Informationssicherheit. Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU
|
|
- Eike Vogel
- vor 8 Jahren
- Abrufe
Transkript
1 Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU
2 Informationssicherheit - betrifft das unser Unternehmen? Meldungen über Hacker, Verletzung von Datenschutz (Diebstahl von Informationen) oder Betrug mit Kreditkarten lesen wir fast täglich in der Zeitung. Schätzungen gehen davon aus, dass das Geschäft mit Cyber Crime mittlerweile ein Volumen von mehreren Mrd. Dollar jährlich erreicht hat. Was wir aus den Medien erfahren, ist nur die Spitze eines noch wachsenden Eisbergs. Investitionen in Informationssicherheit sind deshalb gut angelegt: Sie helfen Datenlecks rechtzeitig zu erkennen und Datendiebstahl oder Verlust zu verhindern, Ausfälle von Geräten und Systemen zu minimieren und falls es doch passiert, den Zeitbedarf bis zur Wiederherstellung eines geordneten Betriebes zu reduzieren. Wenn Sie in Ihrem Unternehmen mit sensiblen Daten arbeiten (Gesundheitswesen, Finanzwesen, öffentlicher Bereich aber auch Cloud Services), erwarten Ihre Kunden, dass die Daten ausreichend geschützt werden. Ein tadelloser Ruf was die Informationsverarbeitung anbelangt, ist hier Grundvoraussetzung für erfolgreiche Geschäftstätigkeit. Und wenn Ihr Unternehmen nicht zu diesen sensiblen Branchen gehört? Haben Sie für sich schon einmal die Rechnung gemacht, wie viele Tage Aufwand es kosten würde, wenn Sie Ihre Kundendatei, Ihre technischen Zeichnungen oder Rezepte wieder vollständig neu aufbauen müssten? Sind Firewall und Virenschutz nicht ausreichend? IT Security is 75% people and 25% technology. ISACA Firewall und Virenschutz sind ein Muss, als isolierte Massnahmen reichen sie nicht aus. Die Erfahrung zeigt, dass immer raffiniertere Methoden eingesetzt werden, um Lücken im Sicherheitsnetz einer Organisation auszunutzen. Es ist daher wichtig, dass man sich mit möglichen Bedrohungen und Risiken auseinandersetzt und daraus einen umfassenden Massnahmenplan ableitet. Ziel muss sein, ein ausgewogenes Konzept umzusetzen, das organisatorische, technische und personelle Massnahmen zu einem umfassenden Schutz verbindet. Mit dem hier dargelegten 10 Punkteplan haben Sie schon ein rechtes Stück des Weges hinter sich gebracht und wie Sie sehen werden sind die Menschen (Pläne, Prozesse, Regeln, Verhalten und Kultur) entscheidender als der Einsatz von Security Lösungen. 2
3 Es ist Zeit zu handeln Computer, Internet und Datenverkehr sind im heutigen Geschäftsumfeld unverzichtbar. Sie vereinfachen die Kommunikation mit den Kunden, helfen Aufträge zu generieren, die Buchhaltung zu führen und das Unternehmen zu lenken. Eine Verletzung der Datensicherheit schadet dem Geschäft und der Reputation. Daher muss jedes Unternehmen geeignete Sicherheitsvorkehrungen treffen. Wie der 10 Punkte Plan zeigt, sind dazu keine grossen finanziellen Ressourcen erforderlich. Mit wohlüberlegten organisatorischen Massnahmen und der Schaffung der notwendigen Sensibilität lässt sich schon Einiges erreichen. Handeln Sie jetzt! Investitionen in Informationssicherheit schützen vor unliebsamen Überraschungen, verbessern den Datenschutz und tragen zu mehr Stabilität und Kundenvertrauen bei. Bewährtes Vorgehen: Plan Grundsätze für Informationssicherheit und Datenschutz festlegen Ziele und Umfang definieren Methode für das Risikomanagement festlegen Unterziehen Sie die IT Vermögenswerte einem Risiko Assessment Do Risiken bewerten und Massnahmenplan umsetzen Regeln aufstellen und Verfahren festlegen Notfallplan erstellen Mitarbeitende informieren / ausbilden Check Umsetzung der Massnahmen überwachen Act Periodische Überprüfung durchführen und Verbesserungsmassahmen einleiten. 3
4 10 Punkte-Plan für angemessene Informationssicherheit 1 Zeigen Sie, dass Informationssicherheit für Sie wichtig ist Halten Sie schriftlich fest, zum Beispiel in Form einer Richtlinie oder eines schriftlichen Statements, dass Ihnen Sicherheit wichtig ist. Dass Sie alle wirtschaftlich und technisch sinnvollen Massnahmen ergreifen, um sensible Daten und kritische Geschäftsprozesse und Systeme angemessen zu schützen. Machen Sie deutlich, dass Sie dies auch von Ihren Mitarbeitenden erwarten. Informieren Sie Stakeholder und Mitarbeitende über Ihre Absichten. 2 Legen Sie Umfang und Ziele fest Als nächstes müssen Sie festlegen, welche gesetzlichen Regelungen für Ihr Unternehmen verbindlich sind, welchen branchenüblichen Regelungen Sie folgen und welche vertraglichen Verpflichtungen Sie bezüglich Datenschutz und sicherheit nachkommen müssen. Weiter müssen Sie Ziele in Bezug auf Verfügbarkeit und Integrität festlegen. Überlegen Sie sich, wie lange Einkauf, Produktion, Verkauf oder Marketing ohne IT arbeiten können und ab wann ein Ausfall von Systemen für die Kunden spürbar, ärgerlich und nicht mehr akzeptabel sein wird. Da Sie wahrscheinlich nicht alle Ziele gleichzeitig erreichen können, müssen Sie Prioritäten setzen. 3 Legen Sie eine Methode für das Risiko Management fest Vielleicht haben Sie sich bereits in Rahmen des Aufbaus eines IKS eingehend mit Risiko Management befasst. Dann können Sie höchstwahrscheinlich diese Methodik auch für die Identifizierung und Bewertung von IT Risiken anwenden. Wenn nicht, sollten Sie diesem Punkt ausreichend Zeit und Ressourcen bereitstellen. Denn eine lückenlose Identifikation von Schwachstellen und eine realistische Einschätzung des Schadenpotentials sind die Grundlage für die nachfolgende Massnahmenplanung. 4
5 4 Unterziehen Sie die Vermögenswerte einem Risiko Assessment Um die Risiken bestimmen zu können, müssen Sie die möglichen Bedrohungen und deren Auswirkungen kennen. Am besten erstellt man sich eine Liste der betrieblichen Vermögenswerte, ermittelt die Bedrohungen in Bezug auf Datenschutz und Datensicherheit. Daraus lassen sich dann die Risiken und deren Auswirkungen bestimmen und bewerten. Mögliche Risiken, die es zu bewerten gilt sind: Diebstahl von Geräten und Daten Technisch bedingter Ausfall wichtiger Geräte Verfahrens- und Bedienungsfehlerfehler Feuer, Wasser oder Blitz 5 Risiken managen und Massnahmen umsetzen Es gibt unterschiedliche Strategien, wie mit Risiken umzugehen ist. Entscheiden Sie sich für die geeignete Strategie und setzen Sie diese konsequent um. Erstellen Sie einen Massnahmenplan für die Minimierung des Schadenpotentials. Denken Sie auch an Vorbeugen ist besser als Heilen. Die Überwachung des Massnahmenplans ist Chefsache. Prüfen Sie regelmässig den Fortschritt bei der Umsetzung. 6 Regeln aufstellen und Verfahren festlegen Wenn Sie diesen Prozess durchlaufen haben, sind Ihre IT Risiken transparent. Sie können auf einer fundierten Grundlage entscheiden, welche Risiken Sie selber tragen und wo es sich lohnt, in Vorbeugemassnahmen zu investieren. Definieren Sie Verhaltensregeln und Verfahren, die festlegen wie Mitarbeitende sich in Bezug auf Informationssicherheit zu verhalten haben. Halten Sie diese Dos and Don t s schriftlich fest (z.b. als IT Knigge ): Dos Regelmässige Datensicherungen durchführen Starke Passwörter verwenden und regelmässig ändern Beim Verlassen des Arbeitsplatzes, Bildschirmschoner einschalten Regelmässig Programm-Updates durchführen Vorkehrungen für den worst case treffen Don ts Unverschlüsselte Kundendaten auf mobile Geräte kopieren Virenschutz und andere sicherheitstechnische Programme ausschalten Übermässige Verwendung von IT Ressourcen (Internet) für private Zwecke Nicht lizensierte Software verwenden 5
