Informationssicherheitsbeauftragte

Transkript

1 +++ Management Circle Intensiv-Seminar +++ Der zertifizierte Intensiv-Seminar mit qualifiziertem Informationssicherheitsbeauftragte Fit für eine sichere und zukunftsfähige IT-Organisation Vom Sicherheitscheck bis zur Notfallplanung: Sicherheitsorganisation: Definieren Sie Strategie, Ziele und Leitlinien Frühwarnsystem: Implementieren Sie automatisierte Kontrollen und Warnungen Datensicherung, Kryptografie und Forensik: Schützen Sie sich vor Datenklau und Viren Mobiles Arbeiten: Gewährleisten Sie einen geschützten Datenaustausch Große Datenmengen im Griff: Führen Sie Datenschutz- und Qualitätskontrollen durch Haftungsrisiken und -szenarien: So sichern Sie sich fachlich und persönlich ab 100% Sicherheit gibt es nicht: Bereiten Sie sich optimal auf den Ernstfall vor Exklusive Praxisberichte: Sicherheitsaudits bei der Open Grid Europe GmbH Datenschutzkontrollen bei der Merck KGaA Mit den Experten: Ronny Frankenstein HiSolutions AG Andreas Kirk Open Grid Europe GmbH Norbert Moeren Merck KGaA Dr. Tobias Sedlmeier Dr. Sedlmeier & Dr. Dihsmaier Rechtsanwälte Begeisterte Teilnehmerstimmen: Sehr guter Einstieg für die Aufgaben eines IT-Sicherheitsbeauftragten! M. Hartung, Roof Systems Germany GmbH Informativ mit vielen Anregungen für die tägliche Praxis! K. Rasmussen, Warburg Invest Luxembourg S.A. Sehr gut organisiert! W. H. Hammer, Bundesanstalt für Post und Telekommunikation Deutsche Bundespost Exklusiv am: 23. bis 25. August 2016 in Frankfurt/M. Hoher Lernerfolg durch begrenzte Teilnehmerzahl! Melden Sie sich jetzt an! Ihre Telefon-Hotline: + 49 (0) 61 96/

2 1. Seminartag Rolle, Aufgaben und Kompetenzen des Informationssicherheitsbeauftragten Ihr Seminarleiter: Ronny Frankenstein, Director Information Security Management, HiSolutions AG, Berlin Warum Informationssicherheit im Unternehmen immer wichtiger wird Der Spagat zwischen neuen Technologien und erhöhten Sicherheitsanforderungen Wachsende Bedrohungen durch Wirtschaftsspionage und Datensicherheit Stetiger Wandel im technischen Umfeld Wechselnde Rahmenbedingungen: Wesentliche nationale und internationale IT-Standards ISO Weitere Sonderstandards der ISO 27er Reihe Prüfungsstandard der Wirtschaftsprüfer IDW PS 330 ITIL Gesetzliche Besonderheiten im Überblick: Das Unternehmen als unfreiwilliger Telekommunikationsanbieter Anforderungen aus dem IT-Sicherheitsgesetz und der EU-Datenschutz-Grundverordnung Der Informationssicherheitsbeauftragte Anforderungen, Rolle und Aufgaben Festlegung der Informationssicherheitsziele und -strategie Ausrichtung an den Unternehmenszielen Erstellung einer Informationssicherheitsleitlinie Formulierung von zielgruppenorientierten Sicherheitsrichtlinien Etablierung eines Identitätsmanagements Integration der wesentlichen Betroffenen in den Sicherheitsprozess Effiziente Planung des Ressourceneinsatzes für Informationssicherheit Reporting an die Geschäftsführung, den Vorstand und weitere Organe Weiterentwicklung der Informationssicherheitsmaßnahmen Methoden und Instrumente Datensicherung und -archivierung Kryptografische Verfahren (Verschlüsselungsund Signaturverfahren) Schutz vor Schadsoftware (z. B. Viren) und damit verbundene