IN&OUT AG INFORMATION SECURITY COMPLIANCE & CONTROLLING PROGRAM (ISCCP)

Größe: px
Ab Seite anzeigen:

Download "IN&OUT AG INFORMATION SECURITY COMPLIANCE & CONTROLLING PROGRAM (ISCCP)"

Transkript

1 IN&OUT AG INFORMATION SECURITY COMPLIANCE & CONTROLLING PROGRAM (ISCCP) In&Out AG IT Consulting & Engineering Kilchbergsteig 13, CH-8038 Zürich, Phone Fax

2 Inhalt Inhalt Kurzdarstellung (Abstract) Information Security Methodology Framework Grundzüge der Methodik IO-ISCCP Referenz auf internationale Standards Prüfablauf Arbeitsschritte Aufbauorganisation Auswahl des Prüfobjekts Ausführende Rollen Prozess-Steuerung Standardprozess Teilprozesse Jahresplanung Risikomanagement Schwachstellenanalyse Risikobeurteilung ISO Compliance Kontrolle Definition von Sicherheitsmassnahmen Sicherheitsrapportierung Grafische Profile Standardformat des Prüfberichts...12 Seite 2 von 13

3 1 Kurzdarstellung (Abstract) Das In&Out Information Security Compliance & Controlling Program (IO-ISCCP) ist Bestandteil von IO-ISMF (siehe Fussnote 1 ) und beschreibt eine Methodik zur regelmässigen, koordinierten und dokumentierten Durchführung von Sicherheitsreviews, Risikobeurteilungen und Audits. IO-ISCCP wird im vorliegenden Dokument ausführlich erläutert und eingeführt. Dokumentiert werden zuerst die Grundzüge der Methodik und danach deren Ablauf mit Aufbauorganisation, Prozessteuerung, Risikomanagement und Sicherheitsrapportierung. Zum Abschluss wird eine mögliche Auswahl von Prüfmodulen (Testpaketen) vorgestellt. 1 Das In&Out Information Security Methodology Framework (IO-ISMF) ist eine übergeordnete Methodik zu Definition, Aufbau und Durchsetzung des Informationssicherheitsprozesses. Seite 3 von 13

4 2 Information Security Methodology Framework Das In&Out Information Security Methodology Framework (IO-ISMF) ist ein übergeordnetes Methodengerüst zu Definition, Aufbau und Durchsetzung des Informationssicherheitsprozesses. IO-ISMF besteht in seinem Kern aus einem vierstufigen Referenzkatalog, welcher in 4 Wirkungsbereiche (Governance, Risk & Compliance; IT Security Architecture; Information Security Management; Information Security Audit), 14 Sicherheitsdienste (z.b. Kommunikationssicherheit), 43 Handlungsfelder (z.b. sicherer Datentransport) und rund 140 Sicherheitsanforderungen (sogenannte Controls) gegliedert ist. Abbildung 1: IO-ISMF Abbildung 2: IO-ISMF In Kombination mit einem an CobiT 4.1 ausgerichteten Reifegradmodell, das für die Umsetzung des Referenzkatalogs beziehungsweise die Durchsetzung von ausgewählten Sicherheitsmassnahmen drei Güteklassen definiert (Baseline, Advanced, Optimized Measures), erlaubt IO-ISMF die präzise Ausrichtung des firmen- und geschäftsspezifischen Sicherheitsdispositivs auf das angestrebte Sicherheitsniveau und stellt somit einen effizienten Ressourceneinsatz sicher. IO-ISMF umfasst neben dem allgemeinen Referenzkatalog die folgenden Untermodule: IO-ISMS: Methode zur Realisierung eines Information Security Management Systems (inkl. Sicherheitsorganisation) nach ISO/IEC IO-SA: Methode zur Realisierung einer Informationssicherheitsarchitektur auf der Grundlage von ISO/IEC (Common Criteria) und TOGAF V9 IO-ISCCP: Methode zur Realisierung eines Information Security Compliance & Controlling Programms (unter Verwendung von ISO/IEC und CRAMM) Die drei Module werden durch eine Reihe von Hilfsmitteln unterstützt: Risikotabellen Listen generischer Schutzobjekte und Bedrohungen Generische Weisungen und Standards (Policy Framework) Vorlagen zur Erstellung von Risiko-Grobanalysen und Sicherheitskonzepten Fragebogen und Checklisten (z.b. zur Überprüfung von Grundschutzvorgaben) Technische Werkzeuge (Toolboxes) für das Controlling (Security Probing, Hands-on-Testing, Tracking, Reporting) Seite 4 von 13