6 In grösseren Unternehmen oder bei sehr kritischen Prozessen sind diese sinnvollerweise schriftlich zu dokumentieren und die Verantwortlichkeiten sind klar zu regeln. (zum Beispiel Vergabe von Zugriffsrechten). Prozesse, die erfahrungsgemäss schriftlich festgehalten werden sollten sind: Regelung der Aufgaben und Verantwortlichkeit für Datensicherung, Aufbewahrung der Back-up Medien Verfahren für System Wiederherstellung Meldung, Klassifizierung und Behebung von Security Incidents Audits von Systemen und Prozessen 7 Notfallplan erstellen Ist Ihr Unternehmen auch auf plötzlich eintretende Ereignisse (Hochwasser, Feuer, Ausfall der Strom- / Datenversorgung, Ausfall von Geräten) gewappnet? Wenn Sie sich rechtzeitig mit diesen Themen auseinandersetzen, können Sie, wenn ein solches Ereignis eintritt, den Schaden für den Geschäftsbetrieb deutlich verringern und den Zeitbedarf für die Wiederherstellung eines geordneten Betriebs reduzieren. Legen Sie fest, wie schnell Ihre Systeme nach einem Ereignis wieder up and running sein müssen. Beträgt diese Frist mehrere Tage oder nur einige Stunden? Leiten Sie daraus ab, ob ein zweiter Standort notwendig ist und welche Geräte Sie dort vorhalten / in Bereitschaft haben müssen. Legen Sie sich einen Plan zurecht, in welcher Reihenfolge die Systeme wieder funktionieren müssen und welche Back-ups dazu notwendig sind. definieren Sie ein Krisenmanagement Team um im Ernstfall rasch und 8 situationsgerecht zu handeln: o Wer übernimmt die Leitung? o Wer kommuniziert mit Behörden? o Wer informiert die wichtigsten Kunden? o Wer ist für den Aufbau der Ausweichsysteme zuständig? Mitarbeitende informieren und ausbilden Die Mitarbeitenden sollten regelmässig über potentielle Risiken im Zusammenhang mit der Nutzung von IT Systemen informiert werden. Mitarbeitende müssen wissen, welche praktischen Massnahmen vorzukehren sind und welche Verantwortung sie dabei übernehmen müssen. Wichtig ist auch, dass das Sicherheitsbewusstsein durch regelmässige Briefings aufrechterhalten bleibt. Verhaltens-Knigge für Internet oder soziale Medien eignen sich für diese Zwecke gut. Sie können kostenlos im Internet bezogen werden. 6
7 9 Umsetzung der Massnahmen überwachen Stellen Sie sicher, dass die definierten Massnahmen tatsächlich umgesetzt werden. Die Umsetzung kostet für die Beteiligten Energie und Zeit, die sie vielleicht lieber für andere Ziele einsetzen möchten. Erfahrungsgemäss fallen in Zeiten höheren wirtschaftlichen Drucks Themen wie Sicherheit oder Datenschutz in der Prioritätenliste rasch zurück. Wenn das angepeilte Sicherheitsniveau erreicht werden soll, ist eine regelmässige Überprüfung des Fortschritts unerlässlich. Beispiele: Organisatorische Massnahmen o Clear Desk Policy o Sicherheitsrelevante Aufgaben im Einstellungs- und Austrittsprozess von Mitarbeitenden definieren o Regelmässige Wartung der Datenserver, Back-up Geräte und Kontrolle der Medien o SLA mit Lieferanten Physische Massnahme o Brandschutz in Räumlichkeiten für IT Infrastruktur. o Bauliche Massnahmen Technische Massnahmen 10 o Firewall und Virenschutz o USV-Anlage (Unterbrechungsfreie Stromversorgung) o Virtualisierte Hardware Periodische Überprüfung durchführen und Verbesserungsmassnahmen einleiten In der Hektik des Geschäftsalltags wird vielleicht nicht alles so angewandt wie ursprünglich beabsichtigt, Geschäftsprozesse ändern sich und damit vielleicht auch die Bedrohungen oder Gesetze wurden geändert und die Compliance muss neu überprüft werden. Daher ist es ratsam, periodisch die Wirksamkeit der getroffenen Massnahmen auf ihre Effektivität zu prüfen, um neue Schwachstellen aufzudecken und zu beheben. Quellen im Internet Praktische Hilfe zur Umsetzung eines ISMS (Informationssicherheits-Management System) findet man in einschlägigen Standards (ISO 27001, BSI Grundschutz, ISACA IT Risk). Auf deren Empfehlungen beruht auch diese Broschüre. Weitere interessante Informationen finden Sie auf folgenden Internetseiten:
8 Unser Dienstleistungsportfolio IT Security & Business Continuity Aufbau und Einführung von Information Security Management Systemen (ISMS) IT Risikoanalysen Business Continuity- & Notfallkonzepte IT Audits nach ISO IT Governance Design, Implementierung und Optimierung von IT Governance Systemen IT Check-up Projekt Portfolio Management Service Management IT Service Strategie Performance Optimierung & Kennzahlensysteme Evaluation von Service Providern & Softwarelösungen Management ad interim Temporäre Übernahme von IT Management Funktionen und Projektleitungen Januar 2016
9 Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU
10 Informationssicherheit - betrifft das unser Unternehmen? Meldungen über Hacker, Verletzung von Datenschutz (Diebstahl von Informationen) oder Betrug mit Kreditkarten lesen wir fast täglich in der Zeitung. Schätzungen gehen davon aus, dass das Geschäft mit Cyber Crime mittlerweile ein Volumen von mehreren Mrd. Dollar jährlich erreicht hat. Was wir aus den Medien erfahren, ist nur die Spitze eines noch wachsenden Eisbergs. Investitionen in Informationssicherheit sind deshalb gut angelegt: Sie helfen Datenlecks rechtzeitig zu erkennen und Datendiebstahl oder Verlust zu verhindern, Ausfälle von Geräten und Systemen zu minimieren und falls es doch passiert, den Zeitbedarf bis zur Wiederherstellung eines geordneten Betriebes zu reduzieren. Wenn Sie in Ihrem Unternehmen mit sensiblen Daten arbeiten (Gesundheitswesen, Finanzwesen, öffentlicher Bereich aber auch Cloud Services), erwarten Ihre Kunden, dass die Daten ausreichend geschützt werden. Ein tadelloser Ruf was die Informationsverarbeitung anbelangt, ist hier Grundvoraussetzung für erfolgreiche Geschäftstätigkeit. Und wenn Ihr Unternehmen nicht zu diesen sensiblen Branchen gehört? Haben Sie für sich schon einmal die Rechnung gemacht, wie viele Tage Aufwand es kosten würde, wenn Sie Ihre Kundendatei, Ihre technischen Zeichnungen oder Rezepte wieder vollständig neu aufbauen müssten? Sind Firewall und Virenschutz nicht ausreichend? IT Security is 75% people and 25% technology. ISACA Firewall und Virenschutz sind ein Muss, als isolierte Massnahmen reichen sie nicht aus. Die Erfahrung zeigt, dass immer raffiniertere Methoden eingesetzt werden, um Lücken im Sicherheitsnetz einer Organisation auszunutzen. Es ist daher wichtig, dass man sich mit möglichen Bedrohungen und Risiken auseinandersetzt und daraus einen umfassenden Massnahmenplan ableitet. Ziel muss sein, ein ausgewogenes Konzept umzusetzen, das organisatorische, technische und personelle Massnahmen zu einem umfassenden Schutz verbindet. Mit dem hier dargelegten 10 Punkteplan haben Sie schon ein rechtes Stück des Weges hinter sich gebracht und wie Sie sehen werden sind die Menschen (Pläne, Prozesse, Regeln, Verhalten und Kultur) entscheidender als der Einsatz von Security Lösungen. 2