Problemstellungen Erstellung von Sicherheitskonzepten der Grundpfeiler Ihres Sicherheitsmanagements Die Basis: Der IT-Grundschutz nach dem BSI Struktur und Inhalte der Grundschutzkataloge Daraus resultierende Anforderungen an ein Informationssicherheitskonzept Grundlagen: Informationsverbund, Strukturanalyse und Schutzbedarfsfeststellung Modellierung nach dem IT-Grundschutzkatalog: Abbildung realer Systeme durch die Bausteine des IT-Grundschutzbaukastens Soll-Ist-Vergleich mittels Basis-Sicherheitscheck so entsteht Ihr Informationssicherheitskonzept Detaillierte Risikoanalyse wenn Grundschutz nicht ausreicht Technische Unterstützung bei der Erstellung von Informationssicherheitskonzepten Update: Die IT-Grundschutzmodernisierung Welche Änderungen gibt es? Welche Chancen und Risiken ergeben sich daraus? Aufbau eines Informationssicherheitsmanagementsystems Die wichtigsten Bausteine Formulierung von Informationssicherheitsleitlinien Kritische Faktoren für ein erfolgreiches Informationssicherheitsmanagement Rollenverteilung in einer Sicherheitsorganisation Aufgaben des Informationssicherheitsmanagements Modelle für unterschiedliche Organisationsformen und Unternehmensgrößen Integration des Informationssicherheitsmanagements in die Unternehmensstrukturen Get-together Ausklang des ersten Seminartages in informeller Runde. Management Circle lädt Sie zu einem kommunikativen Umtrunk ein. Entspannen Sie sich in angenehmer Atmosphäre und vertiefen Sie Ihre Gespräche mit dem Seminarleiter und den Teilnehmern. AUCH ALS INHOUSE TRAINING Zu diesen und allen anderen Themen bieten wir auch firmeninterne Schulungen an. Ihre Vorteile: Kein Reiseaufwand passgenau für Ihren Bedarf optimales Preis-Leistungsverhältnis! Ich berate Sie gerne und erstelle Ihnen ein individuelles Angebot. Rufen Sie mich an: Stefanie Klose, Tel.: / , stefanie.klose@managementcircle.de

3 2. Seminartag Leitfaden zum Aufbau einer wirksamen Informationssicherheitsorganisation Ihr Seminarleiter: Ronny Frankenstein Physische Informationssicherheitsmaßnahmen Betriebsunterbrechungen vermeiden Anforderungen an physische, technische, organisatorische und personelle Maßnahmen Bedeutung der Informationssicherheitsvorkehrungen für den Geschäftsbetrieb Analyse der Standorte der IT-Komponenten/ IT-Betriebsräume: Zentrales Rechenzentrum, Netzwerk-Verteilerräume, dezentraler Serverraum etc. Wesentliche IT-Sicherheitsvorkehrungen für Überspannung, Energie- und Klimaausfall Wassereinbruch und Feuer Einbruch und Sabotage Aufdeckung und Alarmierung der Störungen in den IT-Sicherheitsvorkehrungen IT-Risikomanagement Gefahr erkannt? Gefahr gebannt? Aufgaben des IT-Risikomanagements Der Mensch als Risikofaktor Beherrschbarkeit der Systeme Vorkehrungen gegen externe Risiken Ansätze für ein Frühwarnsystem Definition einer Risikostrategie Methoden zur Risikoidentifikation, -analyse, -bewertung und -bewältigung IT-Notfallplanung: Was tun, wenn s brennt? IT-Compliance und IT-Revision Organisation der Informationssicherheit bei der Open Grid Europe GmbH Vorgehen zum Aufbau und zur Implementierung der Informationssicherheit IT-Risikomanagement und der IT-Risikoanalyse Muster für Regelwerk zur Informationssicherheit Organisatorische