Modul. Management der Informationssicherheit

Größe: px
Ab Seite anzeigen:

Download "Modul. Management der Informationssicherheit"

Transkript

1 Modul Management der Informationssicherheit Studienbrief 1: Einleitung und Motivation Studienbrief 2: Governance im Bereich der IS Studienbrief 3: Risikomanagement im Bereich IS Studienbrief 4: Umsetzung im IS-Programm Studienbrief 5: Vorfallsmanagement im Bereich der IS Studienbrief 6: Vorgehensweise nach BSI IT-Grundschutz Studienbrief 7: Zusammenfassung und Fazit Autor: Dr. Christoph Wegener, CCSK, CISA, CISM, CRISC, GDDcert 1. Auflage Ruhr-Universität Bochum

2 2014 Dr. Christoph Wegener Ruhr-Universität Bochum Fakultät für Elektrotechnik und Informationstechnik Gebäude ID 1/ Bochum 1. Auflage (1. Oktober 2014) Didaktische und redaktionelle Bearbeitung: Der Autor bedankt sich bei zahlreichen Personen, die ihn durch konstruktive Kritik bei der Erarbeitung des vorliegenden Moduls unterstützt haben. Das Werk einschließlich seiner Teile ist urheberrechtlich geschützt. Jede Verwendung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung der Verfasser unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Um die Lesbarkeit zu vereinfachen, wird auf die zusätzliche Formulierung der weiblichen Form bei Personenbezeichnungen verzichtet. Wir weisen deshalb darauf hin, dass die Verwendung der männlichen Form explizit als geschlechtsunabhängig verstanden werden soll.

3 Inhaltsverzeichnis Seite 3 Inhaltsverzeichnis Einleitung zu den Studienbriefen 5 I. Abkürzungen der Randsymbole und Farbkodierungen II. Zu den Autoren III. Modullehrziele Studienbrief 1 Einleitung und Motivation Informationssicherheit vs. IT-Sicherheit Standards zur Informationssicherheit BSI-Standards zur Informationssicherheit Wichtige Prinzipien Ausblick auf die folgenden Kapitel Studienbegleitende Literatur Studienbrief 2 Governance im Bereich der IS Aufbau und Aufrechterhaltung einer IS-Strategie Aufbau und Aufrechterhaltung eines IS-Governance Frameworks Integration der IS-Governance in die Corporate Governance Aufbau und Fortschreibung eines IS-Policy Frameworks Business Cases - Entwicklung von praxisnahen Beispielen Berücksichtigung von internen und externen Faktoren Einholen der Unterstützung des Managements Festlegen von Rollen und Verantwortlichkeiten Grundlagen für die Kommunikation mit dem Management Studienbrief 3 Risikomanagement im Bereich IS Prozess zur Klassifizierung der Informationswerte Rechtliche und regulatorische Randbedingungen Regelmäßiges Risikoassessment Möglichkeiten der Risikominimierung Kontrollen im Bereich Informationssicherheit Der Prozess des Risikomanagements Einbindung in die normalen Prozesse der Organisation Monitoring von Risiken Bericht von Compliance-Verletzungen Studienbrief 4 Umsetzung im IS-Programm Ausrichtung des IS-Programms an den übrigen Prozessen der Organisation Bestimmung von internen und externen Ressourcen Architektur der Informationssicherheit Standards, Arbeitsanweisungen und Handlungsempfehlungen Security Awareness und Security Training Integration in die Geschäftsprozesse Berücksichtigung von Verträgen Aufbau eines Monitoring- und Reportingsystems unter Nutzung von Metriken Studienbrief 5 Vorfallsmanagement im Bereich der IS Festlegung Was ist ein Sicherheitsvorfall? Entwicklung und Aufrechterhaltung eines Incident Response-Plans Aufbau eines Prozesses, der die Erkennung von Vorfällen sicher stellt Aufbau eines Prozesses zur Untersuchung von Sicherheitsvorfällen Aufbau eines Prozesses zur Eskalation und Kommunikation von Vorfällen Aufbau und Training der Incident Response-Teams Regelmäßige Übungen Aufbau von Kommunikationsprozessen

4 Seite 4 Inhaltsverzeichnis 5.9 Durchführen von Nachvorfallsbehandlungen Integration in Desaster Recovery- und Business Continuity-Prozesse Studienbrief 6 Vorgehensweise nach BSI IT-Grundschutz Initiierung des Informationssicherheitsprozesses Erstellung einer Sicherheitskonzeption Schutzbedarfsfeststellung Umsetzung der Sicherheitskonzeption Aufrechterhaltung und Verbesserung Zertifizierung Studienbrief 7 Zusammenfassung und Fazit 105 Verzeichnisse Abbildungen Literatur

5 Einleitung zu den Studienbriefen Seite 5 Einleitung zu den Studienbriefen I. Abkürzungen der Randsymbole und Farbkodierungen Axiom Beispiel Definition Exkurs Kontrollaufgabe Merksatz Quelle Satz Übung A B D E K M Q S Ü