11 Es ist Zeit zu handeln Computer, Internet und Datenverkehr sind im heutigen Geschäftsumfeld unverzichtbar. Sie vereinfachen die Kommunikation mit den Kunden, helfen Aufträge zu generieren, die Buchhaltung zu führen und das Unternehmen zu lenken. Eine Verletzung der Datensicherheit schadet dem Geschäft und der Reputation. Daher muss jedes Unternehmen geeignete Sicherheitsvorkehrungen treffen. Wie der 10 Punkte Plan zeigt, sind dazu keine grossen finanziellen Ressourcen erforderlich. Mit wohlüberlegten organisatorischen Massnahmen und der Schaffung der notwendigen Sensibilität lässt sich schon Einiges erreichen. Handeln Sie jetzt! Investitionen in Informationssicherheit schützen vor unliebsamen Überraschungen, verbessern den Datenschutz und tragen zu mehr Stabilität und Kundenvertrauen bei. Bewährtes Vorgehen: Plan Grundsätze für Informationssicherheit und Datenschutz festlegen Ziele und Umfang definieren Methode für das Risikomanagement festlegen Unterziehen Sie die IT Vermögenswerte einem Risiko Assessment Do Risiken bewerten und Massnahmenplan umsetzen Regeln aufstellen und Verfahren festlegen Notfallplan erstellen Mitarbeitende informieren / ausbilden Check Umsetzung der Massnahmen überwachen Act Periodische Überprüfung durchführen und Verbesserungsmassahmen einleiten. 3
12 10 Punkte-Plan für angemessene Informationssicherheit 1 Zeigen Sie, dass Informationssicherheit für Sie wichtig ist Halten Sie schriftlich fest, zum Beispiel in Form einer Richtlinie oder eines schriftlichen Statements, dass Ihnen Sicherheit wichtig ist. Dass Sie alle wirtschaftlich und technisch sinnvollen Massnahmen ergreifen, um sensible Daten und kritische Geschäftsprozesse und Systeme angemessen zu schützen. Machen Sie deutlich, dass Sie dies auch von Ihren Mitarbeitenden erwarten. Informieren Sie Stakeholder und Mitarbeitende über Ihre Absichten. 2 Legen Sie Umfang und Ziele fest Als nächstes müssen Sie festlegen, welche gesetzlichen Regelungen für Ihr Unternehmen verbindlich sind, welchen branchenüblichen Regelungen Sie folgen und welche vertraglichen Verpflichtungen Sie bezüglich Datenschutz und sicherheit nachkommen müssen. Weiter müssen Sie Ziele in Bezug auf Verfügbarkeit und Integrität festlegen. Überlegen Sie sich, wie lange Einkauf, Produktion, Verkauf oder Marketing ohne IT arbeiten können und ab wann ein Ausfall von Systemen für die Kunden spürbar, ärgerlich und nicht mehr akzeptabel sein wird. Da Sie wahrscheinlich nicht alle Ziele gleichzeitig erreichen können, müssen Sie Prioritäten setzen. 3 Legen Sie eine Methode für das Risiko Management fest Vielleicht haben Sie sich bereits in Rahmen des Aufbaus eines IKS eingehend mit Risiko Management befasst. Dann können Sie höchstwahrscheinlich diese Methodik auch für die Identifizierung und Bewertung von IT Risiken anwenden. Wenn nicht, sollten Sie diesem Punkt ausreichend Zeit und Ressourcen bereitstellen. Denn eine lückenlose Identifikation von Schwachstellen und eine realistische Einschätzung des Schadenpotentials sind die Grundlage für die nachfolgende Massnahmenplanung. 4
13 4 Unterziehen Sie die Vermögenswerte einem Risiko Assessment Um die Risiken bestimmen zu können, müssen Sie die möglichen Bedrohungen und deren Auswirkungen kennen. Am besten erstellt man sich eine Liste der betrieblichen Vermögenswerte, ermittelt die Bedrohungen in Bezug auf Datenschutz und Datensicherheit. Daraus lassen sich dann die Risiken und deren Auswirkungen bestimmen und bewerten. Mögliche Risiken, die es zu bewerten gilt sind: Diebstahl von Geräten und Daten Technisch bedingter Ausfall wichtiger Geräte Verfahrens- und Bedienungsfehlerfehler Feuer, Wasser oder Blitz 5 Risiken managen und Massnahmen umsetzen Es gibt unterschiedliche Strategien, wie mit Risiken umzugehen ist. Entscheiden Sie sich für die geeignete Strategie und setzen Sie diese konsequent um. Erstellen Sie einen Massnahmenplan für die Minimierung des Schadenpotentials. Denken Sie auch an Vorbeugen ist besser als Heilen. Die Überwachung des Massnahmenplans ist Chefsache. Prüfen Sie regelmässig den Fortschritt bei der Umsetzung. 6 Regeln aufstellen und Verfahren festlegen Wenn Sie diesen Prozess durchlaufen haben, sind Ihre IT Risiken transparent. Sie können auf einer fundierten Grundlage entscheiden, welche Risiken Sie selber tragen und wo es sich lohnt, in Vorbeugemassnahmen zu investieren. Definieren Sie Verhaltensregeln und Verfahren, die festlegen wie Mitarbeitende sich in Bezug auf Informationssicherheit zu verhalten haben. Halten Sie diese Dos and Don t s schriftlich fest (z.b. als IT Knigge ): Dos Regelmässige Datensicherungen durchführen Starke Passwörter verwenden und regelmässig ändern Beim Verlassen des Arbeitsplatzes, Bildschirmschoner einschalten Regelmässig Programm-Updates durchführen Vorkehrungen für den worst case treffen Don ts Unverschlüsselte Kundendaten auf mobile Geräte kopieren Virenschutz und andere sicherheitstechnische Programme ausschalten Übermässige Verwendung von IT Ressourcen (Internet) für private Zwecke Nicht lizensierte Software verwenden 5
14 In grösseren Unternehmen oder bei sehr kritischen Prozessen sind diese sinnvollerweise schriftlich zu dokumentieren und die Verantwortlichkeiten sind klar zu regeln. (zum Beispiel Vergabe von Zugriffsrechten). Prozesse, die erfahrungsgemäss schriftlich festgehalten werden sollten sind: Regelung der Aufgaben und Verantwortlichkeit für Datensicherung, Aufbewahrung der Back-up Medien Verfahren für System Wiederherstellung Meldung, Klassifizierung und Behebung von Security Incidents Audits von Systemen und Prozessen 7 Notfallplan erstellen Ist Ihr Unternehmen auch auf plötzlich eintretende Ereignisse (Hochwasser, Feuer, Ausfall der Strom- / Datenversorgung, Ausfall von Geräten) gewappnet? Wenn Sie sich rechtzeitig mit diesen Themen auseinandersetzen, können Sie, wenn ein solches Ereignis eintritt, den Schaden für den Geschäftsbetrieb deutlich verringern und den Zeitbedarf für die Wiederherstellung eines geordneten Betriebs reduzieren. Legen Sie fest, wie schnell Ihre Systeme nach einem Ereignis wieder up and running sein müssen. Beträgt diese Frist mehrere Tage oder nur einige Stunden? Leiten Sie daraus ab, ob ein zweiter Standort notwendig ist und welche Geräte Sie dort vorhalten / in Bereitschaft haben müssen. Legen Sie sich einen Plan zurecht, in welcher Reihenfolge die Systeme wieder funktionieren müssen und welche Back-ups dazu notwendig sind. definieren Sie ein Krisenmanagement Team um im Ernstfall rasch und 8 situationsgerecht zu handeln: o Wer übernimmt die Leitung? o Wer kommuniziert mit Behörden? o Wer informiert die wichtigsten Kunden? o Wer ist für den Aufbau der Ausweichsysteme zuständig? Mitarbeitende informieren und ausbilden Die Mitarbeitenden sollten regelmässig über potentielle Risiken im Zusammenhang mit der Nutzung von IT Systemen informiert werden. Mitarbeitende müssen wissen, welche praktischen Massnahmen vorzukehren sind und welche Verantwortung sie dabei übernehmen müssen. Wichtig ist auch, dass das Sicherheitsbewusstsein durch regelmässige Briefings aufrechterhalten bleibt. Verhaltens- Knigge für Internet oder soziale Medien eignen sich für diese Zwecke gut. Sie können kostenlos im Internet bezogen werden. 6