Ausgestaltung der Informationssicherheit Beispiele zur Ausgestaltung eines Internen Kontrollsystems Interne und externe Audits innerhalb der Informationssicherheit Beispiele für vorbeugende Maßnahmen Andreas Kirk Leiter Compliance/Internal Control, Open Grid Europe GmbH, Essen Cloud Computing Datenschutz und Datensicherheit gewährleisten Organisationsformen und Modelle des Cloud Computing im Überblick Virtualisierung und Mandantentrennung: Was ist zu beachten? Notfallvorsorge und Verfügbarkeit: Bei Ausfällen richtig reagieren Vorfälle schnell und rechtssicher aufklären: Forensik Insolvenz oder Fusion des Dienstleisters: Kontinuität sicherstellen Big Data mit großen Datenmengen sicher umgehen Datenquellen: Customer Analytics und Social Media Big Data und Datenschutz Wer darf welche Daten und Informationen wie und zu welchen Zwecken aus- und verwerten? Was darf wie gespeichert werden? Regelmäßige Tests zur Weiterentwicklung Qualitätskontrollen korrekt durchführen Big Data Policies und Richtlinien AKTUELL UND AUF DEN PUNKT! Nutzen Sie unseren -Service, um zeitgemäß Ihre Top-Themen bequem per zu erhalten. Ihr persönliches Profil verwalten Sie unter: Ab 8.45 Uhr Empfang mit Tee und Kaffee, Ausgabe der Seminarunterlagen 2. Seminartag 3. Seminartag Seminarzeiten Seminarbeginn Business Lunch 1. Seminartag 9.30 Uhr Uhr 9.00 Uhr Uhr 9.00 Uhr Uhr Seminarende ca Uhr ca Uhr ca Uhr Am Vor- und Nachmittag findet jeweils eine Tee- und Kaffeepause in Absprache mit dem Seminarleiter und den Teilnehmern statt.

4 3. Seminartag Haftungsrisiken und rechtliche Konsequenzen bei Pflichtverletzungen Ihr Seminarleiter: Ronny Frankenstein Haftung des Informationssicherheitsbeauftragten und der Geschäftsführung Gesetzliche Anforderungen: IT-Sicherheitsgesetz, BDSG u. EU-Datenschutz- Grundverordnung, SOX, Basel II/III Typische Haftungsrisiken im Unternehmen Strafrecht Zivilrecht Haftungsszenarien für Informationssicherheitsbeauftragte Unzureichendes Sicherheits- und Notfallkonzept Urheberrechtsverstöße durch Unternehmen und Mitarbeiter Verlust sensibler Daten Aktuelle Bedrohungen durch Cloud Computing, Mobile Devices, Social Media, Big Data etc. Mögliche rechtliche Konsequenzen bei Pflichtverletzungen Schadensersatz, Unterlassungs- und Löschungsansprüche Aufsichtsbehördliche Maßnahmen Verlust des Versicherungsschutzes Vorbeuge-Maßnahmen und Interne Kontrollsysteme, Haftungsklauseln und Vertragsgestaltung Dr. Tobias Sedlmeier Rechtsanwalt, Fachanwalt für IT-Recht, Dr. Sedlmeier & Dr. Dihsmaier Rechtsanwälte, Heidelberg Soziale Netzwerke Social Media Guidelines definieren und implementieren Risiken bei der Nutzung von Facebook, XING und Twitter Ausspähung durch individualisierte kurzlebige Trojaner Abfluss von Daten per und Instant Messaging Facebook-Apps als Malware Gateway Cross Site Scripting, Cross Site Request Forging, Session Hijacking Aufbau von Bot-Netzen und deren Vermarktung Vorgaben zum Umgang mit Social Media was geht? Was geht nicht? Wesentliche Punkte von Social Media Guidelines Mobile Devices und BYOD mobile Endgeräte sicher einbinden Mobile Devices im Überblick: Aktuelle Entwicklungen und Trends Typische Einsatzgebiete und -möglichkeiten im Unternehmen Neue