.5, Mai2008 BSIStandard Notfallmanagement,Version1.0,November :2008 CC,V3.1 CommonCriteria,Version3.1,September2006 CEM,V3.1 Common Methodology for Information Security Evaluation, Version 3.1,September2006 CMM CapabilityMaturityModel (VorgängerdesCMMI ) CMMI CapabilityMaturityModelIntegration

10 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 443 COBIT CSPPOS DINEN37 DINEN179 DINVDE DINEN1125 DINEN1627 DIN4102 DINENISO9001 DINISO97359 DINISO10007 DINEN12251 DINEN12600 DIN14096 DIN DIN DIN DIN25424 DIN25448 ControlObjectivesforInformationandrelatedTechnology COTSSecurityProtectionProfile OperatingSystems DeutscherCorporateGovernanceKodex TragbareFeuerlöscher Teil7:Eigenschaften,Löschleistung,Anforde rungenundprüfung Schlösser und Baubeschläge Notausgangsverschlüsse mit Drücker oder Stoßplatte für Türen in Rettungswegen Anforderungen und Prüfverfahren GefahrenmeldeanlagenfürBrand,EinbruchundÜberfall Teil1:AllgemeineFestlegungen Teil2:FestlegungenfürBrandmeldeanlagen(BMA) Teil3:FestlegungenfürEinbruchundÜberfallmeldeanlagen Teil4:FestlegungenfürAnlagenzurSprachalarmierungimBrand fall Schlösser und Baubeschläge Paniktürverschlüsse mit horizontaler Betätigungsstange,fürTüreninRettungswegen Anforderungenund Prüfverfahren EinbruchhemmendeBauprodukte(nichtfürBetonfertigteile) Anfor derungenundklassifizierung; BrandverhaltenvonBaustoffenundBauteilen Qualitätsmanagementsysteme Anforderungen ElektronischerDatenaustauschfürVerwaltung,WirtschaftundTrans port (EDIFACT) SyntaxRegeln auf Anwendungsebene Teil 9: SicherheitsschlüsselundZertifikatsverwaltung Qualitätsmanagement LeitfadenfürKonfigurationsmanagement Medizinische Informatik Sichere Nutzeridentifikation im Gesund heitswesen Management und Sicherheit für die Authentifizierung durchpasswörter, GlasimBauwesen Pendelschlagversuch VerfahrenfürdieStoßprü fungundklassifizierungvonflachglas Brandschutzordnung EDIFACT Anwendungsregeln Teil 15: Anwendung des Service Nachrichtentyps AUTACK zur Übermittlung von Integritäts und AuthentizitätsinformationenüberversendeteNutzdaten ElektronischerDatenaustauschfürVerwaltung,WirtschaftundTrans port(edifact) Teil4:RegelnzurAuszeichnungvonUN/EDIFACT Übertragungsdateien mit der extensible Markup Language (XML) untereinsatzvondocumenttypedefinitions(dtd s) Türen; Rauchschutztüren; Bauprüfungen der Dauerfunktionstüch tigkeitunddichtheit Fehlerbaumanalyse, Teil 1: Methode und Bildzeichen, Teil 2: Hand rechenverfahrenzurauswertungeinesfehlerbaumes Ausfalleffektanalyse(FehlerMöglichkeits und EinflussAnalyse) DIN Büro und Datentechnik Vernichtung von Informationsträgern Teil1:AnforderungenundPrüfungenanMaschinenundEinrichtun gen

11 444 DIN40041 DINEN50126 DINEN50128 DINEN50129 DINEN DINEN EN10471,2 FinTS GAMP GERM HBCI IEC30039 ILOOSH ISO/IECGuide73 ISO/IEC ISO 10007:2003 ISO/IEC ISO/IEC 12207:2008 ISO/IEC ,2,3 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen Zuverlässigkeit;Begriffe Bahnanwendungen SpezifikationundNachweisderZuverlässigkeit, Verfügbarkeit, Instandhaltbarkeit, Sicherheit (RAMS) {RAMS = Relia bility,availability,maintainability,safety) Bahnanwendungen Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme SoftwarefürEisenbahnsteuerungsund Überwachungssysteme Bahnanwendungen Telekommunikationstechnik, Signaltechnik und Datenverarbeitungssysteme SicherheitsrelevanteelektronischeSyste mefürsignaltechnik Unterbrechungsfreie Stromversorgungssysteme (USV) Teil 3: Me thoden zur Festlegung der Leistungs und Prüfungsanforderungen (IEC620403) Anwendung des Risikomanagements für ITNetzwerke mit Medizin produkten Teil1: Aufgaben, Verantwortlichkeiten und Aktivitäten (IEC62A/668/CDV:2009);DeutscheFassungFprEN800011:2009) Wertbehältnisse KlassifizierungundMethodenzurPrüfungdesWi derstandesgegenbrand Teil1:Datensicherungsschränke Teil2:DatensicherungsräumeundDatensicherungscontainer FinancialTransactionServices TheGoodAutomatedManufacturingPractice(GAMP ) Guidefor ValidationofAutomatedSystemsinPharmaceuticalManufacture GoodElectronicRecordsManagement HomeBankingComputerInterface Riskanalysisoftechnologicalsystems Leitfaden für Arbeitsschutzmanagementsysteme, Internationale Ar beitsorganisation RisikoManagement Wörterbuch Leitfaden für die Berücksichti gungvonterminizumrisikomanagementinnormen Informationstechnik Begriffe Teil8:Sicherheit, Qualitymanagementsystems Guidelinesforconfigurationmanage ment Informationtechnology Securitytechniques Hashfunctions Part1:General,2000 Part2:Hashfunctionsusingannbitblockcipher,2000 Part3:Dedicatedhashfunctions,2004 Part4:Hashfunctionsusingmodulararithmetic,1998 Systemsandsoftwareengineering Softwarelifecycleprocesses Information technology (Informationstechnik) Security techniques (Sicherheitsverfahren) Nonrepudiation(NichtAbstreitbarkeit)

