Informationssicherheit. Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "Informationssicherheit. Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU"

Transkript

1 Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU

2 Informationssicherheit - betrifft das unser Unternehmen? Meldungen über Hacker, Verletzung von Datenschutz (Diebstahl von Informationen) oder Betrug mit Kreditkarten lesen wir fast täglich in der Zeitung. Schätzungen gehen davon aus, dass das Geschäft mit Cyber Crime mittlerweile ein Volumen von mehreren Mrd. Dollar jährlich erreicht hat. Was wir aus den Medien erfahren, ist nur die Spitze eines noch wachsenden Eisbergs. Investitionen in Informationssicherheit sind deshalb gut angelegt: Sie helfen Datenlecks rechtzeitig zu erkennen und Datendiebstahl oder Verlust zu verhindern, Ausfälle von Geräten und Systemen zu minimieren und falls es doch passiert, den Zeitbedarf bis zur Wiederherstellung eines geordneten Betriebes zu reduzieren. Wenn Sie in Ihrem Unternehmen mit sensiblen Daten arbeiten (Gesundheitswesen, Finanzwesen, öffentlicher Bereich aber auch Cloud Services), erwarten Ihre Kunden, dass die Daten ausreichend geschützt werden. Ein tadelloser Ruf was die Informationsverarbeitung anbelangt, ist hier Grundvoraussetzung für erfolgreiche Geschäftstätigkeit. Und wenn Ihr Unternehmen nicht zu diesen sensiblen Branchen gehört? Haben Sie für sich schon einmal die Rechnung gemacht, wie viele Tage Aufwand es kosten würde, wenn Sie Ihre Kundendatei, Ihre technischen Zeichnungen oder Rezepte wieder vollständig neu aufbauen müssten? Sind Firewall und Virenschutz nicht ausreichend? IT Security is 75% people and 25% technology. ISACA Firewall und Virenschutz sind ein Muss, als isolierte Massnahmen reichen sie nicht aus. Die Erfahrung zeigt, dass immer raffiniertere Methoden eingesetzt werden, um Lücken im Sicherheitsnetz einer Organisation auszunutzen. Es ist daher wichtig, dass man sich mit möglichen Bedrohungen und Risiken auseinandersetzt und daraus einen umfassenden Massnahmenplan ableitet. Ziel muss sein, ein ausgewogenes Konzept umzusetzen, das organisatorische, technische und personelle Massnahmen zu einem umfassenden Schutz verbindet. Mit dem hier dargelegten 10 Punkteplan haben Sie schon ein rechtes Stück des Weges hinter sich gebracht und wie Sie sehen werden sind die Menschen (Pläne, Prozesse, Regeln, Verhalten und Kultur) entscheidender als der Einsatz von Security Lösungen. 2

3 Es ist Zeit zu handeln Computer, Internet und Datenverkehr sind im heutigen Geschäftsumfeld unverzichtbar. Sie vereinfachen die Kommunikation mit den Kunden, helfen Aufträge zu generieren, die Buchhaltung zu führen und das Unternehmen zu lenken. Eine Verletzung der Datensicherheit schadet dem Geschäft und der Reputation. Daher muss jedes Unternehmen geeignete Sicherheitsvorkehrungen treffen. Wie der 10 Punkte Plan zeigt, sind dazu keine grossen finanziellen Ressourcen erforderlich. Mit wohlüberlegten organisatorischen Massnahmen und der Schaffung der notwendigen Sensibilität lässt sich schon Einiges erreichen. Handeln Sie jetzt! Investitionen in Informationssicherheit schützen vor unliebsamen Überraschungen, verbessern den Datenschutz und tragen zu mehr Stabilität und Kundenvertrauen bei. Bewährtes Vorgehen: Plan Grundsätze für Informationssicherheit und Datenschutz festlegen Ziele und Umfang definieren Methode für das Risikomanagement festlegen Unterziehen Sie die IT Vermögenswerte einem Risiko Assessment Do Risiken bewerten und Massnahmenplan umsetzen Regeln aufstellen und Verfahren festlegen Notfallplan erstellen Mitarbeitende informieren / ausbilden Check Umsetzung der Massnahmen überwachen Act Periodische Überprüfung durchführen und Verbesserungsmassahmen einleiten. 3

4 10 Punkte-Plan für angemessene Informationssicherheit 1 Zeigen Sie, dass Informationssicherheit für Sie wichtig ist Halten Sie schriftlich fest, zum Beispiel in Form einer Richtlinie oder eines schriftlichen Statements, dass Ihnen Sicherheit wichtig ist. Dass Sie alle wirtschaftlich und technisch sinnvollen Massnahmen ergreifen, um sensible Daten und kritische Geschäftsprozesse und Systeme angemessen zu schützen. Machen Sie deutlich, dass Sie dies auch von Ihren Mitarbeitenden erwarten. Informieren Sie Stakeholder und Mitarbeitende über Ihre Absichten. 2 Legen Sie Umfang und Ziele fest Als nächstes müssen Sie festlegen, welche gesetzlichen Regelungen für Ihr Unternehmen verbindlich sind, welchen branchenüblichen Regelungen Sie folgen und welche vertraglichen Verpflichtungen Sie bezüglich Datenschutz und sicherheit nachkommen müssen. Weiter müssen Sie Ziele in Bezug auf Verfügbarkeit und Integrität festlegen. Überlegen Sie sich, wie lange Einkauf, Produktion, Verkauf oder Marketing ohne IT arbeiten können und ab wann ein Ausfall von Systemen für die Kunden spürbar, ärgerlich und nicht mehr akzeptabel sein wird. Da Sie wahrscheinlich nicht alle Ziele gleichzeitig erreichen können, müssen Sie Prioritäten setzen. 3 Legen Sie eine Methode für das Risiko Management fest Vielleicht haben Sie sich bereits in Rahmen des Aufbaus eines IKS eingehend mit Risiko Management befasst. Dann können Sie höchstwahrscheinlich diese Methodik auch für die Identifizierung und Bewertung von IT Risiken anwenden. Wenn nicht, sollten Sie diesem Punkt ausreichend Zeit und Ressourcen bereitstellen. Denn eine lückenlose Identifikation von Schwachstellen und eine realistische Einschätzung des Schadenpotentials sind die Grundlage für die nachfolgende Massnahmenplanung. 4