Möglichkeiten vs. neue Herausforderungen für Unternehmen Zentrales OTA (Over the Air) Mobile Device Management Trennung privater und betrieblicher Nutzung durch Management Agents Verschlüsselung der sensiblen Unternehmensdaten Sichere Verteilung und Nutzung von Apps im Unternehmen Mobile Devices und Arbeitnehmerüberwachung Personaldaten- und Auftragsdatenverarbeitung: Kontrollmöglichkeiten des Arbeitgebers Betriebliche Mitbestimmung bei Verhaltens- und Leistungskontrolle Integriert statt On-Top prozessbasierte Datenschutzkontrolle bei der Merck KGaA Motivation: Die Datenschutzanforderungen effizient umsetzen Übersicht über die erforderlichen Datenschutzprozesse Darstellung der Prozesse und Erweiterungen für internationale Datentransfers Technische Implementierung und Ausrollen der Prozesse Nutzung der Datenschutzprozesse für andere IT-Compliance-Kontrollen, einschließlich des Informationsschutzes Zusatznutzen: Datenschutz wird messbar Norbert Moeren Leiter Group Data Protection Office, Merck KGaA, Darmstadt Zusammenfassung und Gelegenheit für Ihre offenen Fragen Ende des Seminars

5 Zum Seminarinhalt Warum dieses Seminar so wichtig für Sie ist Die IT ist aus dem Tagesgeschäft nicht mehr wegzudenken. Nahezu jeder Arbeitsschritt ist mit einer Software hinterlegt oder wird technisch gesteuert, von der externen oder internen Kommunikation ganz zu schweigen. Dies bedeutet gleichzeitig aber auch ein erhöhtes Risiko für Ihr Unternehmen: Virenbefall, Hackerangriffe, technisches Versagen von Servern, beschädigte Datenleitungen oder auch ein einfacher Stromausfall können im schlimmsten Fall zum Betriebsausfall und zu schweren Reputationsschäden führen. Jetzt sind Sie als IT-Sicherheitsbeauftragter gefragt: Sie fungieren als Berater in allen Projekten mit IT-Bezug und unterstützen die Geschäftsleitung bei allen strategischen Entscheidungen, die die Informationssicherheit betreffen. Aber auch operativ wird vieles von Ihnen gefordert: Mit der Einführung und Weiterentwicklung eines Informationssicherheitsmanagementsystems und der entsprechenden Sicherheitsmaßnahmen tragen Sie maßgeblich zur Wettbewerbsfähigkeit und zum Fortbestand des Unternehmens bei. Ihr Nutzen aus diesem Seminar Sie erhalten einen kompakten Überblick über Rollen und Aufgaben und Kompetenzen des Informationssicherheitsbeauftragten. Sie erfahren, wie Sie eine schlüssige Informationssicherheitsstrategie festlegen. Sie lernen, wie Sie ein Informationssicherheitskonzept formulieren und Sicherheitsleitlinien definieren. Sie informieren sich, wie Sie ein integriertes Informationssicherheitsmanagementsystem aufbauen. Sie hören, wie Sie automatisierte Kontrollen und Warnungen für ein Frühwarnsystem implementieren. Sie erfahren, wie Sie einen geschützten Datenaustausch beim mobilen Arbeiten gewährleisten Sie lernen, wie Sie Datenschutz- und Qualitätskontrollen bei der Verarbeitung großer Datenmengen durchführen Sie informieren sich über die Haftungsrisiken des Informationssicherheitsbeauftragten bei Pflichtverletzungen. Sie hören, wie Sie einen Notfallplan für den Ernstfall erstellen und IT-Ausfälle vermeiden. Sie haben noch Fragen? Gerne! Rufen Sie mich an oder schreiben Sie mir eine . Yvonne Schaetzle