12 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 445 DINENISO 14001:2009 ISO/IEC ,2,3 ISO/TS15000 ISO/IEC ,2,3 ISO/IECTR ,2,3 ISO/IECTR 15446:2009 ISO154891,I SO/TR ISO/IECTR Part1:General(AllgemeinesModell),2009 Part2:Mechanismsusingsymmetrictechniques(Mechanismenauf BasisvonsymmetrischenTechniken), (inüberarbeitung,zieldatumderpublikation:november2010) Part3:Mechanisms using asymmetric techniques (Mechanismen aufbasisvonasymmetrischentechniken),2009 Umweltmanagementsysteme Anforderungen mit Anleitung zur Anwendung,2009 Information technology (Informationstechnik) Security techniques (Sicherheitsverfahren) Digital signatures with appendix (Digitale SignaturenmitAnhang) Part1:General,2008 Part2:Integerfactorizationbasedmechanisms,2008 Part3:Discretelogarithmbasedmechanisms,2006; Cor1:2007,Cor.2:2009 Erweiterbare Auszeichnungssprache für das elektronische Geschäfts wesen(ebxml),teil1bis5,vornorm Informationtechnology Securitytechniques Evaluationcriteriafor ITsecuritys.a.CommonCriteria Part1:Introductionandgeneralmodel,2009 Part2:Securityfunctionalcomponents,2008 Part3:Securityassurancecomponents,2008 Information technology Security techniques A framework for IT security assurance (Informationstechnik Sicherheitsverfahren Ein RahmenwerkzurQualitätssicherungderITSicherheit) Part1:Overviewandframework,2005 Part2:Assurancemethods,2005 Part3:Analysisofassurancemethods,2007 Informationtechnology Securitytechniques Guidefortheproduc tionofprotectionprofilesandsecuritytargets Informationanddocumentation:Recordsmanagement Part1:General Part2:Guidelines. Informationstechnik BewertungvonSoftwareProzessen Part1:Conceptsandvocabulary,2004 Part2:Performinganassessment,2003 Part3:Guidanceonperforminganassessment,2004 Part4:Guidanceonuseforprocessimprovementandprocessca pabilitydetermination,2004 Part5:AnexemplarProcessAssessmentModel,2006 Part6:An exemplar system life cycle process assessment model, 2008 Part7:Assessmentoforganizationalmaturity,2008 Part8:AnexemplarprocessassessmentmodelforITservice management,inentwicklung

13 446 ISO/IEC ,5 ISO/IEC ISO/IEC TR18044:2004 ISO/IEC 18045:2008 ISO/IEC : :2009 ISO/IEC 19792:2009 ISO/IEC ,2, TR DISTR PRFTR ISO/IEC :2004 ISO/IEC 21827:2008 ISO22000:2005 ISO/TS :2009 ISO/TS 22003: VerzeichnisüberGesetze,Vorschriften,Standards,Normen Part9:CapabilityTargetProfiles,inEntwicklung Part10:SafetyExtensions,inEntwicklung Informationtechnology Securitytechniques Cryptographictechni quesbasedonellipticcurves Part1:General,2008(ISO/IEC159461:2008/Cor1:2009) Part5:Ellipticcurvegeneration,2009 Informationtechnology Security techniques ITnetworksecurity Part2:Networksecurityarchitecture,2006 Part3:Securingcommunicationsbetweennetworksusingsecurity gateways,2005 Part4:Securingremoteaccess,2005 Part 5: Securing communications across networks using virtual privatenetworks,2006. InformationTechnology SecurityTechniques Informationsecurity incidentmanagement Information technology Security techniques Methodology for IT securityevaluation Informationtechnology Softwareassetmanagement Part1:Processes Part2:Softwareidentificationtag Informationtechnology Securitytechniques Securityevaluationof biometrics Informationtechnology Servicemanagement Part1:Specification,2005(basiertaufdemStandardBS15000und löstihnab) Part2:Codeofpractice,2005(basiertaufdemStandardBS undlöstihnab). Part3:GuidanceonscopedefinitionandapplicabilityofISO/IEC Part4:ProcessReferenceModel Part5:ExemplarimplementationplanforISO/IEC Informationtechnology Multimediaframework(MPEG21) Part5: RightsExpressionLanguage Information technology Security techniques Systems Security En gineering CapabilityMaturityModel (SSECMM ) Foodsafetymanagementsystems Requirementsforanyorganization inthefoodchain Prerequisiteprogrammesonfoodsafety Part1:Foodmanufacturing Food safety management systems Requirements for bodies provid ingauditandcertificationoffoodsafetymanagementsystems

14 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 447 ISO/TS 22004:2005 ISO 22006:2009 ISO/PAS 22399:2007 ISO/IEC TR247311:2007 ISO/IEC 24759:2008 ISO/IEC CD24760 ISO/IEC 24761:2009 ISO/IEC 24762:2008 ISO/IEC24764 ISO/IEC 25000:2005 ISO/IEC 27000:2009 ISO/IEC 27001:2005 ISO/IEC 27002:2005 ISO/IEC 27003:2010 ISO/IEC 27004:2009 ISO/IEC 27005:2008 ISO/IEC 27006:2007 ISO/IEC CD27007 ISO/IEC WD27008 ISO/IEC 27011:2008 ISO/IEC :2009 CD Food safety management systems Guidance on the application of ISO22000:2005 Qualitymanagementsystems GuidelinesfortheapplicationofISO 9001:2008tocropproduction Societalsecurity Guidelineforincidentpreparednessandoperational continuitymanagement Informationtechnology Programminglanguages,theirenvironments andsystemsoftwareinterfaces ExtensionstotheClibrary Part1: Boundscheckinginterfaces Informationtechnology Securitytechniques Testrequirementsfor CryptographicModules Informationtechnology Securitytechniques AFrameworkforIden titymanagement,zielterminderpublikation:dezember2011 Informationtechnology Securitytechniques Authenticationcontext forbiometrics(acbio) Information technology Security techniques Guidelines for infor mationandcommunicationstechnologydisasterrecoveryservices Information technology Generic cabling systems for datacentres, 2010 Software Engineering Software product Quality Requirements and Evaluation(SQuaRE) GuidetoSQuaRE Information technology Security techniques Information security managementsystems Overviewandvocabulary Information technology Security techniques Information security managementsystems Requirements Informationtechnology Securitytechniques Codeofpracticefor informationsecuritymanagement.standard,derseitjuli2007diebis herigeiso17799:2005unterdieserneuennummerweiterführt. Informationtechnology Securitytechniques Informationsecurity managementsystemimplementationguidance Informationtechnology Securitytechniques Informationsecurity management Measurement Informationtechnology Securitytechniques Informationsecurity riskmanagement Information technology Security techniques Requirements for bodies providing audit and certification of information security ma nagementsystems Informationtechnology Securitytechniques Guidelinesforinfor mationsecuritymanagementsystemsauditing Informationtechnology Securitytechniques Guidanceforauditors onismscontrols Information technology Security techniques Information security management guidelines for telecommunications organizations based oniso/iec27002 Informationtechnology Securitytechniques Networksecurity Part1:Overviewandconcepts