5 3 Grundzüge der Methodik IO-ISCCP 3.1 Referenz auf internationale Standards IO-ISCCP basiert auf der langjährigen Erfahrung der In&Out AG bei der Durchführung von Audits und orientiert sich an international angewandten Standards und Vorgehensweisen, insbesondere den folgenden: ISO (oft referenziert als Code of Practice (CoP), ehemals ISO/IEC 17799), Common Criteria for Information Technology Security Evaluation (ISO 15408). 3.2 Prüfablauf Der Ablauf eines typischen Audits im Rahmen von IO-ISCCP gliedert sich in: die systematische Identifikation schützenswerter Ziele, die Einschätzung des Risikos (d.h. mit welcher Wahrscheinlichkeit verursacht eine Gefahr ein Schadenereignis), die Definition von Gegenmassnahmen zur Begrenzung der festgestellten Risiken. 3.3 Arbeitsschritte Im Detail besteht ein typischer Audit aus den folgenden Arbeitsschritten: 1. Ermittlung der möglichen Bedrohungen anhand eines allgemeinen Gefahrenkatalogs, 2. Definition der Schutzobjekte auf der Grundlage des ISO Objektkatalogs (CoP Controls), 3. Ermittlung des Schadenspotentials jedes Schutzobjektes auf der Basis selektiver Prüfmodule 2 (z.b. einer Überprüfung der vorhandenen Projekt-Dokumentation, Interviews mit den verantwortlichen Personen, Durchführung technischer Sicherheitstests), 4. Einschätzung des Risikos, d.h. Quantifizierung der Tragweite und Quantifizierung der Eintretenswahrscheinlichkeit einer möglichen Schadenswirkung pro Schutzobjekt und Bedrohungskategorie, 5. Definition von spezifischen Gegenmassnahmen mit Gewichtung nach geschätztem Aufwand und Restrisiko bei erfolgter oder nicht erfolgter Umsetzung, 6. Grafische und textliche Darstellung der Resultate respektive, wenn angebracht, Sicherheitsrapportierung nach ISO Standardformaten. 2 Für mehr Informationen zu möglichen Prüfmodulen in Rahmen eines Audits siehe Kapitel 7. Seite 5 von 13

6 4 Aufbauorganisation 4.1 Auswahl des Prüfobjekts IO-ISCCP eignet sich nicht nur als Methodik zur Durchführung einzelner Audits, sondern ist als Programm konzipiert, mit dessen Hilfe auch regelmässige Überprüfungen über eine längere Zeitdauer durchgeführt werden können. Die Auswahl der Prüfobjekte (= Targets of Evaluation (ToE)) über einen definierten Zeitraum (in der Regel ein Jahr) ist dabei der erste Schritt beim Aufbau des Audit Programms und erfolgt durch einen Steuerungsausschuss der Auftraggeberin in Zusammenarbeit mit der In&Out AG. Die Auswahl orientiert sich an der IT System- und Anwendungsarchitektur der Auftraggeberin, soll aber bewusst offen gehalten werden, damit aktuelle, sicherheitskritische Ereignisse in die Ablaufplanung miteinbezogen werden können. Die pro Audit relevanten Objekte (Geschäftsdaten, Geschäftsprozesse, Arbeitsabläufe, unterstützende Applikationen, eingesetzte Plattformen) werden jeweils von den ausführenden Personen des Programms gemeinsam identifiziert. 4.2 Ausführende Rollen Am IO-ISCCP sind folgende ausführende Funktionsrollen beteiligt: Security Board: Gesamtleitung des Audit Programms und verantwortlich für die Auswahl der Prüfobjekte, die Jahresplanung und die Umsetzungskontrolle. Project Leader: Verantwortlich seitens Auftraggeberin für die Koordination der einzelnen Audits. Der Project Leader identifiziert die internen Ansprechpartner (z.b. Geschäftsprozessverantwortliche, Applikationsanwender, Systembetreuer), stellt wesentliche Dokumentationen bereit und veranlasst alles Nötige, damit die Prüfung durchgeführt werden kann. Team Leader: Der Team Leader ist verantwortlich für die Durchführung der eigentlichen Prüfung und die Verfassung des Prüfberichts. Dies beinhaltet insbesondere die Risikoanalyse und die Erstellung des Katalogs vorgeschlagener Massnahmen. Diese Rolle wird durch einen leitenden Mitarbeiter respektive zertifizierten Auditor der In&Out AG wahrgenommen. Reviewer: Der Reviewer ist eine Fachkraft der In&Out AG und je nach Aufgabestellung eines Audits spezialisiert auf die Durchführung der entsprechenden Tests. Der Reviewer befragt die internen Ansprechpartner, begutachtet Dokumentationen, führt technische Tests durch und verfasst die Prüfprotokolle. Seite 6 von 13