15 9 Umsetzung der Massnahmen überwachen Stellen Sie sicher, dass die definierten Massnahmen tatsächlich umgesetzt werden. Die Umsetzung kostet für die Beteiligten Energie und Zeit, die sie vielleicht lieber für andere Ziele einsetzen möchten. Erfahrungsgemäss fallen in Zeiten höheren wirtschaftlichen Drucks Themen wie Sicherheit oder Datenschutz in der Prioritätenliste rasch zurück. Wenn das angepeilte Sicherheitsniveau erreicht werden soll, ist eine regelmässige Überprüfung des Fortschritts unerlässlich. Beispiele: Organisatorische Massnahmen o Clear Desk Policy o Sicherheitsrelevante Aufgaben im Einstellungs- und Austrittsprozess von Mitarbeitenden definieren o Regelmässige Wartung der Datenserver, Back-up Geräte und Kontrolle der Medien o SLA mit Lieferanten Physische Massnahme o Brandschutz in Räumlichkeiten für IT Infrastruktur. o Bauliche Massnahmen Technische Massnahmen 10 o Firewall und Virenschutz o USV-Anlage (Unterbrechungsfreie Stromversorgung) o Virtualisierte Hardware Periodische Überprüfung durchführen und Verbesserungsmassnahmen einleiten In der Hektik des Geschäftsalltags wird vielleicht nicht alles so angewandt wie ursprünglich beabsichtigt, Geschäftsprozesse ändern sich und damit vielleicht auch die Bedrohungen oder Gesetze wurden geändert und die Compliance muss neu überprüft werden. Daher ist es ratsam, periodisch die Wirksamkeit der getroffenen Massnahmen auf ihre Effektivität zu prüfen, um neue Schwachstellen aufzudecken und zu beheben. Quellen im Internet Praktische Hilfe zur Umsetzung eines ISMS (Informationssicherheits-Management System) findet man in einschlägigen Standards (ISO 27001, BSI Grundschutz, ISACA IT Risk). Auf deren Empfehlungen beruht auch diese Broschüre. Weitere interessante Informationen finden Sie auf folgenden Internetseiten:
16 Unser Dienstleistungsportfolio IT Security & Business Continuity Aufbau und Einführung von Information Security Management Systemen (ISMS) IT Risikoanalysen Business Continuity- & Notfallkonzepte IT Audits nach ISO IT Governance Design, Implementierung und Optimierung von IT Governance Systemen IT Check-up Projekt Portfolio Management Service Management IT Service Strategie Performance Optimierung & Kennzahlensysteme Evaluation von Service Providern & Softwarelösungen Management ad interim Temporäre Übernahme von IT Management Funktionen und Projektleitungen Januar 2016
17 Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU
18 Informationssicherheit - betrifft das unser Unternehmen? Meldungen über Hacker, Verletzung von Datenschutz (Diebstahl von Informationen) oder Betrug mit Kreditkarten lesen wir fast täglich in der Zeitung. Schätzungen gehen davon aus, dass das Geschäft mit Cyber Crime mittlerweile ein Volumen von mehreren Mrd. Dollar jährlich erreicht hat. Was wir aus den Medien erfahren, ist nur die Spitze eines noch wachsenden Eisbergs. Investitionen in Informationssicherheit sind deshalb gut angelegt: Sie helfen Datenlecks rechtzeitig zu erkennen und Datendiebstahl oder Verlust zu verhindern, Ausfälle von Geräten und Systemen zu minimieren und falls es doch passiert, den Zeitbedarf bis zur Wiederherstellung eines geordneten Betriebes zu reduzieren. Wenn Sie in Ihrem Unternehmen mit sensiblen Daten arbeiten (Gesundheitswesen, Finanzwesen, öffentlicher Bereich aber auch Cloud Services), erwarten Ihre Kunden, dass die Daten ausreichend geschützt werden. Ein tadelloser Ruf was die Informationsverarbeitung anbelangt, ist hier Grundvoraussetzung für erfolgreiche Geschäftstätigkeit. Und wenn Ihr Unternehmen nicht zu diesen sensiblen Branchen gehört? Haben Sie für sich schon einmal die Rechnung gemacht, wie viele Tage Aufwand es kosten würde, wenn Sie Ihre Kundendatei, Ihre technischen Zeichnungen oder Rezepte wieder vollständig neu aufbauen müssten? Sind Firewall und Virenschutz nicht ausreichend? IT Security is 75% people and 25% technology. ISACA Firewall und Virenschutz sind ein Muss, als isolierte Massnahmen reichen sie nicht aus. Die Erfahrung zeigt, dass immer raffiniertere Methoden eingesetzt werden, um Lücken im Sicherheitsnetz einer Organisation auszunutzen. Es ist daher wichtig, dass man sich mit möglichen Bedrohungen und Risiken auseinandersetzt und daraus einen umfassenden Massnahmenplan ableitet. Ziel muss sein, ein ausgewogenes Konzept umzusetzen, das organisatorische, technische und personelle Massnahmen zu einem umfassenden Schutz verbindet. Mit dem hier dargelegten 10 Punkteplan haben Sie schon ein rechtes Stück des Weges hinter sich gebracht und wie Sie sehen werden sind die Menschen (Pläne, Prozesse, Regeln, Verhalten und Kultur) entscheidender als der Einsatz von Security Lösungen. 2
19 Es ist Zeit zu handeln Computer, Internet und Datenverkehr sind im heutigen Geschäftsumfeld unverzichtbar. Sie vereinfachen die Kommunikation mit den Kunden, helfen Aufträge zu generieren, die Buchhaltung zu führen und das Unternehmen zu lenken. Eine Verletzung der Datensicherheit schadet dem Geschäft und der Reputation. Daher muss jedes Unternehmen geeignete Sicherheitsvorkehrungen treffen. Wie der 10 Punkte Plan zeigt, sind dazu keine grossen finanziellen Ressourcen erforderlich. Mit wohlüberlegten organisatorischen Massnahmen und der Schaffung der notwendigen Sensibilität lässt sich schon Einiges erreichen. Handeln Sie jetzt! Investitionen in Informationssicherheit schützen vor unliebsamen Überraschungen, verbessern den Datenschutz und tragen zu mehr Stabilität und Kundenvertrauen bei. Bewährtes Vorgehen: Plan Grundsätze für Informationssicherheit und Datenschutz festlegen Ziele und Umfang definieren Methode für das Risikomanagement festlegen Unterziehen Sie die IT Vermögenswerte einem Risiko Assessment Do Risiken bewerten und Massnahmenplan umsetzen Regeln aufstellen und Verfahren festlegen Notfallplan erstellen Mitarbeitende informieren / ausbilden Check Umsetzung der Massnahmen überwachen Act Periodische Überprüfung durchführen und Verbesserungsmassahmen einleiten. 3
20 10 Punkte-Plan für angemessene Informationssicherheit 1 Zeigen Sie, dass Informationssicherheit für Sie wichtig ist Halten Sie schriftlich fest, zum Beispiel in Form einer Richtlinie oder eines schriftlichen Statements, dass Ihnen Sicherheit wichtig ist. Dass Sie alle wirtschaftlich und technisch sinnvollen Massnahmen ergreifen, um sensible Daten und kritische Geschäftsprozesse und Systeme angemessen zu schützen. Machen Sie deutlich, dass Sie dies auch von Ihren Mitarbeitenden erwarten. Informieren Sie Stakeholder und Mitarbeitende über Ihre Absichten. 2 Legen Sie Umfang und Ziele fest Als nächstes müssen Sie festlegen, welche gesetzlichen Regelungen für Ihr Unternehmen verbindlich sind, welchen branchenüblichen Regelungen Sie folgen und welche vertraglichen Verpflichtungen Sie bezüglich Datenschutz und sicherheit nachkommen müssen. Weiter müssen Sie Ziele in Bezug auf Verfügbarkeit und Integrität festlegen. Überlegen Sie sich, wie lange Einkauf, Produktion, Verkauf oder Marketing ohne IT arbeiten können und ab wann ein Ausfall von Systemen für die Kunden spürbar, ärgerlich und nicht mehr akzeptabel sein wird. Da Sie wahrscheinlich nicht alle Ziele gleichzeitig erreichen können, müssen Sie Prioritäten setzen. 3 Legen Sie eine Methode für das Risiko Management fest Vielleicht haben Sie sich bereits in Rahmen des Aufbaus eines IKS eingehend mit Risiko Management befasst. Dann können Sie höchstwahrscheinlich diese Methodik auch für die Identifizierung und Bewertung von IT Risiken anwenden. Wenn nicht, sollten Sie diesem Punkt ausreichend Zeit und Ressourcen bereitstellen. Denn eine lückenlose Identifikation von Schwachstellen und eine realistische Einschätzung des Schadenpotentials sind die Grundlage für die nachfolgende Massnahmenplanung. 4