15 448 FCD NP ISO 27799:2008 ISO 28000:2007 ISO 28001:2007 ISO 28003:2007 ISO 28004:2007 ISO/PAS :2009 ISO/IEC 29361:2008 ISO/IEC 29362:2008 ISO/IEC 29363:2008 ISO31000:2009 ISO/IEC 31010:2009 ISO/IEC 38500:2008 ITGSK ITIL ITSEC LV21,AMS LV22,AMS MISRAC : VerzeichnisüberGesetze,Vorschriften,Standards,Normen Part 2: Guidelines for the design and implementation of network security(ersetztiso/iec180282:2006) Part3:Referencenetworkingscenarios Risks,designtechniques andcontrolissues Part4:Securingcommunicationsbetweennetworksusingsecurity gateways Threats, design techniques and control issues (ersetzt ISO/IEC180283:2005) Healthinformatics Informationsecuritymanagementinhealthusing ISO/IEC27002 Specificationforsecuritymanagementsystemsforthesupplychain Securitymanagementsystemsforthesupplychain Bestpracticesfor implementingsupplychainsecurity,assessmentsandplans Require mentsandguidance Securitymanagementsystemsforthesupplychain Requirementsfor bodiesprovidingauditandcertificationofsupplychainsecurityma nagementsystems Security management systems for the supply chain Guidelines for theimplementationofiso28000 Security management systems for the supply chain Electronic port clearance(epc) Part2:Coredataelements Information technology Web Services Interoperability WSI Basic ProfileVersion1.1 Information technology Web Services Interoperability WSI At tachmentsprofileversion1.0. Informationtechnology WebServicesInteroperability WSISimple SOAPBindingProfileVersion1.0 Riskmanagement Principlesandguidelines Riskmanagement Riskassessmenttechniques Corporategovernanceofinformationtechnology ITGrundschutzkatalogedesdeutschenBundesamtesfürSicherheitin derinformationstechnik(bsi). ITInfrastructureLibrarydesOfficeofGovernmentCommerce(OGC) KriterienfürdieBewertungderSicherheitvonSystemenderInforma tionstechnik(itsec),bundesanzeiger,stand:juni1991 Arbeitsschutzmanagementsysteme:SpezifikationzurfreiwilligenEin führung, Anwendung und Weiterentwicklung von Arbeitsschutz managementsystemen(ams) Arbeitsschutzmanagementsysteme: Handlungshilfe zur freiwilligen EinführungundAnwendungvonArbeitsschutzmanagementsystemen (AMS)fürkleineundmittlereUnternehmen(KMU) GuidelinesfortheuseoftheClanguageincriticalsystems

16 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen 449 MISRA C++:2008 NIST80016 NIST80027, Rev.A NIST80030 NIST80036 NIST80041, Revision1 NIST80053, Revision3 NIST80053A OECDcGLP OECDGLP OECDCorporate Governance OENORM S2400:2009 OENORM S2401:2009 OENORM S2402:2009 OENORM S2403:2009 OHRIS ONR49000 ONR49001 ONR49002 ONR49003 PAS77:2006 SA8000 SPICE GuidelinesfortheuseoftheC++languageincriticalsystems InformationTechnologySecurityTrainingRequirements:ARoleand PerformanceBasedModel,April1998;Revision1(Draft),März2009 EngineeringPrinciplesforITSecurity,RevisionA,NIST,Juni2004 Risk Management Guide for Information Technology Systems, NIST, Juli2002 Guide to Selecting Information Technology Security Products, NIST, Oktober2003 Guidelines on Firewalls and Firewall Policy, Revision 1, NIST, Sep tember2009 RecommendedSecurityControlsforFederalInformationSystemsand Organizations,Revision3,NIST,August2009 GuideforAssessingtheSecurityControlsinFederalInformationSys tems,nist,juli2008 DieAnwendung derglpgrundsätzeaufcomputergestütztesysteme, SchriftenreiheüberdieGrundsätzederGutenLaborpraxisundÜber wachungihrereinhaltung,nummer10 OECDGrundsätze der Guten Laborpraxis, Schriftenreihe über die Grundsätze der Guten Laborpraxis und Überwachung ihrer Einhal tung,nummer1 OECDGrundsätzederCorporateGovernance Business Continuity und Corporate Security Management Benen nungenunddefinitionen Business Continuity und Corporate Security Management SystemaufbauundBusinessContinuityundCorporateSecurityPolicy Business Continuity und Corporate Security Management Business ContinuityManagement BusinessContinuityundCorporateSecurityManagement Corporate SecurityManagement OccupationalHealthandRiskManagementSystem Risikomanagement für Organisationen und Systeme Begriffe und Grundlagen Risikomanagement für Organisationen und Systeme Elemente des RisikomanagementSystems RisikomanagementfürOrganisationenundSysteme Teil1:LeitfadenfürdasRisikomanagement Teil2:LeitfadenfürdieEinbettungdesRisikomanagementsindas Managementsystem RisikomanagementfürOrganisationenundSysteme Anforderungen andiequalifikationdesrisikomanagers ITServiceContinuityManagement CodeofPractice SocialAccountability8000 Software Process Improvement and Capability determination, s.a.