5 4 Unterziehen Sie die Vermögenswerte einem Risiko Assessment Um die Risiken bestimmen zu können, müssen Sie die möglichen Bedrohungen und deren Auswirkungen kennen. Am besten erstellt man sich eine Liste der betrieblichen Vermögenswerte, ermittelt die Bedrohungen in Bezug auf Datenschutz und Datensicherheit. Daraus lassen sich dann die Risiken und deren Auswirkungen bestimmen und bewerten. Mögliche Risiken, die es zu bewerten gilt sind: Diebstahl von Geräten und Daten Technisch bedingter Ausfall wichtiger Geräte Verfahrens- und Bedienungsfehlerfehler Feuer, Wasser oder Blitz 5 Risiken managen und Massnahmen umsetzen Es gibt unterschiedliche Strategien, wie mit Risiken umzugehen ist. Entscheiden Sie sich für die geeignete Strategie und setzen Sie diese konsequent um. Erstellen Sie einen Massnahmenplan für die Minimierung des Schadenpotentials. Denken Sie auch an Vorbeugen ist besser als Heilen. Die Überwachung des Massnahmenplans ist Chefsache. Prüfen Sie regelmässig den Fortschritt bei der Umsetzung. 6 Regeln aufstellen und Verfahren festlegen Wenn Sie diesen Prozess durchlaufen haben, sind Ihre IT Risiken transparent. Sie können auf einer fundierten Grundlage entscheiden, welche Risiken Sie selber tragen und wo es sich lohnt, in Vorbeugemassnahmen zu investieren. Definieren Sie Verhaltensregeln und Verfahren, die festlegen wie Mitarbeitende sich in Bezug auf Informationssicherheit zu verhalten haben. Halten Sie diese Dos and Don t s schriftlich fest (z.b. als IT Knigge ): Dos Regelmässige Datensicherungen durchführen Starke Passwörter verwenden und regelmässig ändern Beim Verlassen des Arbeitsplatzes, Bildschirmschoner einschalten Regelmässig Programm-Updates durchführen Vorkehrungen für den worst case treffen Don ts Unverschlüsselte Kundendaten auf mobile Geräte kopieren Virenschutz und andere sicherheitstechnische Programme ausschalten Übermässige Verwendung von IT Ressourcen (Internet) für private Zwecke Nicht lizensierte Software verwenden 5

6 In grösseren Unternehmen oder bei sehr kritischen Prozessen sind diese sinnvollerweise schriftlich zu dokumentieren und die Verantwortlichkeiten sind klar zu regeln. (zum Beispiel Vergabe von Zugriffsrechten). Prozesse, die erfahrungsgemäss schriftlich festgehalten werden sollten sind: Regelung der Aufgaben und Verantwortlichkeit für Datensicherung, Aufbewahrung der Back-up Medien Verfahren für System Wiederherstellung Meldung, Klassifizierung und Behebung von Security Incidents Audits von Systemen und Prozessen 7 Notfallplan erstellen Ist Ihr Unternehmen auch auf plötzlich eintretende Ereignisse (Hochwasser, Feuer, Ausfall der Strom- / Datenversorgung, Ausfall von Geräten) gewappnet? Wenn Sie sich rechtzeitig mit diesen Themen auseinandersetzen, können Sie, wenn ein solches Ereignis eintritt, den Schaden für den Geschäftsbetrieb deutlich verringern und den Zeitbedarf für die Wiederherstellung eines geordneten Betriebs reduzieren. Legen Sie fest, wie schnell Ihre Systeme nach einem Ereignis wieder up and running sein müssen. Beträgt diese Frist mehrere Tage oder nur einige Stunden? Leiten Sie daraus ab, ob ein zweiter Standort notwendig ist und welche Geräte Sie dort vorhalten / in Bereitschaft haben müssen. Legen Sie sich einen Plan zurecht, in welcher Reihenfolge die Systeme wieder funktionieren müssen und welche Back-ups dazu notwendig sind. definieren Sie ein Krisenmanagement Team um im Ernstfall rasch und 8 situationsgerecht zu handeln: o Wer übernimmt die Leitung? o Wer kommuniziert mit Behörden? o Wer informiert die wichtigsten Kunden? o Wer ist für den Aufbau der Ausweichsysteme zuständig? Mitarbeitende informieren und ausbilden Die Mitarbeitenden sollten regelmässig über potentielle Risiken im Zusammenhang mit der Nutzung von IT Systemen informiert werden. Mitarbeitende müssen wissen, welche praktischen Massnahmen vorzukehren sind und welche Verantwortung sie dabei übernehmen müssen. Wichtig ist auch, dass das Sicherheitsbewusstsein durch regelmässige Briefings aufrechterhalten bleibt. Verhaltens-Knigge für Internet oder soziale Medien eignen sich für diese Zwecke gut. Sie können kostenlos im Internet bezogen werden. 6

7 9 Umsetzung der Massnahmen überwachen Stellen Sie sicher, dass die definierten Massnahmen tatsächlich umgesetzt werden. Die Umsetzung kostet für die Beteiligten Energie und Zeit, die sie vielleicht lieber für andere Ziele einsetzen möchten. Erfahrungsgemäss fallen in Zeiten höheren wirtschaftlichen Drucks Themen wie Sicherheit oder Datenschutz in der Prioritätenliste rasch zurück. Wenn das angepeilte Sicherheitsniveau erreicht werden soll, ist eine regelmässige Überprüfung des Fortschritts unerlässlich. Beispiele: Organisatorische Massnahmen o Clear Desk Policy o Sicherheitsrelevante Aufgaben im Einstellungs- und Austrittsprozess von Mitarbeitenden definieren o Regelmässige Wartung der Datenserver, Back-up Geräte und Kontrolle der Medien o SLA mit Lieferanten Physische Massnahme o Brandschutz in Räumlichkeiten für IT Infrastruktur. o Bauliche Massnahmen Technische Massnahmen 10 o Firewall und Virenschutz o USV-Anlage (Unterbrechungsfreie Stromversorgung) o Virtualisierte Hardware Periodische Überprüfung durchführen und Verbesserungsmassnahmen einleiten In der Hektik des Geschäftsalltags wird vielleicht nicht alles so angewandt wie ursprünglich beabsichtigt, Geschäftsprozesse ändern sich und damit vielleicht auch die Bedrohungen oder Gesetze wurden geändert und die Compliance muss neu überprüft werden. Daher ist es ratsam, periodisch die Wirksamkeit der getroffenen Massnahmen auf ihre Effektivität zu prüfen, um neue Schwachstellen aufzudecken und zu beheben. Quellen im Internet Praktische Hilfe zur Umsetzung eines ISMS (Informationssicherheits-Management System) findet man in einschlägigen Standards (ISO 27001, BSI Grundschutz, ISACA IT Risk). Auf deren Empfehlungen beruht auch diese Broschüre. Weitere interessante Informationen finden Sie auf folgenden Internetseiten:

8 Unser Dienstleistungsportfolio IT Security & Business Continuity Aufbau und Einführung von Information Security Management Systemen (ISMS) IT Risikoanalysen Business Continuity- & Notfallkonzepte IT Audits nach ISO IT Governance Design, Implementierung und Optimierung von IT Governance Systemen IT Check-up Projekt Portfolio Management Service Management IT Service Strategie Performance Optimierung & Kennzahlensysteme Evaluation von Service Providern & Softwarelösungen Management ad interim Temporäre Übernahme von IT Management Funktionen und Projektleitungen Januar 2016

9 Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU

10 Informationssicherheit - betrifft das unser Unternehmen? Meldungen über Hacker, Verletzung von Datenschutz (Diebstahl von Informationen) oder Betrug mit Kreditkarten lesen wir fast täglich in der Zeitung. Schätzungen gehen davon aus, dass das Geschäft mit Cyber Crime mittlerweile ein Volumen von mehreren Mrd. Dollar jährlich erreicht hat. Was wir aus den Medien erfahren, ist nur die Spitze eines noch wachsenden Eisbergs. Investitionen in Informationssicherheit sind deshalb gut angelegt: Sie helfen Datenlecks rechtzeitig zu erkennen und Datendiebstahl oder Verlust zu verhindern, Ausfälle von Geräten und Systemen zu minimieren und falls es doch passiert, den Zeitbedarf bis zur Wiederherstellung eines geordneten Betriebes zu reduzieren. Wenn Sie in Ihrem Unternehmen mit sensiblen Daten arbeiten (Gesundheitswesen, Finanzwesen, öffentlicher Bereich aber auch Cloud Services), erwarten Ihre Kunden, dass die Daten ausreichend geschützt werden. Ein tadelloser Ruf was die Informationsverarbeitung anbelangt, ist hier Grundvoraussetzung für erfolgreiche Geschäftstätigkeit. Und wenn Ihr Unternehmen nicht zu diesen sensiblen Branchen gehört? Haben Sie für sich schon einmal die Rechnung gemacht, wie viele Tage Aufwand es kosten würde, wenn Sie Ihre Kundendatei, Ihre technischen Zeichnungen oder Rezepte wieder vollständig neu aufbauen müssten? Sind Firewall und Virenschutz nicht ausreichend? IT Security is 75% people and 25% technology. ISACA Firewall und Virenschutz sind ein Muss, als isolierte Massnahmen reichen sie nicht aus. Die Erfahrung zeigt, dass immer raffiniertere Methoden eingesetzt werden, um Lücken im Sicherheitsnetz einer Organisation auszunutzen. Es ist daher wichtig, dass man sich mit möglichen Bedrohungen und Risiken auseinandersetzt und daraus einen umfassenden Massnahmenplan ableitet. Ziel muss sein, ein ausgewogenes Konzept umzusetzen, das organisatorische, technische und personelle Massnahmen zu einem umfassenden Schutz verbindet. Mit dem hier dargelegten 10 Punkteplan haben Sie schon ein rechtes Stück des Weges hinter sich gebracht und wie Sie sehen werden sind die Menschen (Pläne, Prozesse, Regeln, Verhalten und Kultur) entscheidender als der Einsatz von Security Lösungen. 2

11 Es ist Zeit zu handeln Computer, Internet und Datenverkehr sind im heutigen Geschäftsumfeld unverzichtbar. Sie vereinfachen die Kommunikation mit den Kunden, helfen Aufträge zu generieren, die Buchhaltung zu führen und das Unternehmen zu lenken. Eine Verletzung der Datensicherheit schadet dem Geschäft und der Reputation. Daher muss jedes Unternehmen geeignete Sicherheitsvorkehrungen treffen. Wie der 10 Punkte Plan zeigt, sind dazu keine grossen finanziellen Ressourcen erforderlich. Mit wohlüberlegten organisatorischen Massnahmen und der Schaffung der notwendigen Sensibilität lässt sich schon Einiges erreichen. Handeln Sie jetzt! Investitionen in Informationssicherheit schützen vor unliebsamen Überraschungen, verbessern den Datenschutz und tragen zu mehr Stabilität und Kundenvertrauen bei. Bewährtes Vorgehen: Plan Grundsätze für Informationssicherheit und Datenschutz festlegen Ziele und Umfang definieren Methode für das Risikomanagement festlegen Unterziehen Sie die IT Vermögenswerte einem Risiko Assessment Do Risiken bewerten und Massnahmenplan umsetzen Regeln aufstellen und Verfahren festlegen Notfallplan erstellen Mitarbeitende informieren / ausbilden Check Umsetzung der Massnahmen überwachen Act Periodische Überprüfung durchführen und Verbesserungsmassahmen einleiten. 3

12 10 Punkte-Plan für angemessene Informationssicherheit 1 Zeigen Sie, dass Informationssicherheit für Sie wichtig ist Halten Sie schriftlich fest, zum Beispiel in Form einer Richtlinie oder eines schriftlichen Statements, dass Ihnen Sicherheit wichtig ist. Dass Sie alle wirtschaftlich und technisch sinnvollen Massnahmen ergreifen, um sensible Daten und kritische Geschäftsprozesse und Systeme angemessen zu schützen. Machen Sie deutlich, dass Sie dies auch von Ihren Mitarbeitenden erwarten. Informieren Sie Stakeholder und Mitarbeitende über Ihre Absichten. 2 Legen Sie Umfang und Ziele fest Als nächstes müssen Sie festlegen, welche gesetzlichen Regelungen für Ihr Unternehmen verbindlich sind, welchen branchenüblichen Regelungen Sie folgen und welche vertraglichen Verpflichtungen Sie bezüglich Datenschutz und sicherheit nachkommen müssen. Weiter müssen Sie Ziele in Bezug auf Verfügbarkeit und Integrität festlegen. Überlegen Sie sich, wie lange Einkauf, Produktion, Verkauf oder Marketing ohne IT arbeiten können und ab wann ein Ausfall von Systemen für die Kunden spürbar, ärgerlich und nicht mehr akzeptabel sein wird. Da Sie wahrscheinlich nicht alle Ziele gleichzeitig erreichen können, müssen Sie Prioritäten setzen. 3 Legen Sie eine Methode für das Risiko Management fest Vielleicht haben Sie sich bereits in Rahmen des Aufbaus eines IKS eingehend mit Risiko Management befasst. Dann können Sie höchstwahrscheinlich diese Methodik auch für die Identifizierung und Bewertung von IT Risiken anwenden. Wenn nicht, sollten Sie diesem Punkt ausreichend Zeit und Ressourcen bereitstellen. Denn eine lückenlose Identifikation von Schwachstellen und eine realistische Einschätzung des Schadenpotentials sind die Grundlage für die nachfolgende Massnahmenplanung. 4