21 4 Unterziehen Sie die Vermögenswerte einem Risiko Assessment Um die Risiken bestimmen zu können, müssen Sie die möglichen Bedrohungen und deren Auswirkungen kennen. Am besten erstellt man sich eine Liste der betrieblichen Vermögenswerte, ermittelt die Bedrohungen in Bezug auf Datenschutz und Datensicherheit. Daraus lassen sich dann die Risiken und deren Auswirkungen bestimmen und bewerten. Mögliche Risiken, die es zu bewerten gilt sind: Diebstahl von Geräten und Daten Technisch bedingter Ausfall wichtiger Geräte Verfahrens- und Bedienungsfehlerfehler Feuer, Wasser oder Blitz 5 Risiken managen und Massnahmen umsetzen Es gibt unterschiedliche Strategien, wie mit Risiken umzugehen ist. Entscheiden Sie sich für die geeignete Strategie und setzen Sie diese konsequent um. Erstellen Sie einen Massnahmenplan für die Minimierung des Schadenpotentials. Denken Sie auch an Vorbeugen ist besser als Heilen. Die Überwachung des Massnahmenplans ist Chefsache. Prüfen Sie regelmässig den Fortschritt bei der Umsetzung. 6 Regeln aufstellen und Verfahren festlegen Wenn Sie diesen Prozess durchlaufen haben, sind Ihre IT Risiken transparent. Sie können auf einer fundierten Grundlage entscheiden, welche Risiken Sie selber tragen und wo es sich lohnt, in Vorbeugemassnahmen zu investieren. Definieren Sie Verhaltensregeln und Verfahren, die festlegen wie Mitarbeitende sich in Bezug auf Informationssicherheit zu verhalten haben. Halten Sie diese Dos and Don t s schriftlich fest (z.b. als IT Knigge ): Dos Regelmässige Datensicherungen durchführen Starke Passwörter verwenden und regelmässig ändern Beim Verlassen des Arbeitsplatzes, Bildschirmschoner einschalten Regelmässig Programm-Updates durchführen Vorkehrungen für den worst case treffen Don ts Unverschlüsselte Kundendaten auf mobile Geräte kopieren Virenschutz und andere sicherheitstechnische Programme ausschalten Übermässige Verwendung von IT Ressourcen (Internet) für private Zwecke Nicht lizensierte Software verwenden 5
22 In grösseren Unternehmen oder bei sehr kritischen Prozessen sind diese sinnvollerweise schriftlich zu dokumentieren und die Verantwortlichkeiten sind klar zu regeln. (zum Beispiel Vergabe von Zugriffsrechten). Prozesse, die erfahrungsgemäss schriftlich festgehalten werden sollten sind: Regelung der Aufgaben und Verantwortlichkeit für Datensicherung, Aufbewahrung der Back-up Medien Verfahren für System Wiederherstellung Meldung, Klassifizierung und Behebung von Security Incidents Audits von Systemen und Prozessen 7 Notfallplan erstellen Ist Ihr Unternehmen auch auf plötzlich eintretende Ereignisse (Hochwasser, Feuer, Ausfall der Strom- / Datenversorgung, Ausfall von Geräten) gewappnet? Wenn Sie sich rechtzeitig mit diesen Themen auseinandersetzen, können Sie, wenn ein solches Ereignis eintritt, den Schaden für den Geschäftsbetrieb deutlich verringern und den Zeitbedarf für die Wiederherstellung eines geordneten Betriebs reduzieren. Legen Sie fest, wie schnell Ihre Systeme nach einem Ereignis wieder up and running sein müssen. Beträgt diese Frist mehrere Tage oder nur einige Stunden? Leiten Sie daraus ab, ob ein zweiter Standort notwendig ist und welche Geräte Sie dort vorhalten / in Bereitschaft haben müssen. Legen Sie sich einen Plan zurecht, in welcher Reihenfolge die Systeme wieder funktionieren müssen und welche Back-ups dazu notwendig sind. definieren Sie ein Krisenmanagement Team um im Ernstfall rasch und 8 situationsgerecht zu handeln: o Wer übernimmt die Leitung? o Wer kommuniziert mit Behörden? o Wer informiert die wichtigsten Kunden? o Wer ist für den Aufbau der Ausweichsysteme zuständig? Mitarbeitende informieren und ausbilden Die Mitarbeitenden sollten regelmässig über potentielle Risiken im Zusammenhang mit der Nutzung von IT Systemen informiert werden. Mitarbeitende müssen wissen, welche praktischen Massnahmen vorzukehren sind und welche Verantwortung sie dabei übernehmen müssen. Wichtig ist auch, dass das Sicherheitsbewusstsein durch regelmässige Briefings aufrechterhalten bleibt. Verhaltens- Knigge für Internet oder soziale Medien eignen sich für diese Zwecke gut. Sie können kostenlos im Internet bezogen werden. 6
23 9 Umsetzung der Massnahmen überwachen Stellen Sie sicher, dass die definierten Massnahmen tatsächlich umgesetzt werden. Die Umsetzung kostet für die Beteiligten Energie und Zeit, die sie vielleicht lieber für andere Ziele einsetzen möchten. Erfahrungsgemäss fallen in Zeiten höheren wirtschaftlichen Drucks Themen wie Sicherheit oder Datenschutz in der Prioritätenliste rasch zurück. Wenn das angepeilte Sicherheitsniveau erreicht werden soll, ist eine regelmässige Überprüfung des Fortschritts unerlässlich. Beispiele: Organisatorische Massnahmen o Clear Desk Policy o Sicherheitsrelevante Aufgaben im Einstellungs- und Austrittsprozess von Mitarbeitenden definieren o Regelmässige Wartung der Datenserver, Back-up Geräte und Kontrolle der Medien o SLA mit Lieferanten Physische Massnahme o Brandschutz in Räumlichkeiten für IT Infrastruktur. o Bauliche Massnahmen Technische Massnahmen 10 o Firewall und Virenschutz o USV-Anlage (Unterbrechungsfreie Stromversorgung) o Virtualisierte Hardware Periodische Überprüfung durchführen und Verbesserungsmassnahmen einleiten In der Hektik des Geschäftsalltags wird vielleicht nicht alles so angewandt wie ursprünglich beabsichtigt, Geschäftsprozesse ändern sich und damit vielleicht auch die Bedrohungen oder Gesetze wurden geändert und die Compliance muss neu überprüft werden. Daher ist es ratsam, periodisch die Wirksamkeit der getroffenen Massnahmen auf ihre Effektivität zu prüfen, um neue Schwachstellen aufzudecken und zu beheben. Quellen im Internet Praktische Hilfe zur Umsetzung eines ISMS (Informationssicherheits-Management System) findet man in einschlägigen Standards (ISO 27001, BSI Grundschutz, ISACA IT Risk). Auf deren Empfehlungen beruht auch diese Broschüre. Weitere interessante Informationen finden Sie auf folgenden Internetseiten:
24 Unser Dienstleistungsportfolio IT Security & Business Continuity Aufbau und Einführung von Information Security Management Systemen (ISMS) IT Risikoanalysen Business Continuity- & Notfallkonzepte IT Audits nach ISO IT Governance Design, Implementierung und Optimierung von IT Governance Systemen IT Check-up Projekt Portfolio Management Service Management IT Service Strategie Performance Optimierung & Kennzahlensysteme Evaluation von Service Providern & Softwarelösungen Management ad interim Temporäre Übernahme von IT Management Funktionen und Projektleitungen Januar 2016
Informationssicherheit
Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU Wir bauen Brücken zwischen der IT Strategie und effizienten IT Prozessen sowie zwischen den Kunden, der Informatik
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrSicherheitsaspekte der kommunalen Arbeit
Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,
MehrAGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom 21.10.2013b
AGROPLUS Buchhaltung Daten-Server und Sicherheitskopie Version vom 21.10.2013b 3a) Der Daten-Server Modus und der Tresor Der Daten-Server ist eine Betriebsart welche dem Nutzer eine grosse Flexibilität
MehrWelche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung?