17 450 SSECMM TheJointForum, Outsourcing, Februar2005 TheJointForum, BusinessContinui ty,august2006 VdS22471,2,S VdS2263 VdS2311 VdS2366 VdS2367 VdS2463 VdS2465 VdS3425 VdS3436 VSITR 19VerzeichnisüberGesetze,Vorschriften,Standards,Normen ISO/IECTR15504 Information technology Systems Security Engineering Capability MaturityModel(ISO/IEC21827:2002) OutsourcinginFinancialServices,TheJointForum,BaselCommittee onbankingsupervision Highlevelprinciplesforbusinesscontinuity,Consultativedocument, TheJointForum,BaselCommitteeonBankingSupervision Richtlinien für Einbruchmeldeanlagen Prüfungsfragen Einbruch meldeanlagen,2006 Teil1:AllgemeineElektrotechnik Teil2:Einbruchmeldetechnik TeilS:ZusatzfragenzurmechanischenSicherungstechnik BetriebsbuchfürEinbruch undüberfallmeldeanlagen, Einbruchmeldeanlagen,PlanungundEinbau, ErgänzungS1, Videoüberwachungsanlagen,PlanungundEinbau, Zutrittskontrollanlagen,PlanungundEinbau, Richtlinien für Gefahrenmeldeanlagen Übertragungsgeräte für Ge fahrenmeldungen(üg) Anforderungen, Richtlinien für Gefahrenmeldeanlagen Übertragungsprotokoll für Gefahrenmeldungen,Version2, ErgänzungS1:KorrekturundAnpassungvonSatztypen, ErgänzungS2:ProtokollerweiterungzurAnschaltunganNetzeder ProtokollfamilieTCP, Ergänzung S3: Protokollerweiterung zur Anschaltung von Video überwachungsanlagenangefahrenmeldeanlagen, BetriebsbuchfürVideoüberwachungsanlagen, BetriebsbuchfürZutrittskontrollanlagen, Richtlinien zum Geheimschutz von Verschlusssachen beim Einsatz von Informationstechnik (VSITRichtlinien VSITR), Erlass des BMI vom IS /1

18 20 Literatur- und Quellenverzeichnis [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] Müller,KlausRainer:ITSicherheitsmanagementunddieRollederUnternehmens berater,datensicherheitstage,5.oktober1995 Müller,KlausRainer:ITSicherheitmitSystem,VIEWEG,Juli2003 <kes>/microsoftstudie2008,lageberichtzurinformationssicherheit,teil2,<kes>, 5/2008,S.55ff. Basler Ausschuss für Bankenaufsicht: Internationale Konvergenz der Eigenkapital messungunddereigenkapitalanforderungen,überarbeiteterahmenvereinbarung, Juni2004 BaslerAusschussfürBankenaufsicht:EnhancementstotheBaselIIframework,Juli 2009 Müller, KlausRainer: Unternehmensberater UngeliebteZaungäste?, KES, 2/1996, S.6ff. Müller,KlausRainer:Risikenvermeiden,BusinessComputing,7/1996,S.46ff. Müller, KlausRainer: Sicherheits und Qualitätsmanagement zwei Seiten einer Medaille?,KES,3/1996,S.111ff. Müller,KlausRainer:ITSicherheitmitSystem,VIEWEG,3.Auflage,Oktober2007 Anderson,Ross:SecurityEngineering,Wiley,2001 Müller, KlausRainer: Risikoanalyse diktiert die Handlung, Computerzeitung, 38/2004,S.17 ISO/IEC : Information technology Security techniques Management of informationandcommunicationstechnologysecurity Part1:Conceptsandmodels for information and communications technology security management, 2004, zurückgezogenimmärz2010 Müller, KlausRainer: Lebenszyklus und prozessimmanente ITSicherheit, <kes>, 3/2004,S.72ff. Brockhaus, die Enzyklopädie in 24 Bänden, Studienausgabe, Band 18, Brockhaus, 2001 BundesministeriumderJustiz:EntwurfeinesGesetzeszurUnternehmensintegrität undmodernisierungdesanfechtungsrechts(umag),januar2004 Müller, KlausRainer: Information Security eine unternehmerische Aufgabe, In formationsecuritymanagement,tüvmedia,märz2008 Von der Crone, Hans Caspar und Roth, Katja: Der SarbanesOxley Act und seine extraterritorialebedeutung,ajp/pja,2/2003,s.131ff. Deutscher Bundestag: BundestagDrucksache 13/9712, Anlage1, Entwurf eines GesetzeszurKontrolleundTransparenzimUnternehmensbereich(KonTraG) Schuppenhauer, Rainer: GoDVHandbuch: Grundsätze ordnungsmäßiger Daten verarbeitungunddvrevisionen,beckjuristischerverlag,januar2007 Institut der Wirtschaftsprüfer: Rechnungslegung und Prüfung beim Einsatz von Informationstechnologie, 3., aktualisierte und erweiterte Auflage, IDW Sonder druck,idwverlaggmbh,juni2009 EuropäischesParlamentundRat:Richtlinie95/46/EGdesEuropäischenParlaments unddesratesvom24.oktober1995zumschutznatürlicherpersonenbeiderver arbeitungpersonenbezogenerdatenundzumfreiendatenverkehr Klaus-Rainer Müller, Handbuch Unternehmenssicherheit, DOI / , Vieweg+Teubner Verlag Springer Fachmedien Wiesbaden GmbH 2010