13 4 Unterziehen Sie die Vermögenswerte einem Risiko Assessment Um die Risiken bestimmen zu können, müssen Sie die möglichen Bedrohungen und deren Auswirkungen kennen. Am besten erstellt man sich eine Liste der betrieblichen Vermögenswerte, ermittelt die Bedrohungen in Bezug auf Datenschutz und Datensicherheit. Daraus lassen sich dann die Risiken und deren Auswirkungen bestimmen und bewerten. Mögliche Risiken, die es zu bewerten gilt sind: Diebstahl von Geräten und Daten Technisch bedingter Ausfall wichtiger Geräte Verfahrens- und Bedienungsfehlerfehler Feuer, Wasser oder Blitz 5 Risiken managen und Massnahmen umsetzen Es gibt unterschiedliche Strategien, wie mit Risiken umzugehen ist. Entscheiden Sie sich für die geeignete Strategie und setzen Sie diese konsequent um. Erstellen Sie einen Massnahmenplan für die Minimierung des Schadenpotentials. Denken Sie auch an Vorbeugen ist besser als Heilen. Die Überwachung des Massnahmenplans ist Chefsache. Prüfen Sie regelmässig den Fortschritt bei der Umsetzung. 6 Regeln aufstellen und Verfahren festlegen Wenn Sie diesen Prozess durchlaufen haben, sind Ihre IT Risiken transparent. Sie können auf einer fundierten Grundlage entscheiden, welche Risiken Sie selber tragen und wo es sich lohnt, in Vorbeugemassnahmen zu investieren. Definieren Sie Verhaltensregeln und Verfahren, die festlegen wie Mitarbeitende sich in Bezug auf Informationssicherheit zu verhalten haben. Halten Sie diese Dos and Don t s schriftlich fest (z.b. als IT Knigge ): Dos Regelmässige Datensicherungen durchführen Starke Passwörter verwenden und regelmässig ändern Beim Verlassen des Arbeitsplatzes, Bildschirmschoner einschalten Regelmässig Programm-Updates durchführen Vorkehrungen für den worst case treffen Don ts Unverschlüsselte Kundendaten auf mobile Geräte kopieren Virenschutz und andere sicherheitstechnische Programme ausschalten Übermässige Verwendung von IT Ressourcen (Internet) für private Zwecke Nicht lizensierte Software verwenden 5

14 In grösseren Unternehmen oder bei sehr kritischen Prozessen sind diese sinnvollerweise schriftlich zu dokumentieren und die Verantwortlichkeiten sind klar zu regeln. (zum Beispiel Vergabe von Zugriffsrechten). Prozesse, die erfahrungsgemäss schriftlich festgehalten werden sollten sind: Regelung der Aufgaben und Verantwortlichkeit für Datensicherung, Aufbewahrung der Back-up Medien Verfahren für System Wiederherstellung Meldung, Klassifizierung und Behebung von Security Incidents Audits von Systemen und Prozessen 7 Notfallplan erstellen Ist Ihr Unternehmen auch auf plötzlich eintretende Ereignisse (Hochwasser, Feuer, Ausfall der Strom- / Datenversorgung, Ausfall von Geräten) gewappnet? Wenn Sie sich rechtzeitig mit diesen Themen auseinandersetzen, können Sie, wenn ein solches Ereignis eintritt, den Schaden für den Geschäftsbetrieb deutlich verringern und den Zeitbedarf für die Wiederherstellung eines geordneten Betriebs reduzieren. Legen Sie fest, wie schnell Ihre Systeme nach einem Ereignis wieder up and running sein müssen. Beträgt diese Frist mehrere Tage oder nur einige Stunden? Leiten Sie daraus ab, ob ein zweiter Standort notwendig ist und welche Geräte Sie dort vorhalten / in Bereitschaft haben müssen. Legen Sie sich einen Plan zurecht, in welcher Reihenfolge die Systeme wieder funktionieren müssen und welche Back-ups dazu notwendig sind. definieren Sie ein Krisenmanagement Team um im Ernstfall rasch und 8 situationsgerecht zu handeln: o Wer übernimmt die Leitung? o Wer kommuniziert mit Behörden? o Wer informiert die wichtigsten Kunden? o Wer ist für den Aufbau der Ausweichsysteme zuständig? Mitarbeitende informieren und ausbilden Die Mitarbeitenden sollten regelmässig über potentielle Risiken im Zusammenhang mit der Nutzung von IT Systemen informiert werden. Mitarbeitende müssen wissen, welche praktischen Massnahmen vorzukehren sind und welche Verantwortung sie dabei übernehmen müssen. Wichtig ist auch, dass das Sicherheitsbewusstsein durch regelmässige Briefings aufrechterhalten bleibt. Verhaltens- Knigge für Internet oder soziale Medien eignen sich für diese Zwecke gut. Sie können kostenlos im Internet bezogen werden. 6

15 9 Umsetzung der Massnahmen überwachen Stellen Sie sicher, dass die definierten Massnahmen tatsächlich umgesetzt werden. Die Umsetzung kostet für die Beteiligten Energie und Zeit, die sie vielleicht lieber für andere Ziele einsetzen möchten. Erfahrungsgemäss fallen in Zeiten höheren wirtschaftlichen Drucks Themen wie Sicherheit oder Datenschutz in der Prioritätenliste rasch zurück. Wenn das angepeilte Sicherheitsniveau erreicht werden soll, ist eine regelmässige Überprüfung des Fortschritts unerlässlich. Beispiele: Organisatorische Massnahmen o Clear Desk Policy o Sicherheitsrelevante Aufgaben im Einstellungs- und Austrittsprozess von Mitarbeitenden definieren o Regelmässige Wartung der Datenserver, Back-up Geräte und Kontrolle der Medien o SLA mit Lieferanten Physische Massnahme o Brandschutz in Räumlichkeiten für IT Infrastruktur. o Bauliche Massnahmen Technische Massnahmen 10 o Firewall und Virenschutz o USV-Anlage (Unterbrechungsfreie Stromversorgung) o Virtualisierte Hardware Periodische Überprüfung durchführen und Verbesserungsmassnahmen einleiten In der Hektik des Geschäftsalltags wird vielleicht nicht alles so angewandt wie ursprünglich beabsichtigt, Geschäftsprozesse ändern sich und damit vielleicht auch die Bedrohungen oder Gesetze wurden geändert und die Compliance muss neu überprüft werden. Daher ist es ratsam, periodisch die Wirksamkeit der getroffenen Massnahmen auf ihre Effektivität zu prüfen, um neue Schwachstellen aufzudecken und zu beheben. Quellen im Internet Praktische Hilfe zur Umsetzung eines ISMS (Informationssicherheits-Management System) findet man in einschlägigen Standards (ISO 27001, BSI Grundschutz, ISACA IT Risk). Auf deren Empfehlungen beruht auch diese Broschüre. Weitere interessante Informationen finden Sie auf folgenden Internetseiten:

16 Unser Dienstleistungsportfolio IT Security & Business Continuity Aufbau und Einführung von Information Security Management Systemen (ISMS) IT Risikoanalysen Business Continuity- & Notfallkonzepte IT Audits nach ISO IT Governance Design, Implementierung und Optimierung von IT Governance Systemen IT Check-up Projekt Portfolio Management Service Management IT Service Strategie Performance Optimierung & Kennzahlensysteme Evaluation von Service Providern & Softwarelösungen Management ad interim Temporäre Übernahme von IT Management Funktionen und Projektleitungen Januar 2016

17 Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU

18 Informationssicherheit - betrifft das unser Unternehmen? Meldungen über Hacker, Verletzung von Datenschutz (Diebstahl von Informationen) oder Betrug mit Kreditkarten lesen wir fast täglich in der Zeitung. Schätzungen gehen davon aus, dass das Geschäft mit Cyber Crime mittlerweile ein Volumen von mehreren Mrd. Dollar jährlich erreicht hat. Was wir aus den Medien erfahren, ist nur die Spitze eines noch wachsenden Eisbergs. Investitionen in Informationssicherheit sind deshalb gut angelegt: Sie helfen Datenlecks rechtzeitig zu erkennen und Datendiebstahl oder Verlust zu verhindern, Ausfälle von Geräten und Systemen zu minimieren und falls es doch passiert, den Zeitbedarf bis zur Wiederherstellung eines geordneten Betriebes zu reduzieren. Wenn Sie in Ihrem Unternehmen mit sensiblen Daten arbeiten (Gesundheitswesen, Finanzwesen, öffentlicher Bereich aber auch Cloud Services), erwarten Ihre Kunden, dass die Daten ausreichend geschützt werden. Ein tadelloser Ruf was die Informationsverarbeitung anbelangt, ist hier Grundvoraussetzung für erfolgreiche Geschäftstätigkeit. Und wenn Ihr Unternehmen nicht zu diesen sensiblen Branchen gehört? Haben Sie für sich schon einmal die Rechnung gemacht, wie viele Tage Aufwand es kosten würde, wenn Sie Ihre Kundendatei, Ihre technischen Zeichnungen oder Rezepte wieder vollständig neu aufbauen müssten? Sind Firewall und Virenschutz nicht ausreichend? IT Security is 75% people and 25% technology. ISACA Firewall und Virenschutz sind ein Muss, als isolierte Massnahmen reichen sie nicht aus. Die Erfahrung zeigt, dass immer raffiniertere Methoden eingesetzt werden, um Lücken im Sicherheitsnetz einer Organisation auszunutzen. Es ist daher wichtig, dass man sich mit möglichen Bedrohungen und Risiken auseinandersetzt und daraus einen umfassenden Massnahmenplan ableitet. Ziel muss sein, ein ausgewogenes Konzept umzusetzen, das organisatorische, technische und personelle Massnahmen zu einem umfassenden Schutz verbindet. Mit dem hier dargelegten 10 Punkteplan haben Sie schon ein rechtes Stück des Weges hinter sich gebracht und wie Sie sehen werden sind die Menschen (Pläne, Prozesse, Regeln, Verhalten und Kultur) entscheidender als der Einsatz von Security Lösungen. 2

19 Es ist Zeit zu handeln Computer, Internet und Datenverkehr sind im heutigen Geschäftsumfeld unverzichtbar. Sie vereinfachen die Kommunikation mit den Kunden, helfen Aufträge zu generieren, die Buchhaltung zu führen und das Unternehmen zu lenken. Eine Verletzung der Datensicherheit schadet dem Geschäft und der Reputation. Daher muss jedes Unternehmen geeignete Sicherheitsvorkehrungen treffen. Wie der 10 Punkte Plan zeigt, sind dazu keine grossen finanziellen Ressourcen erforderlich. Mit wohlüberlegten organisatorischen Massnahmen und der Schaffung der notwendigen Sensibilität lässt sich schon Einiges erreichen. Handeln Sie jetzt! Investitionen in Informationssicherheit schützen vor unliebsamen Überraschungen, verbessern den Datenschutz und tragen zu mehr Stabilität und Kundenvertrauen bei. Bewährtes Vorgehen: Plan Grundsätze für Informationssicherheit und Datenschutz festlegen Ziele und Umfang definieren Methode für das Risikomanagement festlegen Unterziehen Sie die IT Vermögenswerte einem Risiko Assessment Do Risiken bewerten und Massnahmenplan umsetzen Regeln aufstellen und Verfahren festlegen Notfallplan erstellen Mitarbeitende informieren / ausbilden Check Umsetzung der Massnahmen überwachen Act Periodische Überprüfung durchführen und Verbesserungsmassahmen einleiten. 3

20 10 Punkte-Plan für angemessene Informationssicherheit 1 Zeigen Sie, dass Informationssicherheit für Sie wichtig ist Halten Sie schriftlich fest, zum Beispiel in Form einer Richtlinie oder eines schriftlichen Statements, dass Ihnen Sicherheit wichtig ist. Dass Sie alle wirtschaftlich und technisch sinnvollen Massnahmen ergreifen, um sensible Daten und kritische Geschäftsprozesse und Systeme angemessen zu schützen. Machen Sie deutlich, dass Sie dies auch von Ihren Mitarbeitenden erwarten. Informieren Sie Stakeholder und Mitarbeitende über Ihre Absichten. 2 Legen Sie Umfang und Ziele fest Als nächstes müssen Sie festlegen, welche gesetzlichen Regelungen für Ihr Unternehmen verbindlich sind, welchen branchenüblichen Regelungen Sie folgen und welche vertraglichen Verpflichtungen Sie bezüglich Datenschutz und sicherheit nachkommen müssen. Weiter müssen Sie Ziele in Bezug auf Verfügbarkeit und Integrität festlegen. Überlegen Sie sich, wie lange Einkauf, Produktion, Verkauf oder Marketing ohne IT arbeiten können und ab wann ein Ausfall von Systemen für die Kunden spürbar, ärgerlich und nicht mehr akzeptabel sein wird. Da Sie wahrscheinlich nicht alle Ziele gleichzeitig erreichen können, müssen Sie Prioritäten setzen. 3 Legen Sie eine Methode für das Risiko Management fest Vielleicht haben Sie sich bereits in Rahmen des Aufbaus eines IKS eingehend mit Risiko Management befasst. Dann können Sie höchstwahrscheinlich diese Methodik auch für die Identifizierung und Bewertung von IT Risiken anwenden. Wenn nicht, sollten Sie diesem Punkt ausreichend Zeit und Ressourcen bereitstellen. Denn eine lückenlose Identifikation von Schwachstellen und eine realistische Einschätzung des Schadenpotentials sind die Grundlage für die nachfolgende Massnahmenplanung. 4