6 Seite 6 Einleitung zu den Studienbriefen II. Zu den Autoren Dr. Christoph Wegener (CCSK, CISA, CISM, CRISC, GDDcert) ist seit 1999 als freiberuflicher Berater mit der wecon.it-consulting in den Bereichen Informationssicherheit, Datenschutz und Open Source aktiv. Zudem ist er nach mehr als achtjähriger Tätigkeit am Horst Görtz Institut für IT-Sicherheit (HGI) an der Ruhr-Universität Bochum nun der IT-Leiter der dortigen Fakultät für Elektrotechnik und Informationstechnik. In dieser Position verantwortet er insbesondere die Themen Informationssicherheit und Datenschutz. Herr Dr. Wegener ist Autor zahlreicher Fachbeiträge und Sprecher auf nationalen und internationalen Konferenzen und engagiert sich in der Ausbildung im Bereich der Informationssicherheit. Darüber hinaus ist er Mitglied des Beirats der Zeitschrift "Datenschutz und Datensicherheit DuD", Gründungsmitglied der Arbeitsgruppe Identitätsschutz im Internet (a-i3) und des German Chapters der Cloud Security Alliance (CSA) und dort, sowie von 2007 bis 2014 in der German Unix User Group (GUUG), Mitglied des Vorstands.

7 Modullehrziele Seite 7 III. Modullehrziele Informationssicherheit ist mehr als (die Umsetzung der technischen Aspekte im Rahmen der) IT-Sicherheit. Neben den technischen Fragen müssen auch die Aspekte Personen und Prozesse mit berücksichtigt werden. Darüber hinaus stehen jeder Organisation nur begrenzte Ressourcen zur Verfügung, allein dies schließt das Erreichen von 100 %iger Sicherheit aus und macht deutlich, dass Informationssicherheit wie IT-Sicherheit als Dienstleistungsfunktionen verstanden werden müssen, die sich dem eigentlichen Geschäftsprozess einer Organisation unterordnen. Im Rahmen dieses Moduls sollen nun -auf Basis der Vorgehensweisen der amerikanischen Information Systems Audit and Control Association (kurz: ISACA) [7] bzw. der des deutschen Bundesamts für Sicherheit in der Informationstechnik (kurz: BSI ) [2]- die Grundlagen des Managements der Informationssicherheit vermittelt werden. Dazu gehört zunächst ein Verständnis für die Fragen der Governance, damit die Informationssicherheit von vorneherein an den Prozessen der Organisation ausgerichtet wird. Daneben spielt auch das Risikomanagement eine wichtige Rolle, das die Grundlagen für die zahlreichen Entscheidungen im Kontext Wann sollen welche Maßnahmen wie umgesetzt werden? und damit im Bereich des Managements der Informationssicherheit liefert. Auf dieser Basis wird dann vermittelt, wie die Informationssicherheit in der Organisation verankert werden kann, es wird ein Programm zur Informationssicherheit etabliert. Da es aber -allen Vorbereitungen zum Trotz- dennoch zu Sicherheitsvorfällen kommen kann, muss die Organisation auch darauf entsprechend vorbereitet sein. Hierzu wird auf Grundlage der Frage rund um den Aspekt Was ist ein Sicherheitsvorfall? vermittelt, was zu einer angemessenen Vorbereitung auf diese Problemfälle zu zählen ist. Schließlich gibt es mit dem BSI-Standard eine -insbesondere in Deutschland- etablierte Vorgehensweise für die Umsetzung der Informationssicherheit, dessen Grudnzüge ebefalls vermittelt werden.

8

9 Studienbrief 1 Einleitung und Motivation Seite 9 Studienbrief 1 Einleitung und Motivation Obwohl schwer greifbar, stellen Informationen die eigentlichen Werte für Unternehmen und Behörden dar. Gehen Informationen verloren, drohen Unternehmen und Behörden nicht nur entsprechende rechtliche Konsequenzen oder ein schwer messbarer Imageschaden, auch der Betrieb an sich wird negativ beeinträchtigt und das, obwohl die die Informationen verarbeitenden Systeme vielleicht sogar noch völlig intakt sind. Interessanterweise bestreitet heute niemand mehr, dass die Systeme, die die Informationen verarbeiten, also die Informationstechnologie (IT) im Unternehmen entsprechend zu schützen sind. Informationen liegen aber eben gerade nicht nur als Bits und Bytes auf den Speichermedien der IT vor, sondern tauchen in Unternehmen und Behörden an vielfältigen Stellen auf. Beispielhaft seien hier die immer noch existierenden Papierakten und sonstige Informationen auf Papier oder auch die Informationen in den Köpfen der Mitarbeiter genannt. Da mit den oben genannten Auswirkungen des Verlustes von Informationen regelmäßig auch hohe Kosten verbunden sein werden, sind Informationen daher in allen Phasen der Prozesse einer Organisation und an allen Stellen der Organisation zu schützen. Die Vergangenheit hat allerdings gezeigt, dass ein adäquates Sicherheitsniveau für Informationswerte oft nicht vorhanden ist. Dies hat vorrangig damit zu tun, dass Informationen - im Gegensatz zur eigentlichen IT - nur schwer greifbar sind. Daher findet man häufig gute technische Schutzvorkehrungen für die technischen Systeme (und ggf. damit auch für die auf den Systemen befindlichen Informationswerte), für Informationen in anderen Phasen der betrieblichen Prozesse liegt aber meist kein oder zumindest kein adäquates Sicherheitsmanagement vor. Oftmals verbessert aber gerade die Einführung bzw. die Optimierung des Sicherheitsmanagements die Informationssicherheit in einem höheren Ausmaße bzw. trägt zu einer Effektivitätssteigerung der Informationssicherheit bei. Informationen repräsentieren enorme Werte Informationen finden sich an vielfältigen Stellen Sicherheitsniveau ist oft nicht angemessen Bevor die Fragen des angemessenen Sicherheitsniveaus betrachtet werden, soll die Informationssicherheit nun von der IT-Sicherheit (in technischer Sicht) abgegrenzt werden. 1.1 Informationssicherheit vs. IT-Sicherheit IT-Sicherheit steht zunächst einmal für den Schutz der IT-Systeme, spricht also vor allem technische Maßnahmen an und beschäftigt sich damit schwerpunktmäßig mit dem Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. Wenngleich der Begriff IT-Sicherheit oft synonym für den Begriff Informationssicherheit verwendet wird, soll hier doch klar zwischen beiden Begrifflichkeiten unterschieden werden, wenn im Rahmen eines modernen Sicherheitsmanagements von Sicherheitsmaßnahmen die Rede ist. Informationssicherheit ist im Vergleich zur IT-Sicherheit nicht auf den Schutz elektronisch gespeicherter Informationen beschränkt, sondern berücksichtigt Informationen in allen Phasen der Geschäftsprozesse. Dabei werden als klassische Grundwerte der Informationssicherheit häufig die drei Begriffe Vertraulichkeit, Integrität und Verfügbarkeit bezeichnet. Im englischen Sprachraum fasst man diese drei Begriffe auch unter dem Akronym CIA-Triade (vgl. Abbildung 1.1) zusammen, als Kurzform für die Anfangsbuchstaben der englischen Begriffe confidentiality, integrity und availability. Informationssicherheit vs. IT-Sicherheit CIA-Triade