7 5 Prozess-Steuerung 5.1 Standardprozess Die folgende Abbildung gibt einen grafischen Überblick über den IO-ISCCP Standardprozess. Zeitachse Teilprozesse [Lead] Lieferobjekte 1 Auswahl des Prüfobjekts [Security Board] 2 Vorbereitung [Project leader] 3 Kick-off Meeting [Project leader] Maximal 10 Wochen 4 5 Schwachstellenanalyse (Team leader) Risikobeurteilung [Team leader] 6 Massnahmenempfehlung [Team leader] Bericht V0.9 7 Workshop [Project leader] Ev. Iterationen 8 Nachbearbeitung [Team leader] Bericht V1.0 9 Umsetzungskontrolle [Security Board] t Abbildung 3: Übersicht IO-ISCCP Standardprozess Seite 7 von 13

8 5.2 Teilprozesse Die Inhalte der einzelnen Teilprozesse sind aus folgender Aufstellung ersichtlich: Teilprozess Kurzbeschreibung 1. Auswahl der Prüfobjekte (ToE) Vgl. Kapitel Vorbereitung Vorbereitung des Kick-off Meetings 3. Kick-off Meeting Festlegung des Prüfumfangs und zeitliche Planung 4. Schwachstellenanalyse Vgl. Kapitel Risikobeurteilung Vgl. Kapitel Massnahmenempfehlung Vgl. Kapitel Workshop Festlegung der umzusetzenden, zurückgestellten, nicht umzusetzenden oder empfohlenen Gegenmassnahmen zur Begrenzung des festgestellten Risikos 8. Nachbearbeitung Erstellen des Schlussberichts (vgl. Kapitel 7) 9. Umsetzungskontrolle Umsetzungskontrolle gemäss Usanz der Sicherheitsorganisation der Auftraggeberin 5.3 Jahresplanung Die folgende Abbildung zeigt die mögliche Verteilung von zwölf Audits über den Zeitraum eines Jahres. Sie soll aufzeigen, dass die Prüfungen überlappend und von unterschiedlicher Dauer geplant und nach Bedürfnis über das ganze Jahr verteilt werden können. Aufgabenname Dauer Q1 06 Q2 06 Q3 06 Q Project 1 10w 2 Project 2 10w Project 3 Project 4 Project 5 Project 6 Project 7 Project 8 Short Project 1 10w 10w 10w 10w 10w 10w 6w 10 Short Project 2 11 Short Project 3 6w 6w 12 Short Project 4 6w Abbildung 4: Übersicht einer möglichen Jahresplanung Seite 8 von 13