Bereichsleiterin Tel.: / yvonne.schaetzle@managementcircle.de Ihr Expertenteam Ronny Frankenstein ist Director Information Security Management bei der HiSolutions AG in Berlin. Er ist BSI-zertifizierter Datenschützer, Audit-Teamleiter für ISO auf der Basis von IT-Grundschutz, lizenzierter IS-Revisor des BSI auf der Basis von IT-Grundschutz, Prince2 Certified Projektmanager, CobiT Practitioner (CP), IT-Governance-Manager und Gematik-Sicherheitsgutachter zentraler Produkte der TI. Seine fachlichen Schwerpunkte liegen u. a. im Aufbau und der Auditierung von Informationssicherheitsmanagementsystemen und Datenschutzmaßnahmen, der Vorbereitung auf die Zertifizierung nach ISO nativ und auf der Basis von IT-Grundschutz und dem Coaching von Informationssicherheitsbeauftragten. Derzeit verantwortet Ronny Frankenstein als Projektleiter seitens der HiSolutions AG als externer Partner des BSI die Umsetzung der Modernisierung. Andreas Kirk, Diplom-Wirtschaftsinformatiker, CISA, CISM, ist verantwortlich für die Themen Compliance/Internal Control und Datenschutzbeauftragter bei der Open Grid Europe GmbH in Essen. Zuvor verantwortete er die Informationssicherheit sowie die IT-Revision bei der E.ON Ruhrgas AG. Andreas Kirk verfügt über vieljährige Erfahrungen insbesondere bei der Einführung komplexer Standardsoftware, der Prozessoptimierung und bei der Beurteilung bzw. beim Aufbau von Kontroll- und Überwachungssystemen. Seit 1993 ist er auch als externer Referent und in verschiedenen Arbeitskreisen (DSAG, SAP) tätig. Norbert Moeren leitet das Group Data Privacy Office der Merck KGaA in Darmstadt. In dieser Funktion ist er als Datenschutzbeauftragter der Merck KGaA und deren deutschen Tochtergesellschaften bestellt. Seit 2001 ist er bei Merck in verschiedenen Funktionen für die Themenfelder der IT Governance, IT Audit, IT Risikomanagement, IT Sicherheit und IT Compliance verantwortlich. Hierzu gehörten u. a. auch die erfolgreiche Zertifizierung des Kontrollsystems nach den Standards der ISO 9001, ISO und ISO Neben der langjährigen Berufserfahrung bilden Qualifizierungen als Certified Risk Manager (CRISC), ISO Lead Auditor und zertifizierter Datenschutzbeauftragter die fachliche Grundlage für die heutige Tätigkeit. Er leitete den Arbeitskreis IT-Sicherheit im VCI und vertritt Merck aktuell in verschiedenen Arbeitskreisen (z. B. VCI, vfa) zum Datenschutz. Dr. Tobias Sedlmeier ist Rechtsanwalt und Fachanwalt für IT-Recht und praktiziert in der Kanzlei Dr. Sedlmeier & Dr. Dihsmaier in Heidelberg. Er ist spezialisiert auf die Beratung im Umfeld von IT, Technologie, Internet, Medien und Kreativwirtschaft und betreut dabei sowohl die Anbieter- als auch die Kundenseite. Seine Beratungsfelder sind u. a. IT-Recht, IT-Outsourcing, IT-Compliance, Internetrecht, Datenschutz und Urheberrecht. Dr. Tobias Sedlmeier ist zudem Lehrbeauftragter für Datenschutzrecht an der Universität Würzburg und Ausbilder von angehenden Fachanwälten für IT-Recht. Das Handelsblatt führt Dr. Tobias Sedlmeier seit 2013 in der Liste Deutschlands Beste Anwälte. Vor der Gründung seiner eigenen Kanzlei war er u. a. als Rechtsanwalt bei Hengeler Mueller und Freshfields Bruckhaus Deringer sowie als Staatsanwalt tätig.