19 452 [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] 20LiteraturundQuellenverzeichnis Kommission der Europäischen Gemeinschaft: Entscheidung der Kommission vom 26.Juli2000 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des von den Grundsätzen des sicheren Hafens undderdiesbezüglichen HäufiggestelltenFragen (FAQ)gewährleistetenSchut zes,vorgelegtvomhandelsministeriumderusa,2000/520/eg Bundesanstalt für Finanzdienstleistungsaufsicht: Veröffentlichung der Endfassung dermarisk,ba17 GS5201 1/2005, Bundesanstalt für Finanzdienstleistungsaufsicht: Mindestanforderungen an das Risikomanagement,Rundschreiben15/2009,14.August2009 BaselCommitteeonBankingSupervision:SoundPracticesfortheManagementand SupervisionofOperationalRisk,February2003 BaslerAusschussfürBankenaufsicht:ManagementoperationellerRisiken Praxis empfehlungenfürbankenundbankenaufsicht,februar2003 Bundesanstalt für Finanzdienstleistungsaufsicht: Solvency II, Webseite, Einsicht nahme Annex1SolvencyIItimetable,EUWebseite PIC/S:GuidetoGoodManufacturingPracticeforMedicinalProducts,Annexes,PE 0098,15.Januar2009 PIC/S:GoodPracticesforComputerisedSystemsinRegulated GxP Environments, PI0113,25.September2007 GAMP 5: A RiskBased Approach to Compliant GxP Computerized Systems, Einsichtnahme Masing, Walter (Hrsg.): Handbuch Qualitätsmanagement, 3. Auflage, Carl Hanser Verlag,1994 Suzaki,Kiyoshi:DieungenutztenPotentiale,CarlHanserVerlag,1994 DeMarco,Tom:StructuredAnalysisandSystemSpecification,NewYork,Yourdon Press,1978 BundesamtfürSicherheitinderInformationstechnik:HinweisezurräumlichenEnt fernungzwischenredundantenrechenzentren,datumsfreiepdfunterlage,eingese henam5.oktober2006 TheFederalReserveBoard:ExaminationManualforU.S.BranchesandAgenciesof ForeignBankingOrganizations,September1997 Müller, KlausRainer: BiometrieUpdate 2009 Verfahren, Trends, Chancen und Risiken Teil2,hakin9,5/2009 Kaplan,RobertS.,Norton,DavidP.:BalancedScorecard,SchäfferPoeschel,1997 Kamiske, Gerd F. und Brauer, JörgPeter: Qualitätsmanagement von A bis Z, Carl HanserVerlag,1993 Müller, KlausRainer: In oder Out? Sourcing mit System, geldinstitute, 3/2004, S.32ff. European Communities: Guidelines on best practices forusing electronic informa tion,1997 VanBogart,JohnW.C.:MediaStability,NationalMediaLaboratory,1996 Informationweek:Die21StufenzurDatensicherheit,Informationweek,13/2000

20 20LiteraturundQuellenverzeichnis 453 [44] StorageNetworkingIndustryAssociation(SNIA):CommonRAIDDiskDataFormat Specification,revision ,DraftforMembershipVote,6.Juli2004 [45] RAIDAdvisoryBoard:RABClassificationForDiskSystems,19.November1997, [46] AuspexSystems:AStorageArchitectureGuide,WhitePaper [47] Lange,Rolf:SpeicherkonzeptemitvielFeingefühlfusionieren,ntz,11/2002,S.48ff. [48] Török,Elmar:EntwicklungderSpeicherkomponenten,lanline,2/2003,S.42ff. [49] Storage Networking Industry Association (SNIA): Storage Management Initiative Specification,Version1.4.0,Revision4,3.April2009 [50] J.Satran,K.Meth,IBM,C.Sapuntzakis,CiscoSystems,M.Chadalapaka,Hewlett Packard Co., E. Zeidner, IBM: Internet Small Computer Systems Interface (iscsi), RFC3720,April2004 [51] M.Rajagopal,E.Rodriguez,R.Weber:FibreChanneloverTCP/IP(FCIP),RFC3821, Juli2004 [52] Lange,Christoph:TrendsimSpeicherbereich,LANline,5/2007,S.52ff. [53] StorageNetworkingIndustryAssociation(SNIA):SNIAStorageSecurity,BestCur rentpractices(bcps)version2.1.0, [54] Sherman,Larry:Stratus ContinuousProcessing Technology,2003 [55] Kriterien für die Bewertung der Sicherheit von Systemen der Informationstechnik (ITSEC),Bundesanzeiger,Stand:Juni1991 [56] Neuber,Dirk:LösungfürunterschiedlicheBrandrisiken,WIK2/2005,S.43ff. [57] Müller, KlausRainer: BiometrieUpdate 2009 Verfahren, Trends, Chancen und Risiken Teil1,hakin9,4/2009 [58] BBCNews:Warningoverpasswordsecurity,24.Juni2002 [59] Medvinsky, Sasha und Lalwaney, Poornima: Kerberos V Authentication Mode for UninitializedClients,29.August2000,www.ietf.org/proceedings/00jul/SLIDES/dhc kerberos/sld000.htm [60] Cheswick,WilliamR.undBellovin,StevenM.:FirewallsundSicherheitimInternet, AddisonWesley,1996 [61] LibertyAllianceProject:BusinessBenefitsofFederatedIdentity,April2003 [62] LibertyAllianceProject:IntroductiontotheLibertyAllianceIdentityArchitecture, Revision1.0,März2003 [63] LibertyAllianceProject:LibertyIDFFArchitectureOverview,Version1.2 [64] LibertyAllianceProject:PrivacyandSecurityBestPractices,Version2.0,November 12,2003 [65] Federal Information Processing Standards Publication 197 (FIPSPUBS197): Ad vancedencryptionstandard(aes),26.november2001 [66] Baldwin,R.undRivest,R.:RFC2040,TheRC5,RC5CBC,RC5CBCPad,andRC5 CTSAlgorithm,Oktober1996,Category:Informational [67] Callas,J., Donnerhacke,L., Finney,H., Thayer,R.: RFC2440, OpenPGP Message Format,November1998 [68] Gutmann,Peter:SecureDeletionofDatafromMagneticandSolidStateMemory,6. USENIXSecuritySymposiumProceedings,22.25.Juli1996 [69] Sikora, Axel: NetzwerkSicherheit, in ITSecurity, tecchannel compact, 2/2003, S.100ff. [70] Farmer,DanundVenema,Wietse:TheCoroner stoolkit,