21 4 Unterziehen Sie die Vermögenswerte einem Risiko Assessment Um die Risiken bestimmen zu können, müssen Sie die möglichen Bedrohungen und deren Auswirkungen kennen. Am besten erstellt man sich eine Liste der betrieblichen Vermögenswerte, ermittelt die Bedrohungen in Bezug auf Datenschutz und Datensicherheit. Daraus lassen sich dann die Risiken und deren Auswirkungen bestimmen und bewerten. Mögliche Risiken, die es zu bewerten gilt sind: Diebstahl von Geräten und Daten Technisch bedingter Ausfall wichtiger Geräte Verfahrens- und Bedienungsfehlerfehler Feuer, Wasser oder Blitz 5 Risiken managen und Massnahmen umsetzen Es gibt unterschiedliche Strategien, wie mit Risiken umzugehen ist. Entscheiden Sie sich für die geeignete Strategie und setzen Sie diese konsequent um. Erstellen Sie einen Massnahmenplan für die Minimierung des Schadenpotentials. Denken Sie auch an Vorbeugen ist besser als Heilen. Die Überwachung des Massnahmenplans ist Chefsache. Prüfen Sie regelmässig den Fortschritt bei der Umsetzung. 6 Regeln aufstellen und Verfahren festlegen Wenn Sie diesen Prozess durchlaufen haben, sind Ihre IT Risiken transparent. Sie können auf einer fundierten Grundlage entscheiden, welche Risiken Sie selber tragen und wo es sich lohnt, in Vorbeugemassnahmen zu investieren. Definieren Sie Verhaltensregeln und Verfahren, die festlegen wie Mitarbeitende sich in Bezug auf Informationssicherheit zu verhalten haben. Halten Sie diese Dos and Don t s schriftlich fest (z.b. als IT Knigge ): Dos Regelmässige Datensicherungen durchführen Starke Passwörter verwenden und regelmässig ändern Beim Verlassen des Arbeitsplatzes, Bildschirmschoner einschalten Regelmässig Programm-Updates durchführen Vorkehrungen für den worst case treffen Don ts Unverschlüsselte Kundendaten auf mobile Geräte kopieren Virenschutz und andere sicherheitstechnische Programme ausschalten Übermässige Verwendung von IT Ressourcen (Internet) für private Zwecke Nicht lizensierte Software verwenden 5

22 In grösseren Unternehmen oder bei sehr kritischen Prozessen sind diese sinnvollerweise schriftlich zu dokumentieren und die Verantwortlichkeiten sind klar zu regeln. (zum Beispiel Vergabe von Zugriffsrechten). Prozesse, die erfahrungsgemäss schriftlich festgehalten werden sollten sind: Regelung der Aufgaben und Verantwortlichkeit für Datensicherung, Aufbewahrung der Back-up Medien Verfahren für System Wiederherstellung Meldung, Klassifizierung und Behebung von Security Incidents Audits von Systemen und Prozessen 7 Notfallplan erstellen Ist Ihr Unternehmen auch auf plötzlich eintretende Ereignisse (Hochwasser, Feuer, Ausfall der Strom- / Datenversorgung, Ausfall von Geräten) gewappnet? Wenn Sie sich rechtzeitig mit diesen Themen auseinandersetzen, können Sie, wenn ein solches Ereignis eintritt, den Schaden für den Geschäftsbetrieb deutlich verringern und den Zeitbedarf für die Wiederherstellung eines geordneten Betriebs reduzieren. Legen Sie fest, wie schnell Ihre Systeme nach einem Ereignis wieder up and running sein müssen. Beträgt diese Frist mehrere Tage oder nur einige Stunden? Leiten Sie daraus ab, ob ein zweiter Standort notwendig ist und welche Geräte Sie dort vorhalten / in Bereitschaft haben müssen. Legen Sie sich einen Plan zurecht, in welcher Reihenfolge die Systeme wieder funktionieren müssen und welche Back-ups dazu notwendig sind. definieren Sie ein Krisenmanagement Team um im Ernstfall rasch und 8 situationsgerecht zu handeln: o Wer übernimmt die Leitung? o Wer kommuniziert mit Behörden? o Wer informiert die wichtigsten Kunden? o Wer ist für den Aufbau der Ausweichsysteme zuständig? Mitarbeitende informieren und ausbilden Die Mitarbeitenden sollten regelmässig über potentielle Risiken im Zusammenhang mit der Nutzung von IT Systemen informiert werden. Mitarbeitende müssen wissen, welche praktischen Massnahmen vorzukehren sind und welche Verantwortung sie dabei übernehmen müssen. Wichtig ist auch, dass das Sicherheitsbewusstsein durch regelmässige Briefings aufrechterhalten bleibt. Verhaltens- Knigge für Internet oder soziale Medien eignen sich für diese Zwecke gut. Sie können kostenlos im Internet bezogen werden. 6

23 9 Umsetzung der Massnahmen überwachen Stellen Sie sicher, dass die definierten Massnahmen tatsächlich umgesetzt werden. Die Umsetzung kostet für die Beteiligten Energie und Zeit, die sie vielleicht lieber für andere Ziele einsetzen möchten. Erfahrungsgemäss fallen in Zeiten höheren wirtschaftlichen Drucks Themen wie Sicherheit oder Datenschutz in der Prioritätenliste rasch zurück. Wenn das angepeilte Sicherheitsniveau erreicht werden soll, ist eine regelmässige Überprüfung des Fortschritts unerlässlich. Beispiele: Organisatorische Massnahmen o Clear Desk Policy o Sicherheitsrelevante Aufgaben im Einstellungs- und Austrittsprozess von Mitarbeitenden definieren o Regelmässige Wartung der Datenserver, Back-up Geräte und Kontrolle der Medien o SLA mit Lieferanten Physische Massnahme o Brandschutz in Räumlichkeiten für IT Infrastruktur. o Bauliche Massnahmen Technische Massnahmen 10 o Firewall und Virenschutz o USV-Anlage (Unterbrechungsfreie Stromversorgung) o Virtualisierte Hardware Periodische Überprüfung durchführen und Verbesserungsmassnahmen einleiten In der Hektik des Geschäftsalltags wird vielleicht nicht alles so angewandt wie ursprünglich beabsichtigt, Geschäftsprozesse ändern sich und damit vielleicht auch die Bedrohungen oder Gesetze wurden geändert und die Compliance muss neu überprüft werden. Daher ist es ratsam, periodisch die Wirksamkeit der getroffenen Massnahmen auf ihre Effektivität zu prüfen, um neue Schwachstellen aufzudecken und zu beheben. Quellen im Internet Praktische Hilfe zur Umsetzung eines ISMS (Informationssicherheits-Management System) findet man in einschlägigen Standards (ISO 27001, BSI Grundschutz, ISACA IT Risk). Auf deren Empfehlungen beruht auch diese Broschüre. Weitere interessante Informationen finden Sie auf folgenden Internetseiten:

24 Unser Dienstleistungsportfolio IT Security & Business Continuity Aufbau und Einführung von Information Security Management Systemen (ISMS) IT Risikoanalysen Business Continuity- & Notfallkonzepte IT Audits nach ISO IT Governance Design, Implementierung und Optimierung von IT Governance Systemen IT Check-up Projekt Portfolio Management Service Management IT Service Strategie Performance Optimierung & Kennzahlensysteme Evaluation von Service Providern & Softwarelösungen Management ad interim Temporäre Übernahme von IT Management Funktionen und Projektleitungen Januar 2016

Informationssicherheit

Informationssicherheit Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU Wir bauen Brücken zwischen der IT Strategie und effizienten IT Prozessen sowie zwischen den Kunden, der Informatik

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten

Mehr

Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl

Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl AGENDA Business Continuity Management System Regulatorische / gesetzliche Anforderungen Projektvorgehen

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Security Governance - Juli 2015 Agenda 1 2 3 Herausforderungen Unser Angebot Ihr Nutzen 2 Information Security Governance muss vielen Herausforderungen begegnen

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Integrale Sicherheit. Umsetzung in der Praxis. Fachtagung Netzwirtschaft, 17. Juni 2014

Integrale Sicherheit. Umsetzung in der Praxis. Fachtagung Netzwirtschaft, 17. Juni 2014 Integrale Sicherheit Umsetzung in der Praxis Fachtagung Netzwirtschaft, 17. Juni 2014 Werner Meier, Leiter Security & BCM Dr. Adrian Marti, Bereichsleiter Informationssicherheit AWK Group www.awk.ch Blackout

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT

Mehr

Cyberkriminalität und Datendiebstahl: Wie schütze ich mein Unternehmen?

Cyberkriminalität und Datendiebstahl: Wie schütze ich mein Unternehmen? Cyberkriminalität und Datendiebstahl: Wie schütze ich mein Unternehmen? Dienstag, 18. März 2014 Referentin Informationssicherheit IHK für München und Oberbayern Bildnachweis: Fotolia Maksim Kabakou Ihr

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

BUSINESS CONTINUITY MANAGEMENT (BCM)

BUSINESS CONTINUITY MANAGEMENT (BCM) BUSINESS CONTINUITY MANAGEMENT (BCM) Notfall-Management Solvency II - 2. Säule Delivering Transformation. Together. In einer zunehmend technologisierten und globalen Welt sind Unternehmen genauso wie Privatpersonen

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Outpacing change Ernst & Young s 12th annual global information security survey

Outpacing change Ernst & Young s 12th annual global information security survey Outpacing change Ernst & Young s 12th annual global information security survey Alfred Heiter 16. September 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Datenschutz und Informationssicherheit 03.09.2015

Datenschutz und Informationssicherheit 03.09.2015 Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking

Mehr

Risiken kann man eingehen. Oder man kann sie meistern.

Risiken kann man eingehen. Oder man kann sie meistern. IBM Global Technology Services Risiken kann man eingehen. Oder man kann sie meistern. Einsichten und Erkenntnisse aus der IBM Global IT Risk Study. 2 IBM Global IT Risk Study Wie steht es mit dem Sicherheitsbewusstsein

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Wesentliche Änderungen Anwendung der High Level Structure 10 Kapitel Verstärkte Anforderungen an die oberste

Mehr

SEC-Suite Enterprise Edition

SEC-Suite Enterprise Edition ganzheitlich flexibel webbasiert SEC-Suite Enterprise Edition SEC-Suite IT GRC Edition Ganzheitliches und nachhaltiges IT Governance, Risk und Compliance Management Quality Security by SEC Methods SEC-Suiten

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010

IT-Sicherheit. Abteilung IT/2 Informationstechnologie. Dr. Robert Kristöfl. 3. Dezember 2010 IT-Sicherheit Abteilung IT/2 Informationstechnologie Dr. Robert Kristöfl 1 3. Dezember 2010 Begriffsdefinitionen Safety / Funktionssicherheit: stellt sicher, dass sich ein IT-System konform zur erwarteten

Mehr

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

12.08.2015. Risikomanagement in der Altenpflege. Risikomanagement. Aus Risiken können Fehler entstehen, deshalb:

12.08.2015. Risikomanagement in der Altenpflege. Risikomanagement. Aus Risiken können Fehler entstehen, deshalb: Wissen schafft Erfolg und Kompetenz in der Altenpflege 2015 Herbert Müller Orga - Schwerte Qualitätsmanagement Beschwerde / Verbesserungs management Qualitätssicherung Qualitätsmanagement Fehlermanagement

Mehr

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN

Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN Supply Chain Summit 2011 RISIKO-MANAGEMENT UND SUPPLY CHAIN GLIEDERUNG Intro Risiko-Management Was bedeutet Risiko-Managment? Wie wird Risiko-Management umgesetzt? Nutzen von Risiko-Management Relevanz

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

IT-Sicherheitskoordinator in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation. 26. 28. Februar 2014, Berlin

IT-Sicherheitskoordinator in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation. 26. 28. Februar 2014, Berlin IT-Sicherheitskoordinator in der öffentlichen Verwaltung mit TÜV Rheinland geprüfter Qualifikation 26. 28. Februar 2014, Berlin IT-Sicherheitskoordinator in der öffentlichen Verwaltung 26. 28. Februar

Mehr

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH

Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Datensicherheit im Gesundheitswesen Christian Proschinger Raiffeisen Informatik GmbH Raiffeisen Informatik Tätigkeitsfeld Security Competence Center Zwettl Datensicherheit Gesetzliche Anforderungen Angriffsvektoren

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen?