10 Seite 10 Studienbrief 1 Einleitung und Motivation Abb. 1.1: Illustration der CIA-Triade zur Darstellung der drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit. ConfidentialityIntegrity Availability Vertraulichkeit (engl.: confidentiality) bezeichnet den Umstand, dass Informationen nur Berechtigten zur Verfügung stehen. Durch Schutzmaßnahmen wie beispielsweise einer angemessenen Zugriffskontrolle wird dabei verhindert, dass Nicht-Berechtigte Zugriff auf Informationen erhalten. Integrität (engl.: integrity) bezeichnet die Unversehrtheit einer Information. Dabei kann allerdings nicht der Umstand der Unversehrtheit selbst, sondern nur die Nicht-Erkennung der Verletzung der Unversehrtheit durch Maßnahmen ermöglicht werden. Verfügbarkeit (engl.: availability) bezeichnet den Umstand, dass Informationen den Berechtigten (vgl. dazu auch Vertraulichkeit) innerhalb einer angemessenen Zeit zur Verfügung stehen. Mögliche Verletzung der Schuztziele Für mögliche Verletzungen der genannten Schutzziele geben wir nun einige ausgewählte Beispiele an, die stellvertretend für die Vielzahl von potentiellen Gefährdungen stehen: Fälle, in denen die Verfügbarkeit beeinträchtigt wird, sind: Datenträger und/oder IT-Systeme werden durch höhere Gewalt zerstört; nach einem notwendigen Software-Update funktionieren wichtige Anwendungen nicht mehr; ein Mitarbeiter erkrankt, dadurch verzögert sich ein wichtiger Geschäftsprozess. Fälle, in denen aufgrund einer fehlenden Integritätssicherungsmaßnahme die Integrität der Daten beeinträchtigt wird, sind: Ein (böswilliger) Mitarbeiter manipuliert wichtige Produktionsdaten, dadurch entsteht wirtschaftlicher Schaden, da die produzierten Güter nicht verwertbar sind. Fälle, in denen die Vertraulichkeit der Daten beeinträchtigt wird, sind: Vertrauliche Informationen werden unverschlüsselt über das Internet übertragen; personenbezogene Daten werden unverschlüsselt auf einem USB-Stick verschickt, dieser geht jedoch auf dem Transportweg verloren. Zutritts-, Zugriffs- und Zugangskontrollen Zur Sicherherstellung der Schutzziele kommen zudem unterschiedliche Kontrollen in Frage, die im weiteren Verlauf dieses Moduls noch eine wichtige Rolle spielen werden und daher bereits an dieser Stelle kurz erläutert werden sollen: Zutritt (engl.: physical access) bezeichnet die Möglichkeit des Betretens bspw. eines Serverraums. Allgemeiner kann man Zutritt auch damit erklären, dass der Zutritt jemanden in die Lage versetzt, die Gegenstände im Raum anfassen zu können. Eine typische Zutrittskontrolle stelle ein Schloss an der Tür zum Serverraum dar. Zugang (engl.: logical access) bezeichnet die Möglichkeit, sich an einem System, bspw. dem Betriebssystem eines Rechners, anmelden zu können. Eine typische Zugriffskontrolle ist bspw. die Passwort-Eingabe bei der Anmeldung am Betriebssystem. Zugriff (engl.: data access) bezeichnet die Möglichkeit, Zugriff auf die Daten auf einem System nehmen zu können. Eine typische Zugriffskontrolle ist die Abbildung der entsprechenden Dateirechte im Dateisystem und deren Kontrolle durch die Sicherheitsfunktionen des Betriebssystems