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

IT- und Computerrecht: CompR

IT- und Computerrecht: CompR Beck-Texte im dtv 5562 IT- und Computerrecht: CompR Textausgabe. Europarecht, Zivilrecht, Urheberrecht, Patentrecht, Strafrecht, Elektronischer Geschäftsverkehr von Prof. Dr. Jochen Schneider 9., aktualisierte

Mehr

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert

GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert BCM im Überblick GI FG SECMGT Frankfurt 26.06.2009 Bernd Ewert consequa GmbH Unternehmensstandort Hamburg gegründet 1.4. 2005 langjährige Beratungserfahrungen Business Continuity / IT-Recovery Information

Mehr

ISO/IEC 27001/2. Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe

ISO/IEC 27001/2. Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe ISO/IEC 27001/2 Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe 1 ISO Survey of Certifications 2009: The increasing importance organizations give to information security was

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation Inhaltsverzeichnis zu Praxisbuch IT-Dokumentation von Georg und Manuela Reiss ISBN (Buch): 978-3-446-43780-7 ISBN (E-Book): 978-3-446-43833-0 Weitere Informationen und Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-43780-7

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Abbildungsverzeichnis

Abbildungsverzeichnis Abbildungsverzeichnis Abb. 1.1: Sicherheitsrelevante Ereignisse......... 3 Abb. 2.1: Allgemeines Pyramidenmodell IV nach Dr.-Ing. Müller...... 17 Abb. 4.1: Schutzobjektklassen.................................

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1 IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter 2003 KPMG Information Risk Management 1 Grundvoraussetzungen Grundsätzlich sollten alle Prüfer, die IT im Rahmen von Jahresabschlussprüfungen prüfen

Mehr

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar.

Gesellschaftsrechtlich stellen die 91 Abs. 2 AktG bzw. 107 Abs. 3 AktG die zentralen Normen dar. 3. Externe Rahmenbedingungen 3.1 Grundlagen Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche,

Mehr

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Governance, Risk, Compliance (GRC) & SOA Identity Management 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Agenda Management von Identitäten IAM, GRC was ist das? SOA wo ist der Bezug? Seite 2 Die

Mehr

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013 Alexander Koderman GmbH, Berlin Übersicht Wieso werde ich auditiert? IS-Audits, Grundlagen, Standards Was erwartet mich? Inhalte,

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Notfallmanagement-Forum 2009

Notfallmanagement-Forum 2009 Notfallmanagement-Forum 2009 Business und IT-Service Continuity Management (BCM) Aktuelle Herausforderungen und Erfolgsfaktoren Nürnberg 14. Oktober 2009 Lothar Goecke Lothar Goecke Selbstständig seit

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006 Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS25999-1:2006 Axept für Kunden und Partner AX After Hours Seminar ISACA Switzerland Chapter 29.5. V1.0_2006 Seite 1 Agenda Die

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Inhaltsverzeichnis VII

Inhaltsverzeichnis VII 1 Grundlagen der IT-Sicherheit...1 1.1 Übersicht...1 1.1.1 Gewährleistung der Compliance...1 1.1.2 Herangehensweise...2 1.2 Rechtliche Anforderungen an IT-Sicherheit...3 1.2.1 Sorgfaltspflicht...3 1.2.2

Mehr

INFORMATIKZENTRUM DER SPARKASSEN- ORGANISATION GMBH

INFORMATIKZENTRUM DER SPARKASSEN- ORGANISATION GMBH INFORMATIKZENTRUM DER SPARKASSEN- ORGANISATION GMBH GmbH 2011 INFORMATIKZENTRUM DER SPARKASSEN- ORGANISATION GMBH Sicherer IT-Betrieb Produkt für ein ganzheitliches Informationssicherheits-Management Name

Mehr

best OpenSystems Day Herbst 2005

best OpenSystems Day Herbst 2005 best OpenSystems Day Herbst 2005 Rechtsanwalt Dr. Michael Karger, München Unternehmerisches Handeln unter Sicherheitsanforderungen in der IT (KonTraG, SOX & Basel II) 2 Agenda: 1. Überblick: Rechtliche

Mehr

Nicht-technische Aspekte der IT-Sicherheit

Nicht-technische Aspekte der IT-Sicherheit Dipl.-Math. Wilfried Gericke Vortrag für das Rheinlandtreffen 2006 (07.-08.11.2006) Motivation Seite 2 www.decus.de 1 Inhalt: - IT-Sicherheit als Teil der Unternehmensführung - - IT-Sicherheitsrichtlinie

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Software-Qualität Ausgewählte Kapitel

Software-Qualität Ausgewählte Kapitel Institut für Informatik! Martin Glinz Software-Qualität Ausgewählte Kapitel Kapitel 10 Qualitätsnormen" 2009-2011 Martin Glinz. Alle Rechte vorbehalten. Speicherung und Wiedergabe für den persönlichen,

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

IIR - ITIL Forum 2007

IIR - ITIL Forum 2007 IIR - ITIL Forum 2007 IT Management Standards for IT Governance Das große Spannungsfeld ITIL/COBIT/SOX/EURO-SOX und welche Rolle spielen die ISO-Standards? andreas@nehfort.at www.nehfort.at IT Management

Mehr

CISA/CISM/CGEIT und die COBIT-Zertifikate

CISA/CISM/CGEIT und die COBIT-Zertifikate INFORMATION RISK MANAGEMENT CISA/CISM/CGEIT und die COBIT-Zertifikate von Markus Gaulke Stand: Oktober 2008 ADVISORY 2004 KPMG Deutsche Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft,