9 6 Risikomanagement 6.1 Schwachstellenanalyse Die Schwachstellenanalyse ist die erste und gleichzeitig die arbeitsintensivste Aktivität nach dem Kick-off Meeting eines Audits. Ausgangspunkte der Schwachstellenanalyse sind die Identifikation und Abgrenzung der zu prüfenden Komponenten und die durch die übergeordnete Methodik (IO-ISMF) vorgegebenen Kataloge generischer Bedrohungen und Schutzobjekte. Die Schwachstellenanalyse dient der Ermittlung möglicher Schadenspotentiale der Schutzobjekte. Dies geschieht, je nach Audit, durch Überprüfung der vorhandenen Projekt-Dokumentation, anhand von Interviews mit den zuständigen Fachpersonen und anhand der Begleitung kritischer/wichtiger Arbeitsabläufe vor Ort. Ergänzend werden, falls angebracht, Service Applikationen und Systemplattformen sicherheitstechnischen Tests unterzogen. Die Geschäftsdaten und Geschäftsprozesse werden, falls die Ausrichtung des Audits dies erforderlich macht, durch zusätzliche Interviews mit Stellen im Business (insb. Daten-Verantwortliche, Geschäftsprozess-Verantwortliche) in die Prüfung einbezogen. 6.2 Risikobeurteilung Die während der Schwachstellenanalyse eruierten kritischen Sachverhalte werden anschliessend einer Risikobewertung unterzogen. Die Beurteilung der Risiken ist dabei in erster Linie an den Schutzanforderungen der betrachteten Geschäftsdaten ausgerichtet. Die Einschätzung des Risikos erfolgt durch Quantifizierung der Tragweite und Eintretenswahrscheinlichkeit einer möglichen Schadenswirkung pro Schutzobjekt und Bedrohung. Massgebend sind dabei die durch die IO-ISMF vorgegebenen Methoden und Risikobewertungstabellen, die sich an der ISO 2700x Reihe orientieren, es können aber auch standardisierte Risikomanagement-Methoden wie CRAMM, BSI, IRAM, SPRINT und andere eingesetzt oder die entsprechenden Methoden der Auftraggeberin zur Risikobeurteilung verwendet werden. Obwohl dies in der Praxis nicht allzu häufig vorkommt, können auch mehrere Schutzobjekte, Bedrohungen und Schwachstellen in einem Risiko-Szenario kombiniert werden. 6.3 ISO Compliance Kontrolle Analog zur Risikobewertung wird, falls von der Auftraggeberin gewünscht, im gleichen Schritt der Grad gemessen, mit welchem das von einem bestimmten Risiko betroffene ISO Control Objective mit den Anforderungen des ISO Standards übereinstimmt. Im Unterschied zu den Risiken, wo nur Potentiale bewertet werden, die mit einer Schwachstelle verbunden sind, werden in der ISO Compliance Kontrolle auch Schutzobjekte, die nicht mit einer Schwachstelle verbunden sind, und damit letztlich alle 39 im ISO Standard definierten Control Objectives auf ihren Compliance-Grad zum ISO Standard geprüft. Seite 9 von 13

10 6.4 Definition von Sicherheitsmassnahmen Auf Basis der Ergebnisse der Schwachstellenanalyse, der Risikobeurteilung und optional der ISO Compliance Kontrolle verfasst der Reviewer einen Katalog möglicher und aus seiner Sicht empfehlenswerter Sicherheitsmassnahmen. Für jede Massnahme wird dabei der Aufwand geschätzt und angegeben, wie hoch die verbleibenden Restrisiken sind, wenn die betroffene Massnahme korrekt umgesetzt bzw. nicht umgesetzt wird. Der Massnahmenkatalog dient als Vorgabe für die letzte Aktivität eines Audits vor der Fertigstellung des Prüfberichts, den Workshop, wo die Massnahmenempfehlungen der In&Out AG vom Sicherheitsmanagement der Auftraggeberin mit den Prüfern und mit den fachlichen und betrieblichen Vertretern des im Audit begutachteten Prüfobjekts diskutiert werden. Im Rahmen des Workshops entscheidet letztlich die Auftraggeberin, welche Gegenmassnahmen umzusetzen sind, bis wann dies geschehen muss und wer für die Umsetzung verantwortlich ist. Ebenfalls soll definiert werden, welche Massnahmen nicht umgesetzt oder zurückgestellt werden oder lediglich den Status einer empfohlenen Massnahme beibehalten; die letzteren Entscheide bedürfen jeweils einer Begründung. Seite 10 von 13