11 1.2 Standards zur Informationssicherheit Seite 11 Die Schutzziele können dabei sowohl durch vorsätzliche Handlungen (gezieltes Abhören/Abfangen von Informationen) als auch Formen von höherer Gewalt beeinträchtigt werden. Da die Verarbeitung von Informationen in der heutigen Zeit meist elektronisch erfolgt und nahezu alle Lebensbereiche durchdrungen hat, macht eine Unterscheidung, ob Informationen elektronisch mit Hilfe von IT- Systemen, mittels Kommunikationstechnik oder auf Papier verarbeitet werden, keinen Sinn mehr. Informationssicherheit Mögliche Gefährdungen Abb. 1.2: Darstellung des Säulen-Modells zur Informationssicherheit: Die Informationssicherheit fußt auf den drei Säulen Personen, Prozesse und Technik. Personen Prozesse Technik Daher geht man vom Begriff der IT-Sicherheit über zum Begriff der Informationssicherheit, die sich auf alle Informationen in allen Phasen des Geschäftsprozesses bezieht. Dabei werden Aspekte der drei Säulen berücksichtigt, neben der rein technischen Sicht (Säule: Technik ) auch die Fragestellungen bzgl. der Geschäftsprozesse (Säule: Prozesse ) und der Mitarbeiter (Säule: Mensch ). Drei Säulen-Modell 1.2 Standards zur Informationssicherheit Im Bereich Informationssicherheit haben sich seit längerer Zeit einige (internationale) Standards etabliert, die im Folgenden kurz vorgestellt werden sollen. Auch wenn diese Standards aufgrund ihrer historischen Entwicklung zum Teil unterschiedliche Ausrichtung haben, so erleichtern sie doch die strukturierte Planung und Umsetzung der Informationssicherheit in einer Organisation. Im Bereich der Internationalen Organisation für Normung (kurz: ISO) existiert eine ganze Reihe von Standards im Bereich der Informationssicherheit, die so genannten 27000er-Reihe. Standards zur Informationssicherheit ISO-Standards zur Informationssicherheit ISO Information security management systems - Overview and vocabulary gibt einen Überblick über Managementsysteme für Informationssicherheit (ISMS) und die Zusammenhänge zwischen den Standards der 2700x-Reihe. Zudem werden in der ISO die wesentlichen Begriffe, Definitionen und Prinzipien für ISMS erläutert. ISO ISO ISO Information technology - Security techniques - Information security management systems - Requirements beschreibt auf knappen zehn Seiten die Anforderungen an die Einführung, den Betrieb und die ständige Verbesserung eines dokumentierten Managementsystems zur Informationssicherheit (ISMS) und bildet die Grundlage für eine Zertifizierung. Dabei werden auch die Risiken für die Informationssicherheit innerhalb der gesamten Organisation berücksichtigt. Der Standard selbst gibt keine Kontrollmaßnahmen

12 Seite 12 Studienbrief 1 Einleitung und Motivation ISO Weitere ISO-Normen Weitere Subnormen Normen für technische Aspekte zur Erreichung dieses Zieles an (diese werden vielmehr im Standard ISO beschrieben), sondern spricht lediglich allgemeine Empfehlungen zum Einsatz eines ISMS aus. ISO Code of practice for information security management ergänzt die ISO und beinhaltet Empfehlungen für diverse Kontrollmechanismen. Da es sich hierbei aber um reine Empfehlungen handelt, ist eine Zertifizierung auf Grundlage dieses Standards grundsätzlich nicht möglich, diese erfolgt immer auf Grundlage der ISO Darüber hinaus gibt es noch weitere Normen, die hier nur der Vollständigkeit halber kurz erwähnt werden sollen. Dazu gehören die ISO Information security management systems - Implementation Guidelines, die ISO Information security management measurements, die ISO Information security risk management, die ISO Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems, die ISO Information technology - Security techniques - Guidelines for information security management systems auditing und die ISO TR Information technology - Security techniques - Guidance for auditors on information security management systems controls. Hinzu kommen die Normen ISO bis ISO 27019, die als fachspezifische Subnormen die ISO ergänzen. Darunter finden sich mit der ISO TR Auditing and Reviews eher allgemein gehaltene Normen, aber auch sehr spezielle, wie bspw. die ISO Security techniques Code of practice for information security controls for cloud computing services. Die Normen ISO bis ISO sollen schließlich die technischen Aspekte der IS abdecken, dazu gehören bspw. ISO Business Continuity oder ISO bis zu den Themen der Netzwerksicherheit. 1.3 BSI-Standards zur Informationssicherheit IT-Grundschutzhandbuch BSI-Standards zur Informationssicherheit Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit dem IT- Grundschutzhandbuch eine Vorgehensweise entwickelt, die Betreiber der IT innerhalb einer Organisation dabei unterstützt, Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Zielsetzung ist dabei nicht eine 100 %ige Sicherheit zu erreichen, sondern vielmehr Maßnahmen zu ergreifen, die angemessen sind und ein ausreichendes Schutzniveau realisieren. Im Rahmen der Umstrukturierung im Jahre 2006 wurden die Standards von den IT-Grundschutz-Katalogen separiert. Aktuell gibt es insgesamt die folgenden vier Standards: BSI-Standard Managementsysteme für Informationssicherheit (ISMS) [1] BSI-Standard IT-Grundschutz-Vorgehensweise [2] BSI-Standard Risikoanalyse auf der Basis von IT-Grundschutz [3] BSI-Standard Notfallmanagement [4] Auf den BSI-Standard IT-Grundschutz-Vorgehensweise gehen wir in Studienbrief 6 noch gesondert im Detail ein.