Mehr

IT-Mindestanforderungen

IT-Mindestanforderungen IT-Mindestanforderungen Anlage: Fundstellen zu Normen, Standards und Empfehlungen Stand: Juni 2009 Für eine Vielzahl von Anforderungen existieren bereits Normen, Standards und Empfehlungen. Sie sind für

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Inhaltsverzeichnis. 3 Zehn Schritte zum Sicherheitsmanagement... 25

Inhaltsverzeichnis. 3 Zehn Schritte zum Sicherheitsmanagement... 25 1 Ausgangssituation und Zielsetzung... 1 1.1 Ausgangssituation... 2 1.1.1 Bedrohungen... 2 1.1.2 Schwachstellen... 10 1.1.3 Schutzbedarf und Haftung... 13 1.2 Zielsetzung des Sicherheits, Kontinuitäts

Mehr

Security of Internet Payments

Security of Internet Payments Die Recommendations for the Security of Internet Payments Informationsveranstaltung: IT-Aufsicht bei Banken 29. Oktober 2013 Dr. Markus Held, BA 58 Überblick Einleitung - Worum geht es? European Forum

Mehr

gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a)

gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a) Sicherheit gecheckt? Haftungsrisiken vermeiden, Compliance optimieren gateprotect Sicherheitsaudit nach Bundesdatenschutzgesetz (BDSG 9a) Mit dem gateprotect Sicherheitscheck verbessern Sie den Datenschutz

Mehr

IT-Sicherheitszertifikat

IT-Sicherheitszertifikat Bundesamt Deutsches erteilt vom IT-Sicherheitszertifikat Bundesamt ISO 27001-Zertifikat auf der Basis von IT-Grundschutz Technisches Facility Management für hochverfügbare Datacenter der e-shelter facility

Mehr

Risikomanagement Vorgaben durch internationale und europäische Normen

Risikomanagement Vorgaben durch internationale und europäische Normen Risikomanagement Vorgaben durch internationale und europäische Normen FH-Prof. Martin Langer, FH Campus Wien Wien, 30. November 2010 Fragestellungen ISO 31000 Was ist Risiko? Beispiele aus der Praxis Hintergründe

Mehr

Security 4 Safety. Markus Bartsch, Christian Freckmann

Security 4 Safety. Markus Bartsch, Christian Freckmann Security 4 Safety Markus Bartsch, Christian Freckmann Internet der Dinge Samsung und Android Samsung Samsung TÜV Informationstechnik GmbH Member of TÜV NORD Group 1 Heise-Meldungen Industrieanlagen schutzlos

Mehr

ETSI TS 102 042: Electronic Signatures and Infrastructures (ESI): Policy

ETSI TS 102 042: Electronic Signatures and Infrastructures (ESI): Policy Abkürzungen AIS BGBl BNetzA BSI CC CEM DAR DATech DIN EAL ETR ETSI EVG ISO IT ITSEC ITSEF ITSEM JIL PP SF SigG SigV SOF ST TSF ZDA Anwendungshinweise und Interpretationen zum Schema (des BSI) Bundesgesetzblatt

Mehr

Industrial Control Systems Security

Industrial Control Systems Security Industrial Control Systems Security Lerneinheit 4: Risk Assessment Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen Wintersemester 2013/2014 20.1.2014 Einleitung Einleitung Das Thema dieser

Mehr

Inhaltsçbersicht. 10 Kommunikation 02130 Kurzhinweise: EG-Richtlinie elektronischer Geschåftsverkehr

Inhaltsçbersicht. 10 Kommunikation 02130 Kurzhinweise: EG-Richtlinie elektronischer Geschåftsverkehr Seite 1 Inhaltsçbersicht 01 Wegweiser 01100 Inhaltsçbersicht 48 01110 Stichwortverzeichnis 48 01120 Verzeichnis der Arbeitshilfen 48 01130 Verzeichnis der Autoren 48 01490 Pfadfinder Internet 45 02 Richtlinien,

Mehr

BSI ICS-SECURITY-KOMPENDIUM

BSI ICS-SECURITY-KOMPENDIUM BSI ICS-SECURITY-KOMPENDIUM SICHERHEIT VON INDUSTRIELLEN STEUERANLAGEN Andreas Floß, Dipl.-Inform., Senior Consultant Information Security Management, HiSolutions AG 1 HiSolutions 2013 ICS-Kompendium Vorstellung

Mehr

Aktualisierung und Ausblick. DI. Gerald Trost

Aktualisierung und Ausblick. DI. Gerald Trost Das österr.. IT-Sicherheitshandbuch Aktualisierung und Ausblick DI. Gerald Trost Inhaltsübersicht - SIHB Ziel und Historie Struktur und Konzept Schwerpunkte der Aktualisierung 2006 Ausblick und Perspektiven

Mehr

Security Compliance (Ausgew ählte Aspekte)

Security Compliance (Ausgew ählte Aspekte) Security Cmpliance (Ausgew ählte Aspekte) Dr. Christian Scharff BSI Certified ISO 27001 Lead Auditr Infrmatin Security Revisr (BSI) TÜV-zertifizierter Datenschutzauditr Security Cmpliance - Natinale und

Mehr

SIFA WORKSHOP 2014. 23. Mai 2014 baua - Dresden. Andreas Nenner Sicherheit im Unternehmen. Copyright: A. Nenner

SIFA WORKSHOP 2014. 23. Mai 2014 baua - Dresden. Andreas Nenner Sicherheit im Unternehmen. Copyright: A. Nenner SIFA WORKSHOP 2014 23. Mai 2014 baua - Dresden Safety & Security Betriebssicherheitsmanagement aus einer Hand, stellv. Vorsitzender ASW ASW Arbeitsgemeinschaft für Sicherheit der Wirtschaft e.v. Welche

Mehr

TÜV SÜD Informatik und Consulting Services GmbH Bereich Consulting Marcus Giese und Alfons Huber itsm@tuev-sued.de