Welche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung? BAF ist die Abkürzung von Bundes-Aufsichtsamt für Flugsicherung. Auf der Internetseite gibt es 4 Haupt-Bereiche:
MehrDie vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante
ISO 9001:2015 Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante Prozesse. Die ISO 9001 wurde grundlegend überarbeitet und modernisiert. Die neue Fassung ist seit dem
MehrLineargleichungssysteme: Additions-/ Subtraktionsverfahren
Lineargleichungssysteme: Additions-/ Subtraktionsverfahren W. Kippels 22. Februar 2014 Inhaltsverzeichnis 1 Einleitung 2 2 Lineargleichungssysteme zweiten Grades 2 3 Lineargleichungssysteme höheren als
MehrRonny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom
Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten
MehrFull Service Solution: Mieten statt kaufen. Juni 2010
: Mieten statt kaufen Schlüsselfragen... 2 Informatik und Telekom (ICT*) Selber machen oder abgeben? Infrastruktur Kaufen oder mieten? Rasanter Technologiewandel In welche Technik investieren? Wettbewerb
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrHinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen
Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen Sie möchten im Betreuten Wohnen leben. Dafür müssen Sie einen Vertrag abschließen. Und Sie müssen den Vertrag unterschreiben. Das steht
MehrPersönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl
Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut Von Susanne Göbel und Josef Ströbl Die Ideen der Persönlichen Zukunftsplanung stammen aus Nordamerika. Dort werden Zukunftsplanungen schon
MehrRISIKO- UND KRISENMANAGEMENT
RISIKO- UND KRISENMANAGEMENT INHALTSVERZEICHNIS Risikomanagement...1...3 GOLD - Das Handbuch für Gruppenleiter und Gruppenleiterinnen Risikomanagement No Risk no fun ist wohl ein bekannter Ausspruch in
MehrRisikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014
Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert
MehrGlaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln
Glaube an die Existenz von Regeln für Vergleiche und Kenntnis der Regeln Regeln ja Regeln nein Kenntnis Regeln ja Kenntnis Regeln nein 0 % 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 % 90 % Glauben Sie, dass
MehrEva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit
Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit Frau Dr. Eva Douma ist Organisations-Beraterin in Frankfurt am Main Das ist eine Zusammen-Fassung des Vortrages: Busines
MehrRISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de
RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT
MehrWinVetpro im Betriebsmodus Laptop
WinVetpro im Betriebsmodus Laptop Um Unterwegs Daten auf einem mobilen Gerät mit WinVetpro zu erfassen, ohne den Betrieb in der Praxis während dieser Zeit zu unterbrechen und ohne eine ständige Online
MehrWindows-Sicherheit in 5 Schritten. Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de.
Windows-Sicherheit in 5 Schritten Version 1.1 Weitere Texte finden Sie unter www.buerger-cert.de. Inhalt: 1. Schritt: Firewall aktivieren 2. Schritt: Virenscanner einsetzen 3. Schritt: Automatische Updates
MehrGeld Verdienen im Internet leicht gemacht
Geld Verdienen im Internet leicht gemacht Hallo, Sie haben sich dieses E-book wahrscheinlich herunter geladen, weil Sie gerne lernen würden wie sie im Internet Geld verdienen können, oder? Denn genau das
MehrMobile Intranet in Unternehmen
Mobile Intranet in Unternehmen Ergebnisse einer Umfrage unter Intranet Verantwortlichen aexea GmbH - communication. content. consulting Augustenstraße 15 70178 Stuttgart Tel: 0711 87035490 Mobile Intranet
MehrMein Recht. im Netz. Der Ratgeber für die digitale Selbstbestimmung
Mein Recht im Netz Der Ratgeber für die digitale Selbstbestimmung Peter Apel Mein Recht im Netz Der Ratgeber für die digitale Selbstbestimmung unter Mitarbeit von Peter Knaak Inhaltsverzeichnis 6 Was wollen
Mehr[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL
[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL Was bedeutet Customer Service by KCS.net? Mit der Einführung von Microsoft Dynamics AX ist der erste wichtige Schritt für viele Unternehmen abgeschlossen.
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrBuchhaltung mit WISO EÜR & Kasse 2011
Vorbemerkung... 1 1. Erste Schritte...Fehler! Textmarke nicht definiert.3 2. Einrichten des Programms... 5 3. Buchungen... 22 1. Anfangsbestand buchen... 22 2. Privateinlage in die Kasse... 26 4. Buchungen
MehrPrivatinsolvenz anmelden oder vielleicht sogar vermeiden. Tipps und Hinweise für die Anmeldung der Privatinsolvenz
Privatinsolvenz anmelden oder vielleicht sogar vermeiden Tipps und Hinweise für die Anmeldung der Privatinsolvenz Privatinsolvenz anmelden oder vielleicht sogar vermeiden Überschuldet Was nun? Derzeit
Mehr27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich
ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für
MehrBlog Camp Onlinekurs
Blog Camp Reichenberger Str. 48 DE-10999 Berlin mail@blog-camp.de www.blog-camp.de +49 (0) 152 36 96 41 83 Blog Camp Onlinekurs #IchLiebeBloggen Werde erfolgreicher Blogger www.blog-camp.de mail@blog-camp.de
Mehr1: 9. Hamburger Gründerpreis - Kategorie Existenzgründer - 08.09.2010 19:00 Uhr
1: 9. Hamburger Gründerpreis - Kategorie Existenzgründer - Sehr geehrter Herr Bürgermeister, sehr geehrter Herr Dr. Vogelsang, sehr geehrter Herr Strunz, und meine sehr geehrte Damen und Herren, meine
MehrIT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung
IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für ihre Entscheidung Entdecken Sie was IT Sicherheit im Unternehmen bedeutet IT Sicherheit
MehrDirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen
Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist
MehrZeitmanagement. Wie Sie Ihre Zeit erfolgreich nutzen. www.borse-coaching.de. Borse Training & Coaching Wilhelmstr. 16 65185 Wiesbaden 0611 880 45 91
Zeitmanagement Wie Sie Ihre Zeit erfolgreich nutzen Borse Training & Coaching Wilhelmstr. 16 65185 Wiesbaden 0611 880 45 91 www.borse-coaching.de Zeitmanagement - Zeit für Ihren Erfolg! Laut einer Studie
MehrGemeinsame Erklärung zur inter-kulturellen Öffnung und zur kultur-sensiblen Arbeit für und mit Menschen mit Behinderung und Migrations-Hintergrund.
Gemeinsame Erklärung zur inter-kulturellen Öffnung und zur kultur-sensiblen Arbeit für und mit Menschen mit Behinderung und Migrations-Hintergrund. Das ist eine Erklärung in Leichter Sprache. In einer
MehrII. Daten sichern und wiederherstellen 1. Daten sichern
II. Daten sichern und wiederherstellen 1. Daten sichern Mit der Datensicherung können Ihre Schläge und die selbst erstellten Listen in einem speziellen Ordner gespeichert werden. Über die Funktion Daten
MehrLernerfolge sichern - Ein wichtiger Beitrag zu mehr Motivation
Lernerfolge sichern - Ein wichtiger Beitrag zu mehr Motivation Einführung Mit welchen Erwartungen gehen Jugendliche eigentlich in ihre Ausbildung? Wir haben zu dieser Frage einmal die Meinungen von Auszubildenden
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrWir machen neue Politik für Baden-Württemberg
Wir machen neue Politik für Baden-Württemberg Am 27. März 2011 haben die Menschen in Baden-Württemberg gewählt. Sie wollten eine andere Politik als vorher. Die Menschen haben die GRÜNEN und die SPD in
Mehr1. Adressen für den Serienversand (Briefe Katalogdruck Werbung/Anfrage ) auswählen. Die Auswahl kann gespeichert werden.
Der Serienversand Was kann man mit der Maske Serienversand machen? 1. Adressen für den Serienversand (Briefe Katalogdruck Werbung/Anfrage ) auswählen. Die Auswahl kann gespeichert werden. 2. Adressen auswählen,
Mehr1 Einleitung. Lernziele. automatische Antworten bei Abwesenheit senden. Einstellungen für automatische Antworten Lerndauer. 4 Minuten.
1 Einleitung Lernziele automatische Antworten bei Abwesenheit senden Einstellungen für automatische Antworten Lerndauer 4 Minuten Seite 1 von 18 2 Antworten bei Abwesenheit senden» Outlook kann während
MehrSehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!
Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter! Wir möchten Sie an Ihr jährliches Mitarbeitergespräch erinnern. Es dient dazu, das Betriebs- und
MehrAnleitung Selbststudium
Grundlagenmodule Detailhandelsmanager/in HFP Anleitung Selbststudium Vorgehen im Überblick 6. Absolvieren Sie den Online-Test erneut um zu sehen, ob Sie sich verbessern konnten 7. Füllen Sie den Evaluationsbogen
MehrAffiliate Marketing Schnellstart Seite 1
Affiliate Marketing Schnellstart Seite 1 Inhaltsangabe Einführung...3 Gewinnbringende Nischen auswählen...4 Brainstorming...4 Mögliche Profitabilität prüfen...6 Stichwortsuche...7 Traffic und Marketing...9
MehrTest zur Bereitschaft für die Cloud
Bericht zum EMC Test zur Bereitschaft für die Cloud Test zur Bereitschaft für die Cloud EMC VERTRAULICH NUR ZUR INTERNEN VERWENDUNG Testen Sie, ob Sie bereit sind für die Cloud Vielen Dank, dass Sie sich
MehrISMS Teil 3 Der Startschuss
ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS
MehrSicherheit - Dokumentation. Erstellt von James Schüpbach
- Dokumentation Erstellt von Inhaltsverzeichnis 1Einleitung...3 1.1Definition der Sicherheit...3 1.2Mindmap Sicherheit...3 2Datenschutz in der Schweiz...3 2.1Zulässiger Umgang mit Personendaten...3 3Sicherheitskonzept...4
MehrAnleitung über den Umgang mit Schildern
Anleitung über den Umgang mit Schildern -Vorwort -Wo bekommt man Schilder? -Wo und wie speichert man die Schilder? -Wie füge ich die Schilder in meinen Track ein? -Welche Bauteile kann man noch für Schilder
MehrSchnellstart - Checkliste
Schnellstart - Checkliste http://www.ollis-tipps.de/schnellstart-in-7-schritten/ Copyright Olaf Ebers / http://www.ollis-tipps.de/ - Alle Rechte vorbehalten - weltweit Seite 1 von 6 Einleitung Mein Name
Mehrwww.olr.ccli.com Jetzt neu: Online Reporting Schritt für Schritt durch das Online Reporting (OLR) Online Liedmeldung
Online Liedmeldung Jetzt neu: Online Reporting www.olr.ccli.com Schritt für Schritt durch das Online Reporting (OLR) Wichtige Information für Kirchen und Gemeinden Keine Software zu installieren Liedmeldung
MehrKonzentration auf das. Wesentliche.
Konzentration auf das Wesentliche. Machen Sie Ihre Kanzleiarbeit effizienter. 2 Sehr geehrte Leserin, sehr geehrter Leser, die Grundlagen Ihres Erfolges als Rechtsanwalt sind Ihre Expertise und Ihre Mandantenorientierung.
MehrWas ist das Budget für Arbeit?
1 Was ist das Budget für Arbeit? Das Budget für Arbeit ist ein Persönliches Geld für Arbeit wenn Sie arbeiten möchten aber nicht mehr in einer Werkstatt. Das gibt es bisher nur in Nieder-Sachsen. Und in
MehrSerienbrieferstellung in Word mit Kunden-Datenimport aus Excel
Sehr vielen Mitarbeitern fällt es schwer, Serienbriefe an Kunden zu verschicken, wenn sie die Serienbrieffunktion von Word nicht beherrschen. Wenn die Kunden mit Excel verwaltet werden, genügen nur ein
MehrTeilnahme-Vertrag. Der Teilnahme-Vertrag gilt zwischen. dem Berufs-Bildungs-Werk. und Ihnen. Ihr Geburtsdatum: Ihre Telefon-Nummer:
Teilnahme-Vertrag Der Teilnahme-Vertrag ist ein Vertrag zwischen Ihnen und dem Berufs-Bildungs-Werk. In dem Vertrag stehen Regeln und Leistungen. Die Regeln gelten für Sie und für das Berufs-Bildungs-Werk.
MehrVolksbank BraWo Führungsgrundsätze
Volksbank BraWo Führungsgrundsätze Präambel Die Führungsgrundsätze wurden gemeinsam von Mitarbeitern und Führungskräften aus allen Bereichen der Bank entwickelt. Dabei war allen Beteiligten klar, dass
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
MehrErfahrungen mit Hartz IV- Empfängern
Erfahrungen mit Hartz IV- Empfängern Ausgewählte Ergebnisse einer Befragung von Unternehmen aus den Branchen Gastronomie, Pflege und Handwerk Pressegespräch der Bundesagentur für Arbeit am 12. November
MehrLehrer: Einschreibemethoden
Lehrer: Einschreibemethoden Einschreibemethoden Für die Einschreibung in Ihren Kurs gibt es unterschiedliche Methoden. Sie können die Schüler über die Liste eingeschriebene Nutzer Ihrem Kurs zuweisen oder
MehrElternzeit Was ist das?
Elternzeit Was ist das? Wenn Eltern sich nach der Geburt ihres Kindes ausschließlich um ihr Kind kümmern möchten, können sie bei ihrem Arbeitgeber Elternzeit beantragen. Während der Elternzeit ruht das
MehrDie 7 wichtigsten Erfolgsfaktoren für die Einführung von Zielvereinbarungen und deren Ergebnissicherung
DR. BETTINA DILCHER Management Consultants Network Die 7 wichtigsten Erfolgsfaktoren für die Einführung von Zielvereinbarungen und deren Ergebnissicherung Leonhardtstr. 7, 14057 Berlin, USt.-ID: DE 225920389
Mehr10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.
M erkblatt Vorabkontrolle 1 Einleitung Öffentliche Organe des Kantons Zürich müssen Projekte und Vorhaben dem Datenschutzbeauftragten zur Prüfung unterbreiten, wenn diese Datenbearbeitungen beinhalten,
MehrErläuterungen zur Untervergabe von Instandhaltungsfunktionen
Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion
MehrE-Mails aus E-Mail-Programm sichern Wählen Sie auf der "Startseite" die Option "E-Mails archivieren" und dann die entsprechende Anwendung aus.
MailStore Home Das E-Mail Postfach ist für viele Anwender mehr als ein Posteingang. Hier wird geschäftliche Kommunikation betrieben, werden Projekte verwaltet, Aufträge und Rechnungen archiviert und vieles
MehrDie Post hat eine Umfrage gemacht
Die Post hat eine Umfrage gemacht Bei der Umfrage ging es um das Thema: Inklusion Die Post hat Menschen mit Behinderung und Menschen ohne Behinderung gefragt: Wie zufrieden sie in dieser Gesellschaft sind.
MehrNeomentum Coaching. Informationsbroschüre für Studienteilnehmer
mittels Imaginationsgeleiteter Intervention Informationsbroschüre für Studienteilnehmer Das Case Management arbeitet mit dem Unternehmen zusammen. Das von ist auf eine messbare Integration und Stabilisation
MehrAnleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem
Anleitung zum Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem Information Wichtiger Hinweis: Microsoft hat am 8. April 2014 den Support für Windows XP eingestellt. Neue Sicherheitsaktualisierungen
MehrLeitlinien. über die bei Sanierungsplänen zugrunde zu legende Bandbreite an Szenarien EBA/GL/2014/06. 18. Juli 2014
EBA/GL/2014/06 18. Juli 2014 Leitlinien über die bei Sanierungsplänen zugrunde zu legende Bandbreite an Szenarien 1 Leitlinien der EBA u ber die bei Sanierungspla nen zugrunde zu legende Bandbreite an
MehrDamit Ihre Gaskosten im Keller bleiben. Wir finanzieren Ihre neue Heizungsanlage.
Neue Heizung Damit Ihre Gaskosten im Keller bleiben. Wir finanzieren Ihre neue Heizungsanlage. Wir denken heute schon an morgen. Damit Ihre Gaskosten im Keller bleiben. Wir finanzieren Ihre neue Heizungsanlage.
MehrZwischenablage (Bilder, Texte,...)
Zwischenablage was ist das? Informationen über. die Bedeutung der Windows-Zwischenablage Kopieren und Einfügen mit der Zwischenablage Vermeiden von Fehlern beim Arbeiten mit der Zwischenablage Bei diesen
MehrProjektmanagement in der Spieleentwicklung
Projektmanagement in der Spieleentwicklung Inhalt 1. Warum brauche ich ein Projekt-Management? 2. Die Charaktere des Projektmanagement - Mastermind - Producer - Projektleiter 3. Schnittstellen definieren
MehrAnleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung
Anleitung zur Daten zur Datensicherung und Datenrücksicherung Datensicherung Es gibt drei Möglichkeiten der Datensicherung. Zwei davon sind in Ges eingebaut, die dritte ist eine manuelle Möglichkeit. In
MehrDownloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler
Downloadfehler in DEHSt-VPSMail Workaround zum Umgang mit einem Downloadfehler Downloadfehler bremen online services GmbH & Co. KG Seite 2 Inhaltsverzeichnis Vorwort...3 1 Fehlermeldung...4 2 Fehlerbeseitigung...5
MehrÖrtliche Angebots- und Teilhabeplanung im Landkreis Weilheim-Schongau
Örtliche Angebots- und Teilhabeplanung im Landkreis Weilheim-Schongau Zusammenfassung der Ergebnisse in Leichter Sprache Timo Wissel Albrecht Rohrmann Timo Wissel / Albrecht Rohrmann: Örtliche Angebots-
MehrDen Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert
Den Durchblick haben Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert VOLKSBANK BAD MÜNDER eg www.vbbadmuender.de...meine Bank! Jeder Mensch hat etwas, das ihn antreibt.