13 1.4 Wichtige Prinzipien Seite Wichtige Prinzipien Im Rahmen der Umsetzung der Informationssicherheit spielen einige wesentliche Konzepte immer wieder eine Rolle. Im Folgenden sollen drei ausgewählte Konzepte, auf die wir im Verlauf dieses Moduls noch zurück kommen werden, kurz erläutert werden. Oft wird Informationssicherheit als (singuläres) Projekt betrachtet - doch dies erweist sich allerdings als der grundlegend falsche Ansatz. Wird Informationssicherheit nicht als kontinuierlicher Prozess verstanden, so läuft eine Organisation Gefahr, dass die Informationssicherheit zwar zu einem definierten Zeitpunkt ausreichend war, danach aber immer weniger den Anforderungen der Organisation genügt, da sich die Randbedingungen stetig ändern, die Maßnahmen im Bereich der Informationssicherheit aber aufgrund des fehlenden Prozessansatzes nicht oder nur in unzureichendem Maße angepasst werden. Ein weiterer wichtiger und häufig diskutierter Aspekt ist die Frage nach der angemessene Sicherheit. 100 %ige Sicherheit ist allein aufgrund der begrenzten Ressourcen und einem dabei ins unermessliche steigenden Aufwand nicht erreichbar. Auf diese Fragestellung gehen wir bspw. in Studienbrief 3 und Studienbrief 6 nochmals genauer ein. Auch das Konzept der Verteidung in mehreren Ebenen (engl.: Layered Defense) ist ein wichtiger Grundsatz im Rahmen der Informationssicherheit. Es bedeutet, dass nicht auf singuläre Schutzmechanismen gesetzt, sondern vielmehr versucht wird, Maßnahmen auf unterschiedlichen Ebenen parallel umzusetzen. Es ähnelt damit dem mittelalterlichen Ansatz der Verteidigung von Burganlagen, bei dem auch ein Burggraben, eine hohe Mauer und ggf. noch weitere Abwehrmaßnahmen parallel eingesetzt wurden. Zielsetzung ist wie damals auch, dass dem Angreifer, der eine Maßnahme überwunden hat, dennoch der Weg -in usnerem Fall also bspw. der Zugriff auf die Informationen- verbaut ist. Auf diesen Ansatz gehen wir im Studienbrief 2 nochmals genauer ein. Darüber hinaus ist bspw. noch der Ansatz des Need-to-know-Prinzips zu nennen, nach dem Informationen bzw. Zugriffsrechte auf dieselbem nur im zur Ausführung der zugewiesenen Prozesse bzw. Tatigkeiten erforderlichen Umfang und nur an die wirklich Berechtigten zugeteilt werden. Zusätzlich wären zahlreiche weitere Konzepte zu nennen, was den Rahmen dieses Studienbriefs sprengen würde. Der interessieret Leser wird in diesem Zusammenhang insbesondere auf die Grundlagenliteratur, bspw. die des BSI [1], verwiesen. Grundlegende Konzepte Lebenszyklus Informationssicherheit als Prozess Angemessene Sicherheit Konzept der Layered Defense Need-to-know-Prinzip Weitere Konzepte 1.5 Ausblick auf die folgenden Kapitel Nun folgt ein kurzer Überblick über die folgenden Studienbriefe dieses Moduls: Ausblick auf die folgenden Kapitel Im Studienbrief 2 Governance im Bereich der IS lernen wir die wesent- Governance im Bereich der IS lichen Konzepte und Ideen der Governance im Bereich der Informationssicherheit kennen. Dabei werden sowohl die wesentlichen Elemente der Governance behandelt als auch aufgezeigt, wie eine effektive Governance betrieben werden kann. Im Studienbrief 3 Risikomanagement im Bereich der IS lernen wir an- Risikomanagement im Bereich der IS schließend die Grundzüge des Risikomanagements kennen. Nach einem einleitenden Teil, der unter anderem die grundlegenden Begrifflichkeiten