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? e:digital media GmbH software distribution White Paper Information Security Management System Inhalt: 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? 2. Was sind die QSEC-Suiten? 3. Warum ein Information

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Mobile Security Trialog zwischen - Michael Wiesner - Hajo Giegerich - Ihnen (dem Publikum) 13.04.2011 Expertenwissen kompakt

Mobile Security Trialog zwischen - Michael Wiesner - Hajo Giegerich - Ihnen (dem Publikum) 13.04.2011 Expertenwissen kompakt Mobile Security Trialog zwischen - Michael Wiesner - Hajo Giegerich - Ihnen (dem Publikum) 13.04.2011 Expertenwissen kompakt 06.11.2009 13.04.2011 Expertenwissen kompakt Sicherheits-Bewusstsein Mobile

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* *DDDP = Do-Do-Do-Panic Mission und Vision Die CETUS Consulting GmbH

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Informationssicherheit in Übersetzungsprozessen

Informationssicherheit in Übersetzungsprozessen Informationssicherheit in Übersetzungsprozessen Unternehmen tun viel, damit die auf dem Server befindlichen Daten sicher sind. Dazu gehören Back-up-Routinen, Firewalls und auch deklarierte Prozesse und

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG First Climate AG IT Consulting und Support Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG - INFORMATION SECURITY MANAGEMENT MAIKO SPANO IT MANAGER CERTIFIED ISO/IEC

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters IS-Revisorentreffen 2012 Ronny Frankenstein 1 Agenda 1 Kurze Vorstellung 2 Motivation 3 Vorgeschichte 4 Umsetzung 5 Ergebnisse 2 Vorstellung

Mehr

Informationssicherheit mehr als Technologie. Herzlich willkommen

Informationssicherheit mehr als Technologie. Herzlich willkommen Informationssicherheit mehr als Technologie Herzlich willkommen AL Conuslt 2012 Vorstellung Schwerpunkte IT-Strategie und IT-Strategieentwicklung (z.b. mit CObIT) IT Service-Management (ITIL und ISO 20000)

Mehr

Datenschutz und Datensicherheit in Kleinen und Mittelständischen Unternehmen

Datenschutz und Datensicherheit in Kleinen und Mittelständischen Unternehmen Datenschutz und Datensicherheit in Kleinen und Mittelständischen Unternehmen Prof. Dr. Reiner Creutzburg creutzburg@fh brandenburg.de Geprüfter Datenschutzbeauftragter (SGS TÜV) Geprüfter IT Sicherheitsbeauftragter

Mehr

Aktuelle Bedrohungslage

Aktuelle Bedrohungslage Aktuelle Bedrohungslage Seite 1 Seite 2 Waltenhofen Neuss Wiesbaden Waltenhofen Neuss Wiesbaden Security Webinar Der Weg zu Ihrem ganzheitlichen Security-Konzept in 6 Schritten Die nachfolgende Ausarbeitung

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Der Weg zum sicheren Webauftritt

Der Weg zum sicheren Webauftritt Der Weg zum sicheren Webauftritt Referent: Bruno Herzog Management Consultant Information Security CSC Switzerland AG Symposium on Privacy and Security CSC 200 03.05.200 Archivschlüssel.ppt Der Weg zum

Mehr

IT-Security INSIDE #16 12. Mai 2016

IT-Security INSIDE #16 12. Mai 2016 Das Kochbuch für eine sichere Cloud Mark Stäheli Geschäftsleitung, AVANTEC AG AGILITÄT TIEFERE KOSTEN WENIGER BETRIEBS- AUFWAND SKALIER-BARKEIT VENDOR LOCK-IN DATEN- SICHERHEIT ZUVER- LÄSSIGKEIT FEHLENDE

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de

Wolfgang Straßer. wolfgang.strasser@add-yet.de. @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 www.add-yet.de Business Security Management Wolfgang Straßer wolfgang.strasser@add-yet.de @-yet GmbH Schloß Eicherhof D-42799 Leichlingen +49 (02175) 16 55 0 These These: Ohne IT keine Wertschöpfung Ohne IT keine Innovation

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Vom Projekt-Controlling zum Projekt-Monitoring

Vom Projekt-Controlling zum Projekt-Monitoring Vom Projekt-Controlling zum Projekt-Monitoring Erfolgssicherung für Energieabnehmer und Kapitalgeber im Bereich Offshore-Windenergie Dr. Harald Maser Berlin, 26.10.2011 Warum diese Information? Quelle:

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Levent Ildeniz Informationssicherheitsbeauftragter 1 Der erste Eindruck > Sind Sie sicher? Woher wissen Sie das? 2 Der erste Eindruck

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Risk Management auf neuen Wegen

Risk Management auf neuen Wegen Risk Management auf neuen Wegen GDV - Transport Hannover, 21. Mai 2003 Konzentration auf Loss Prevention Risk Management auf neuen Wegen? hohe Schadenfrequenz Zunahme der Schnittstellen im Distributionsprozess

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement INDUSTRIAL Informationssicherheitsmanagement 0 Inhaltsverzeichnis Ziel eines Informationssicherheitsmanagements Was ist die ISO/IEC 27000 Die Entstehungsgeschichte Die Struktur der ISO/IEC 27001 Spezielle

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

Erfolgsfaktor Proaktives IT-Sicherheitsmanagement

Erfolgsfaktor Proaktives IT-Sicherheitsmanagement 1. Dezember 2004 Seite: 1 / 5 Erfolgsfaktor Proaktives IT-Sicherheitsmanagement Christian Peter Global Services Executive, IBM Österreich 1. Dezember 2004 1 Abstract IT-Sicherheitsmanagement: unverzichtbares

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

SICHERHEITSKONZEPT. Sicherheitskonzept. Gemeinde Lupsingen

SICHERHEITSKONZEPT. Sicherheitskonzept. Gemeinde Lupsingen Sicherheitskonzept Gemeinde Lupsingen Inhaltsverzeichnis 1. Sicherheitsleitbild, Sicherheitsziele... 3 2. Sicherheitsorganisation... 5 3. Ausbildung, Instruktion, Information... 6 4. Sicherheitsregeln...

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Cyberkriminalität und IT-Attacken Die Cyber-Risk-Police als Brandschutz des 21. Jahrhunderts

Cyberkriminalität und IT-Attacken Die Cyber-Risk-Police als Brandschutz des 21. Jahrhunderts Cyberkriminalität und IT-Attacken Die Cyber-Risk-Police als Brandschutz des 21. Jahrhunderts AVW Wohnungswirtschaftliche Versicherungstagung Hamburg, 01.10.2015 Natalie Kress Cyber Practice Manager Germany

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Normierte Informationssicherheit durch die Consultative Informationsverarbeitung

Normierte Informationssicherheit durch die Consultative Informationsverarbeitung Normierte Informationssicherheit durch die Consultative Informationsverarbeitung INAUGURALDISSERTATION zur Erlangung des akademischen Grades eines Doktors der Wirtschaftswissenschaften an der Wirtschaftswissenschaftlichen

Mehr

Business Continuity Management - Ganzheitlich. ein anderer Ansatz. 17.10.2014 itmcp it Management Consulting & Projekte

Business Continuity Management - Ganzheitlich. ein anderer Ansatz. 17.10.2014 itmcp it Management Consulting & Projekte - Ganzheitlich ein anderer Ansatz 1 Was ist das? Unvorhergesehen Wie konnte das passieren? Alles läuft gut Bei Ihrem Auto sorgen Sie durch rechtzeitigen Kundendienst vor 2 Was ist das? Kerngesunde, liquide

Mehr