6 Wen Sie auf diesem Seminar treffen Für Ihre Fax-Anmeldung: + 49 (0) 61 96/ Dieses Seminar richtet sich an Informationssicherheitsbeauftragte, betriebliche Datenschutzbeauftragte, CISOs und CIOs sowie an Leiter und leitende Mitarbeiter aus den Bereichen IT/EDV, IT-Management, IT-Sicherheitsmanagement, IT-Notfallmanagement, IT Continuity Management, Business Continuity Management, IT-Strategie, IT-Organisation, IT-Infrastruktur, IT-Anwendungen, Rechenzentrum, IT-Compliance, IT-Revision, IT-Risikomanagement, IT-Controlling, Datensicherheit und Datenschutz. Weiterhin angesprochen sind interessierte IT-Dienstleister und Unternehmensberater. Der zertifizierte Informationssicherheitsbeauftragte Ich/Wir nehme(n) teil am: WS 23. bis 25. August 2016 in Frankfurt/M Name/Vorname Position/Abteilung 3 gute Gründe, sich noch heute anzumelden ➊ Sie erhalten einen kompakten Überblick über Rollen, Aufgaben und Kompetenzen des Informationssicherheitsbeauftragten. ➋ Sie erfahren, wie Sie eine schlüssige Informationssicherheitsstrategie festlegen. ➌ Sie informieren sich über die Haftungsrisiken des Informationssicherheitsbeauftragten bei Pflichtverletzungen. Termin und Veranstaltungsort 23. bis 25. August 2016 in Frankfurt/M. Maritim Hotel Frankfurt, Theodor-Heuss-Allee 3, Frankfurt/M. Tel.: 069/ , Fax: 069/ reservierung.fra@maritim.de Für unsere Seminarteilnehmer steht im Tagungshotel ein begrenztes Zimmerkontingent zum Vorzugspreis zur Verfügung. Nehmen Sie die Reservierung bitte rechtzeitig selbst direkt im Hotel unter Berufung auf Management Circle vor. 2 Name/Vorname Position/Abteilung Name/Vorname Position/Abteilung Firma Straße/Postfach PLZ/Ort Telefon/Fax Datum Ansprechpartner/in im Sekretariat: 10 % Unterschrift Mit der Deutschen Bahn für 99, zur Veranstaltung. Infos unter: Über Management Circle Als anerkannter Bildungspartner und Marktführer im deutschsprachigen Raum vermittelt Management Circle WissensWerte an Fach- und Führungskräfte. Mit seinen 200 Mitarbeitern und jährlich etwa 3000 Veranstaltungen sorgt das Unternehmen für berufliche Weiterbildung auf höchstem Niveau. Weitere Infos zur Bildung für die Besten erhalten Sie unter Anmeldebedingungen Nach Eingang Ihrer Anmeldung erhalten Sie eine Anmeldebestätigung und eine Rechnung. Die Teilnahmegebühr für das dreitägige Seminar beträgt inkl. Business Lunch, Erfrischungsgetränken, Get-together und der Dokumentation 2.595,. Sollten mehr als zwei Vertreter desselben Unternehmens an der Veranstaltung teilnehmen, bieten wir ab dem dritten Teilnehmer 10% Preisnachlass. Bis zu zwei Wochen vor Veranstaltungstermin können Sie kostenlos stornieren. Danach oder bei Nichterscheinen des Teilnehmers berechnen wir die gesamte Teilnahmegebühr. Die Stornierung bedarf der Schriftform. Selbstverständlich ist eine Vertretung des angemeldeten Teilnehmers möglich. Alle genannten Preise verstehen sich zzgl. der gesetzlichen MwSt. Anmeldebestätigung bitte an: Rechnung bitte an: Abteilung Abteilung Mitarbeiter: BIS ÜBER 1000 Datenschutzhinweis Die Management Circle AG und ihre Dienstleister (z.b. Lettershops) verwenden die bei Ihrer Anmeldung erhobenen Angaben für die Durchführung unserer Leistungen und um Ihnen Angebote zur Weiterbildung auch von unseren Partnerunternehmen aus der Management Circle Gruppe per Post zukommen zu lassen. Unsere Kunden informieren wir außerdem telefonisch und per über unsere interessanten Weiterbildungsangebote, die den vorher von Ihnen genutzten ähnlich sind. Sie können der Verwendung Ihrer Daten für Werbezwecke selbstverständlich jederzeit gegenüber Management Circle AG, Postfach 56 29, Eschborn, unter datenschutz@managementcircle.de oder telefonisch unter 06196/ widersprechen oder eine erteilte Einwilligung widerrufen. Anmeldung/Kundenservice Telefon: + 49 (0) 61 96/ Fax: + 49 (0) 61 96/ anmeldung@managementcircle.de Internet: Postanschrift: Management Circle AG Postfach 56 29, Eschborn/Ts. Telefonzentrale: + 49 (0) 61 96/ Hier online anmelden! KP/UR/K