14 Seite 14 Studienbrief 1 Einleitung und Motivation Umsetzung im IS-Programm Vorfallsmanagement im Bereich der IS Vorgehensweise nach BSI IT-Grundschutz vermittelt, wird dabei aufgezeigt, wie der Prozess des Risikomanagements im Bereich der Informationssicherheit betrieben werden sollte. Nach einführenden Überlegungen zum Thema IS-Programm gliedert sich der Studienbrief 4 Umsetzung im IS-Programm in zwei wesentliche Abschnitte. Dabei wird zunächst der Prozess der Entwicklung eines IS- Programms behandelt. In diesem Abschnitt wird vermittelt, aus welchen Komponenten ein IS-Programm besteht und was beim Aufbau eines IS- Programms beachtet werden muss. Anschließend geht der zweite Abschnitt auf das Thema Management eines IS-Programms ein. Dabei werden unter anderem die Fragen, wie ein IS-Programm aufrecht erhalten werden kann und welche Prozesse dafür aufzubauen sind, behandelt. Insbesondere wird aber auch thematisiert, wie gewährleistet werden kann, dass die zur Verfügung stehenden Ressourcen möglichst effizient eingesetzt werden. Im Studienbrief 5 Vorfallsmanagement im Bereich der IS wird vermittelt, was im Falle eines Falles zu tun ist. Dabei werden vor allem die Fallkonstellationen behandelt, die im Rahmen des Risikomanagement nicht bzw. nicht ausreichend berücksichtigt werden konnten und die somit unvorhergesehene Ereignisse darstellen. Im Studienbrief 6 Vorgehensweise nach BSI IT-Grundschutz wird abschließend vermittelt, was beim Aufbau eines Informationssicherheits- Managementsystems auf Basis von BSI IT-Grundschutz zu beachten ist. 1.6 Studienbegleitende Literatur Grundlagen dieses Moduls Begleitende Literatur Studienbrief 2 bis Studienbrief 5 dieses Moduls sind im Rahmen des Aufbaus eines IS-Managements eng an die etablierten Vorgehensweise der amerikanischen Information Systems Audit and Control Association (kurz: ISACA) [7] angelehnt 1, der Studienbrief 6 orientiert sich an den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (kurz: BSI ) nach BSI-Standard IT-Grundschutz- Vorgehensweise [2]. Daher wird die studienbegleitende Lektüre der zugehörigen Literatur empfohlen. Darüber hinaus ist es für ein tieferes Verständnis der Thematik hilfreich, die grundlegenden Fragestellungen der Governance und des Risikomanagements anhand weiterer einschlägiger Literatur zu erarbeiten. 1 Im Rahmen der Ausbildung zum Certified Information Security Manager (kurz: CISM) wird diese Vorgehensweise seit vielen Jahren erfolgreich angewendet.

15 Studienbrief 7 Zusammenfassung und Fazit Seite 105 Studienbrief 7 Zusammenfassung und Fazit Informationssicherheit ist mehr als IT-Sicherheit, denn neben den technischen Aspekten sind eine Fülle weiterer Fragen aus den Bereichen Personen und Prozesse zu berücksichtigen. Das Ziel einer kontinuierlich verbesserten, an die aktuellen Änderungen angepassten IS kann allerdings nur erreicht werden, wenn ein Prozess zum Management der IS aufgebaut wird. Ein weiterer wichtiger Erfolgsfaktor ist die Akzeptanz der Maßnahmen. Dazu muss gewährleistet werden, dass diese angemessen sind und im Sinne des Geschäftsbetriebs der Organisation ausgerichtete sind. Nicht zuletzt spielt auch die Unterstützung durch das Management eine wesentliche Rolle für den Erfolg der IS. Nur wenn das Management auch im Konfliktfall Business vs. Security eine Risiko-basierte Entscheidung trifft und die Ziele der IS unterstützt, wird das IS-Management langfristig von Erfolg gekrönt sein. Dazu ist aber wiederum die Beteiligung aller Mitarbeiter und vor allem die Unterstützung durch das Management erforderlich. Dieses Modul soll die Grundlagen dazu legen. In der Einleitung (Studienbrief 1) haben wir zunächst eine kurze Einführung in die Thematik gegeben und dargelegt, warum ein IS-Management der richtige Ansatz ist. Studienbrief 2 geht dann im Detail auf die Aspekte der IS-Governance ein. Dabei wurde die notwendige Ausrichtung an den Geschäftszielen betont und die wesentlichen Vorteile einer IS Governance aufgezeigt. Im Studienbrief 3 haben wir mit dem Thema Risikomanagement die Grundlage für den Aufbau des IS-Programms gelegt. Erst ein effektives und effizientes Risikomanagement gibt der Organisation die Chance, trotz begrenzter Ressourcen die Maßnahmen zu implementieren, die in Bezug auf die IS den größten Mehrwert bieten. Gleichzeitig gibt das Risikomanagement dem IS-Manager auch Argumente an die Hand, die Leitungsebene von der Sinnhaftigkeit der IS zu überzeugen. Der Studienbrief 4 ging dann auf die Planung und den Aufbau des IS-Programms ein. Erst durch das IS-Programm werden die auf Grundlage des Risikomanagements ermittelten Maßnahmen in die Fläche gebracht und auf der Arbeitsebene implementiert. Gleichzeitig bietet das IS-Programm die Möglichkeit, die IS in den Standardprozessen der Organisation zu verankern und zu einer hohen Effizienz, aber auch Akzeptanz der IS beizutragen. Studienbrief 5 beschäftigte sich schließlich mit der Frage, wie man sich auf mögliche Vorfälle vorbereitet, die trotz eines umfangreichen Risikomanagements bisher nicht entsprechend abgefedert wurden - etwa, weil sie nicht bedacht wurden oder als zu unwahrscheinlich erachtet wurden. In Studienbrief 6 haben wir dann den Ansatz nach dem BSI IT-GS exemplarisch kennne gelernt und die einzelnen Schritte beschrieben, die notwendig sind, um ein ISMS nach IT-GS aufzubauen. Dieser Studienbrief hat allerdings nicht den Anspruch, die Standards 100-1, und des BSI zu ersetzen. Vielmehr steht es für eine zusammenfassende Darstellung des Standards 100-2, der die Implementierung eines ISMS nach IT-GS beschreibt. Abschließend muss aber betont werden, dass dieses Modul nur die theoretische Grundlage für den Betrieb eines ISMS liefert. Die Umsetzung ist in der Praxis aber -gemäß dem Spruch Theorie und Praxis - häufig mit erheblichen Problemen verbunden, die in diesem Moduel nur ansatzweise angesprochen werden können. Erfahrung ist daher nach wie vor das Kriterium, das einen guten IS-Manager auszeichnet - und ihn dann auch alle Widrigkeiten meistern lässt. Informationssicherheit vs. IT-Sicherheit IS-Governance als Motivator Risikomanagement als Entscheidungsbasis Umsetzung im IS- Programm Pläne für das Ungeplante IS-Management mit BSI IT-Grundschutz Zusammenfassung Erfahrung macht den Meister