Mehr1. TEIL (3 5 Fragen) Freizeit, Unterhaltung 2,5 Min.
EINFÜHRUNG 0,5 Min. THEMEN: Freizeit, Unterhaltung (T1), Einkaufen (T2), Ausbildung, Beruf (T3), Multikulturelle Gesellschaft (T4) Hallo/Guten Tag. (Nehmen Sie bitte Platz. Können Sie mir bitte die Nummer
MehrNa, wie war ich? Feedback Ergebnisse für den Coach Olaf Hinz
Na, wie war ich? Feedback Ergebnisse für den Coach Olaf Hinz Professionelles Business Coaching ist eine unverzichtbare Säule moderner Führungskräfteentwicklung. Professionell ist meiner Meinung ein Coach
MehrWindows Server 2012 RC2 konfigurieren
Windows Server 2012 RC2 konfigurieren Kurzanleitung um einen Windows Server 2012 als Primären Domänencontroller einzurichten. Vorbereitung und Voraussetzungen In NT 4 Zeiten, konnte man bei der Installation
MehrStaatssekretär Dr. Günther Horzetzky
#upj15 #upj15 Staatssekretär Dr. Günther Horzetzky Ministerium für Wirtschaft, Energie, Industrie, Mittelstand und Handwerk des Landes Nordrhein-Westfalen Ministerium für Wirtschaft, Energie, Industrie,
MehrKorrigenda Handbuch der Bewertung
Korrigenda Handbuch der Bewertung Kapitel 3 Abschnitt 3.5 Seite(n) 104-109 Titel Der Terminvertrag: Ein Beispiel für den Einsatz von Future Values Änderungen In den Beispielen 21 und 22 ist der Halbjahressatz
MehrLeichte-Sprache-Bilder
Leichte-Sprache-Bilder Reinhild Kassing Information - So geht es 1. Bilder gucken 2. anmelden für Probe-Bilder 3. Bilder bestellen 4. Rechnung bezahlen 5. Bilder runterladen 6. neue Bilder vorschlagen
MehrTest: Sind Sie ein Unternehmertyp?
Test: Sind Sie ein Unternehmertyp? Weitere Hinweise darauf, ob Sie ein Unternehmertyp sind, gibt Ihnen der folgende Persönlichkeitstest. Er ist eine von vielen Möglichkeiten zu erfahren, ob Sie für die
MehrQualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!
Beitrag: 1:43 Minuten Anmoderationsvorschlag: Unseriöse Internetanbieter, falsch deklarierte Lebensmittel oder die jüngsten ADAC-Skandale. Solche Fälle mit einer doch eher fragwürdigen Geschäftsmoral gibt
MehrStatuten in leichter Sprache
Statuten in leichter Sprache Zweck vom Verein Artikel 1: Zivil-Gesetz-Buch Es gibt einen Verein der selbstbestimmung.ch heisst. Der Verein ist so aufgebaut, wie es im Zivil-Gesetz-Buch steht. Im Zivil-Gesetz-Buch
MehrBeispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)
Allgemeine Hinweise: Es wird von den Teilnehmern erwartet, dass ausreichende Kenntnisse vorhanden sind, um die Fragen 1.1 bis 1.10 unter Verwendung der EN 9100 und ISO 19011 innerhalb von 20 Minuten zu
MehrDie. gute Idee. Erfindungen und Geschäftsideen entwickeln und zu Geld machen
Die gute Idee Erfindungen und Geschäftsideen entwickeln und zu Geld machen DIE GUTE IDEE Erfindungen und Geschäftsideen entwickeln und zu Geld machen Alexander Schug Liebe Leser, Die gute Idee Erfindungen
Mehr* Leichte Sprache * Leichte Sprache * Leichte Sprache *
* Leichte Sprache * Leichte Sprache * Leichte Sprache * Was ist die Aktion Mensch? Viele Menschen sollen gut zusammenleben können. Dafür setzen wir uns ein. Wie macht die Aktion Mensch das? Wir verkaufen
MehrMeine Entscheidung zur Wiederaufnahme der Arbeit
Meine Entscheidung zur Wiederaufnahme der Arbeit Die nachfolgende Übersicht soll Sie dabei unterstützen, Ihre Wünsche und Vorstellungen zur Wiederaufnahme der Arbeit für sich selbst einzuordnen. Sie soll
MehrInformationen zum neuen Studmail häufige Fragen
1 Stand: 15.01.2013 Informationen zum neuen Studmail häufige Fragen (Dokument wird bei Bedarf laufend erweitert) Problem: Einloggen funktioniert, aber der Browser lädt dann ewig und zeigt nichts an Lösung:
MehrWas meinen die Leute eigentlich mit: Grexit?
Was meinen die Leute eigentlich mit: Grexit? Grexit sind eigentlich 2 Wörter. 1. Griechenland 2. Exit Exit ist ein englisches Wort. Es bedeutet: Ausgang. Aber was haben diese 2 Sachen mit-einander zu tun?
MehrNicht kopieren. Der neue Report von: Stefan Ploberger. 1. Ausgabe 2003
Nicht kopieren Der neue Report von: Stefan Ploberger 1. Ausgabe 2003 Herausgeber: Verlag Ploberger & Partner 2003 by: Stefan Ploberger Verlag Ploberger & Partner, Postfach 11 46, D-82065 Baierbrunn Tel.
MehrGruppenrichtlinien und Softwareverteilung
Gruppenrichtlinien und Softwareverteilung Ergänzungen zur Musterlösung Bitte lesen Sie zuerst die gesamte Anleitung durch! Vorbemerkung: Die Begriffe OU (Organizational Unit) und Raum werden in der folgenden
MehrSpeicher in der Cloud
Speicher in der Cloud Kostenbremse, Sicherheitsrisiko oder Basis für die unternehmensweite Kollaboration? von Cornelius Höchel-Winter 2013 ComConsult Research GmbH, Aachen 3 SYNCHRONISATION TEUFELSZEUG
MehrSchön, dass ich jetzt gut
Schön, dass ich jetzt gut versorgt werde. Und später? Unsere private Pflegezusatzversicherung ermöglicht im Pflegefall eine optimale Betreuung. Solange es geht sogar zu Hause und das schon für monatlich.*
MehrWenn man nach Beendigung der WINDOWS-SICHERUNG folgendes angezeigt bekommt
1. Für alle, die mit wenig zufrieden sind Wenn man nach Beendigung der WINDOWS-SICHERUNG folgendes angezeigt bekommt Bild 1 bekommt man erst mal einen Schreck. Die Meldung wurden nicht gesichert beunruhigt,
MehrWas beinhaltet ein Qualitätsmanagementsystem (QM- System)?
Was ist DIN EN ISO 9000? Die DIN EN ISO 9000, 9001, 9004 (kurz ISO 9000) ist eine weltweit gültige Norm. Diese Norm gibt Mindeststandards vor, nach denen die Abläufe in einem Unternehmen zu gestalten sind,
MehrSCHRITT 1: Öffnen des Bildes und Auswahl der Option»Drucken«im Menü»Datei«...2. SCHRITT 2: Angeben des Papierformat im Dialog»Drucklayout«...
Drucken - Druckformat Frage Wie passt man Bilder beim Drucken an bestimmte Papierformate an? Antwort Das Drucken von Bildern ist mit der Druckfunktion von Capture NX sehr einfach. Hier erklären wir, wie
MehrONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele
ONLINE-AKADEMIE Ziele Wenn man von Menschen hört, die etwas Großartiges in ihrem Leben geleistet haben, erfahren wir oft, dass diese ihr Ziel über Jahre verfolgt haben oder diesen Wunsch schon bereits
MehrVorgehensweise bei Lastschriftverfahren
Vorgehensweise bei Lastschriftverfahren Voraussetzung hierfür sind nötige Einstellungen im ControlCenter. Sie finden dort unter Punkt 29 die Möglichkeit bis zu drei Banken für das Lastschriftverfahren
Mehrwir sind die berater auf ihrer seite
wir sind die berater auf ihrer seite Optimierung Einsparung Wussten Sie, dass die meisten Menschen enorm viel Geld an Banken, Versicherungen und an den Staat abdrücken, ohne es zu merken? zu viele Menschen
MehrNutzung dieser Internetseite
Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher
Mehr