TÜV SÜD Informatik und Consulting Services GmbH Bereich Consulting Marcus Giese und Alfons Huber itsm@tuev-sued.de Normen und Standards TÜV SÜD Informatik und Consulting Services GmbH Bereich Consulting Marcus Giese und Alfons Huber itsm@tuev-sued.de (...ITSM 3 Assessment, ITIL-, ISO 20000-Know How, Trainer für itsmf

Mehr

Cloud Computing. 7. Oktober 2010

Cloud Computing. 7. Oktober 2010 Cloud Computing. 7. Oktober 2010 Music was my first love (J. Miles). Analysten sehen Cloud Computing als Evolution bekannter Technologien. Source: Experton, May 2010 Das Internet der Zukunft wird unsere

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved

Agenda. 2008 SEC Consult Unternehmensberatung GmbH All rights reserved Agenda Web-Anwendungen als schwächstes Glied für Angriffe aus dem Internet Bewertung gängiger Standards und Normen von Web-Anwendungen BSI-Standards 100-1, 100-2 und IT-Grundschutz BSI-Studie ISi-Web:

Mehr

Process Management Office Process Management as a Service

Process Management Office Process Management as a Service Process Management Office Process Management as a Service Unsere Kunden bringen ihre Prozesse mit Hilfe von ProcMO so zur Wirkung, dass ihre IT- Services die Business-Anforderungen schnell, qualitativ

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90 ISO/IEC 20000 Eine Einführung Wie alles begann in den 80 & 90 1986 1988 1989 1990 CCTA initiiert ein Programm zur Entwicklung einer allgemein gültigen Vorgehensweise zur Verbesserung der Effizienz und

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

IT-Risiko- Management mit System

IT-Risiko- Management mit System Hans-Peter Königs 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. IT-Risiko- Management mit System Von den Grundlagen

Mehr

Der neue Standard ISO/IEC 27036

Der neue Standard ISO/IEC 27036 Der neue Standard ISO/IEC 27036 Information security for supplier relationships Workshop der GI-FG SECMGT am 11.11.2011 Bernhard C. Witt (it.sec GmbH & Co. KG) Bernhard C. Witt Berater für Datenschutz

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

Vortragsreihe: Mittwoch 22. Mai 2013. CMS Wien. ZT Prentner IT GmbH A-1040 Wien. Mommsengasse 4/3 office@zt-prentner-it.at. www.zt-prentner-it.

Vortragsreihe: Mittwoch 22. Mai 2013. CMS Wien. ZT Prentner IT GmbH A-1040 Wien. Mommsengasse 4/3 office@zt-prentner-it.at. www.zt-prentner-it. Vortragsreihe: Mittwoch 22. Mai 2013. CMS Wien ZT Prentner IT GmbH A-1040 Wien. Mommsengasse 4/3 office@zt-prentner-it.at. www.zt-prentner-it.at Überblick 1. 2. 3. 4. 5. 6. Ausgangssituation Software IT-Compliance

Mehr

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet Xpert.press ITIL Das IT-Servicemanagement Framework von Peter Köhler überarbeitet ITIL Köhler schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: SAP Springer

Mehr

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI Vorwort Sarbanes-Oxley-Act, Basel II oder KonTraG immer mehr gesetzliche Rahmenbedingungen haben einen deutlichen Bezug zur IT-Sicherheit. Sie erhöhen den Druck auf die Verantwortlichen, die Sicherheit

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IT-Sicherheit mit System

IT-Sicherheit mit System Klaus-Rainer Müller IT-Sicherheit mit System Integratives IT-Sicherheits-, Kontinuitäts- und Risikomanagement - Sicherheitspyramide - Standards und Practices - SOA und Softwareentwicklung 4., neu bearbeitete

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa

Schulungsunterlagen IT-Grundschutz nach BSI. Robert M. Albrecht Creative Commons by-nc-sa Schulungsunterlagen IT-Grundschutz nach BSI Robert M. Albrecht Creative Commons by-nc-sa The audience is listening. IT-Grundschutz nach BSI Robert M. Albrecht Agenda Was ist das BSI? Warum IT-Grundschutz?

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012 ZUVERLÄSSIGE UND EFFIZIENTE ZERTIFIZIERUNGEN: TOOLUNTERSTÜTZES, INTEGRIERTES MANAGEMENTSYSTEM ZUR COMPLIANCE MIT REGULARIEN IM QUALITÄTS- UND RISIKOMANAGEMENT 4. PQM-Dialog: Qualitätszertifizierungen Vorgehen

Mehr

Leitfaden zur rechtssicheren E-Mail-Archivierung in der Schweiz

Leitfaden zur rechtssicheren E-Mail-Archivierung in der Schweiz Leitfaden zur rechtssicheren E-Mail-Archivierung in der Schweiz E-Mail-Archivierung bietet nicht nur zahlreiche technische und wirtschaftliche Vorteile, sie stellt für Unternehmen zudem eine zwingende

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer Wolfgang Straßer Geschäftsführer Dipl.-Kfm. IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 @-yet Geschäftsbereiche

Mehr

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Profilrichtungen Englische Übersetzung Beschreibung Informationssicherheit Information Security Diese Profilrichtung behandelt

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

verinixe.xp, 2015-09-16 Berlin IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie

verinixe.xp, 2015-09-16 Berlin IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie verinixe.xp, 2015-09-16 Berlin IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie IT Sicherheitsnormen der ISO/IEC 27000er Normenfamilie Woher stammen Normen Was macht DIN Wie wirken Normen Wie entstehen

Mehr

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Risikomanagement für IT-Netzwerke mit Medizinprodukten FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Agenda Ausgangssituation Herausforderungen Der erste Schritt als

Mehr

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014 Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung 1 KRM/Wildhaber Consulting, Zürich 2014 Kreditkartendaten gestohlen u Die Geheimdienste zapfen systematisch Rechner an u Cloud Lösungen sind

Mehr