16

17 Verzeichnisse Seite 107 Verzeichnisse 8.1 Abbildungen Abb. 1.1: Illustration der CIA-Triade Abb. 1.2: Drei-Säulen-Modell der Informationssicherheit Abb. 2.1: PDCA-Zyklus nach Deming Abb. 2.2: Konzept der Layered Defense Abb. 2.3: Schematische Darstellung der Policy-Pyramide Abb. 2.4: Veranschaulichung der Kriterien Umsetzungsverpflichtung und Messbarkeit Abb. 3.1: Risikobewertung mittels Eintrittswahrscheinlichkeit und Auswirkungen Abb. 3.2: Risikomanagement nach dem Standard NIST Abb. 3.3: Klassifizierung von Informationswerten durch Gruppierung Abb. 3.4: Illustration der 4-T -Maßnahmen Abb. 4.1: Beispiel einer Netzwerk-Architektur Abb. 4.2: SDLC als Wasserfall-Diagramm Abb. 5.1: Illustration des SAP-Konzepts der Digitalen Forensik Abb. 5.2: Illustration eines virtuellen Teams Abb. 6.1: Vorgehensweise nach BSI IT-Grundschutz Abb. 6.2: Kosten-Nutzen-Relation im Bereich der IS Literatur [1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS), Version 1.5, Mai [2] Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. BSI-Standard 100-2: IT-Grundschutz- Vorgehensweise, Version 2.0, Mai [3] Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. BSI-Standard 100-3: Risikoanalyse auf der Basis IT-Grundschutz, Version 2.5, Mai [4] Bundesamt für Sicherheit in der Informationstechnik (BSI), Bonn. BSI-Standard 100-4: Notfallmanagement, Version 1.0, November [5] W.E. Deming. Out of the Crisis. The MIT Press, Cambridge (USA), 1. Auflage, [6] Information Systems Audit and Control Association (ISACA), Rolling Meadows (USA). Control Objectives for Information and Related Technology (COBIT), Version 5, April [7] Information Systems Audit and Control Association (ISACA), Rolling Meadows (USA). Certified Information Security Manager (CISM) Review Manual, Version 11, [8] R.S. Kaplan, D.P. Norton und P. Horváth. Balanced Scorecard: Strategien erfolgreich umsetzen. Schäffer-Poeschel Verlag, Stuttgart, 1. Auflage, September [9] Payment Card Industry (PCI) Security Standards Council, Wakefield (USA). PCI Data Security Standard (PCI DSS), Version 3.0, November [10] W.A. Shewhart. Statistical Method from the Viewpoint of Quality Control. Dover Pubn Inc, 1. Auflage, November 1986.

18 Seite 108 Verzeichnisse [11] Software Engineering Institute (SEI), Carnegie Mellon University, Pittsburgh (USA). Capability Maturity Model Integration (CMMI), Version 1.3, [12] R. Stoneburner, A. Feringa und A. Goguen. Risk Management Guide for Information Technology Systems. National Institute of Standards and Technology, Gaithersburg (USA), Version 1.0, Juli 2002.

Modul. Management der Informationssicherheit

Modul. Management der Informationssicherheit Modul Management der Informationssicherheit Studienbrief 1: Einleitung und Motivation Studienbrief 2: Governance im Bereich der IS Studienbrief 3: Risikomanagement im Bereich IS Studienbrief 4: Umsetzung

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI Vorwort Sarbanes-Oxley-Act, Basel II oder KonTraG immer mehr gesetzliche Rahmenbedingungen haben einen deutlichen Bezug zur IT-Sicherheit. Sie erhöhen den Druck auf die Verantwortlichen, die Sicherheit

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe -

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe - Peter Meier Die Umsetzung von Risikomanagement nach ISO 31000 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud

BSI-Sicherheitsemfehlungen für Anbieter in der Cloud BSI-Sicherheitsemfehlungen für Anbieter in der Cloud Dr.-Ing. Clemens Doubrava, BSI VATM-Workshop Köln / Referenzarchitektur Cloud Computing 2 Was sind die Risiken für CSP? (Public Cloud) Finanzielle Risiken

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1 IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter 2003 KPMG Information Risk Management 1 Grundvoraussetzungen Grundsätzlich sollten alle Prüfer, die IT im Rahmen von Jahresabschlussprüfungen prüfen

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

IT-Grundschutz: Cloud-Bausteine

IT-Grundschutz: Cloud-Bausteine IT-Grundschutz: Cloud-Bausteine Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 12.09.2013 Was sind die Risiken? (Public

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

Cloud Governance in deutschen Unternehmen

Cloud Governance in deutschen Unternehmen www.pwc.de/cloud Cloud Governance in deutschen Unternehmen Eine Zusammenfassung der gemeinsamen Studie von ISACA und PwC. Cloud Governance in deutschen Unternehmen eine Studie von ISACA und PwC Die wichtigsten

Mehr

Integriertes Management der Informationssicherheit im Krankenhaus

Integriertes Management der Informationssicherheit im Krankenhaus Integriertes Management der Informationssicherheit im Krankenhaus IEC 80001-1 & ISO 27001:2008 Themenflyer mit Leistungsangebot Think.Guide.Ready Mission und Vision Die CETUS Consulting GmbH ist ein Premium-

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Information Security Management System

Information Security Management System WHITEPAPER Information Security Management System Grundpfeiler der Informationssicherheit Information Security Management System Grundpfeiler der Informationssicherheit Welche Werte gilt es zu schützen?

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Informationssicherheits-, Risiko- und Compliance-Management

Informationssicherheits-, Risiko- und Compliance-Management Informationssicherheits-, Risiko- und Compliance-Management Professionelles Informationssicherheits-, Risiko- und Compliance-Management ISO 27001, Risiko- und Compliance-Management, Prozesse, Policies,

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Mobile Technologien in der Assekuranz: Wie sie effektiv genutzt und im Rahmen einer Mobile- Strategie umgesetzt werden können.

Mobile Technologien in der Assekuranz: Wie sie effektiv genutzt und im Rahmen einer Mobile- Strategie umgesetzt werden können. Studienabschlussarbeit / Bachelor Thesis Marcel Altendeitering Manuskript Mobile Technologien in der Assekuranz: Wie sie effektiv genutzt und im Rahmen einer Mobile- Strategie umgesetzt werden können.

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

IT-Sicherheitszertifikat

IT-Sicherheitszertifikat Bundesamt Deutsches erteilt vom IT-Sicherheitszertifikat Bundesamt ISO 27001-Zertifikat auf der Basis von IT-Grundschutz Technisches Facility Management für hochverfügbare Datacenter der e-shelter facility

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

VORSCHLÄGE FÜR EIN SCHULUNGS- KONZEPT IT-SICHERHEIT

VORSCHLÄGE FÜR EIN SCHULUNGS- KONZEPT IT-SICHERHEIT VORSCHLÄGE FÜR EIN SCHULUNGS- KONZEPT IT-SICHERHEIT Version 1.0 EVANGELISCHE KIRCHE IN DEUTSCHLAND INHALTSVERZEICHNIS 1 ALLGEMEINES 3 1.1 Rahmenbedingungen / Ausgangslage 3 1.2 Zielsetzung und Gegenstand

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke

Mehr

CISA/CISM/CGEIT und die COBIT-Zertifikate

CISA/CISM/CGEIT und die COBIT-Zertifikate INFORMATION RISK MANAGEMENT CISA/CISM/CGEIT und die COBIT-Zertifikate von Markus Gaulke Stand: Oktober 2008 ADVISORY 2004 KPMG Deutsche Treuhand-Gesellschaft Aktiengesellschaft Wirtschaftsprüfungsgesellschaft,

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte

Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte Cloud Computing Gefahrenpotentiale und Sicherheitskonzepte, BSI Was ist beim Einsatz von Cloud Computing zu beachten? AGCS Expertentage 2011 / 24.10.2011 Themen Gefährdungen der Cloud Voraussetzungen für

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

pco ISO/IEC 27001:2013 Praxisworkshop vom 08. bis 10. Juni 2015

pco ISO/IEC 27001:2013 Praxisworkshop vom 08. bis 10. Juni 2015 pco ISO/IEC 27001:2013 Praxisworkshop Einleitung Der Praxisworkshop Information-Security-Management-System (ISMS) nach ISO/IEC 27001:2013 vermittelt den Teilnehmern einen fundierten Überblick, wie durch

Mehr

Holger Schrader Principal Consultant der CARMAO GmbH. Stellvertretender Leiter der Fachgruppe Informationssicherheit ISACA Germany Chapter

Holger Schrader Principal Consultant der CARMAO GmbH. Stellvertretender Leiter der Fachgruppe Informationssicherheit ISACA Germany Chapter ISACA Fachgruppe Informationssicherheit: Überblick über die ISO27001:2013 HERZLICH WILLKOMMEN Holger Schrader Principal Consultant der CARMAO GmbH Stellvertretender Leiter der Fachgruppe Informationssicherheit

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Ablauf der Zertifizierung / Zertifizierung von Organisationen Prof. Kathrin Winkler / Prof. Jürgen Müller Agenda 1. Fortbildungsweg 2. Projektarbeit und dpüf Prüfung

Mehr

ISO/IEC 27001/2. Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe

ISO/IEC 27001/2. Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe ISO/IEC 27001/2 Neue Versionen, weltweite Verbreitung, neueste Entwicklungen in der 27k-Reihe 1 ISO Survey of Certifications 2009: The increasing importance organizations give to information security was

Mehr

BSI ICS-SECURITY-KOMPENDIUM

BSI ICS-SECURITY-KOMPENDIUM BSI ICS-SECURITY-KOMPENDIUM SICHERHEIT VON INDUSTRIELLEN STEUERANLAGEN Andreas Floß, Dipl.-Inform., Senior Consultant Information Security Management, HiSolutions AG 1 HiSolutions 2013 ICS-Kompendium Vorstellung

Mehr

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle G m b H Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

ISO 5500x-Normenfamilie

ISO 5500x-Normenfamilie ISO 5500x-Normenfamilie 5 Fakten zur ISO 5500x-Normenfamilie ISO 55000 - Overview, principles and terminology ISO 55001 - Requirements ISO 55002 - Guidelines on the application of ISO 55001 Generelles

Mehr