11 Basic security Identification and authentication Data protection Trusted communication Audit Resource utilization In&Out AG Information Security Compliance & Controlling Program (ISCCP) 7 Sicherheitsrapportierung 7.1 Grafische Profile Die Ergebnisse eines Audits werden in einem vertraulichen Prüfrapport in einer standardisierten Struktur dokumentiert, die von der Auftraggeberin gewünscht oder von der In&Out Methodik bereitgestellt wird. Folgt man der Sicherheitsrapportierung, die von IO-ISCCP bereitgestellt wird, werden die Resultate der ISO Compliance Kontrolle (siehe Kapitel 6.3) und der Risikobeurteilung (siehe Kapitel 6.2) für das Reporting grafisch dargestellt. Die Ergebnisse werden sowohl detailliert für alle 39 ISO Control Objectives als auch aggregiert für sechs generische Kategorien von Schutzobjekten ausgewiesen. 3 Beispiel-Grafiken Grade of compliance Grade of compliance (aggregated) compliant partly compliant (<90%) 100% 80% 60% 86% 50% 91% 77% 90% 83% not compliant (<60%) 40% 20% 0% 3 Für die Einstufung des Risikos auf aggregierter Ebene gilt: Ein einziges High Risk pro Kategorie auf der detaillierten Ebene führt zu einem High Risk auf der aggregierten Ebene. Werden ein Drittel oder mehr der bewerteten Control Objectives als Medium Risk klassifiziert, wird die zugehörige Kategorie auf aggregierter Ebene ebenfalls als Medium Risk klassifiziert. Für die Bewertung des Grade of compliance gilt: Wird ein Control Objective zu mindestens 90% erfüllt, gilt es als compliant. Ergebnisse zwischen 60% und 89% werden als partly compliant eingestuft. Ist der Erfüllungsgrad tiefer als 60%, wird das Prüfobjekt mit not compliant bewertet. Der Erfüllungsgrad auf aggregierter Ebene wird als Mittelwert der bewerteten Objectives auf der detaillierten Ebene berechnet. Seite 11 von 13

12 7.2 Standardformat des Prüfberichts Der Prüfbericht folgt, falls gewünscht, einem einheitlichen ISO Format, das in der folgenden Abbildung dargestellt wird. Kapitel Komponente Inhalt Management Summary Skizze des Prüfobjekts (ToE) Beschreibung bestehend aus Grafiken und Text Kontrollziel Erwartetes Verhalten Ergebnisse Massnahmen Grafiken Standard Kontrollziele und Einzelheiten Eine Beschreibung des erwarteten Qualitätsund Sicherheitsniveaus bzw. der erwarteten Sicherheitsfunktionalität Eine Beschreibung der Ergebnisse Eine Beschreibung von empfohlenen Sicherheitsmassnahmen Eine Sammlung von Grafiken, entsprechen den CISO Bedürfnissen Risikobericht Zusammenfassung Eine Tabelle mit Bedrohungsklassen und identifizierten Risiken dieser Klassen Schwachstellen Identifizierte Schwachstellen, mögliche Auswirkungen (Impacts), Schätzung der Eintrittswahrscheinlichkeit, Risikobewertung Umsetzung der Massnahmen Umgesetzte Massnahmen Eine Liste mit Massnahmen die umgesetzt werden einschliesslich der verantwortlichen Organisationseinheit und des vorgesehenen Umsetzungstermins Anhang: Einzelheiten des Prüfobjekts Nicht umgesetzte Massnahmen Weitere Empfehlungen Abbildung 5: Beispiel der Struktur der IO-ISCCP Prüfberichte Eine Liste der Massnahmen, die nicht umgesetzt werden einschliesslich einer entsprechenden Begründung Eine Liste von empfohlenen Massnahmen, deren Umsetzung noch nicht entschieden ist Eine Beschreibung des Prüfobjektes mit einem Fokus auf die untersuchten sicherheitsrelevanten Konzepte In der folgenden Tabelle sind die verschiedenen Prüfmodule und übergeordneten Testpakete erläutert. Test packets Test modules Test methods Test tools Procedural review Security review of the business case Prüfung der Geschäftsdaten-Sicherheit in Bezug auf Ownership, Governance und Datenklassifizierung Document review, interviews Questionnaire Security review of the service procedures Prüfung der Geschäftsdaten-Sicherheit in Bezug auf Daten- Inventarisierung und Archivierung, Nachvollziehbarkeit und Autorisierung der Zugriffe (Rollen und Rechte) Seite 12 von 13

13 Test packets Test modules Test methods Test tools Architectural review Security review of the business processes Prüfung der Geschäftsdaten-Sicherheit in Bezug auf ihre Gewährleistung durch die IT Infrastruktur Document review, interviews Questionnaire Security review of the IT services layer Prüfung der Anwendungs-Sicherheit in Bezug auf ihre Gewährleistung durch die IT Infrastruktur Security review of the IT infrastructure Prüfung der Sicherheit der IT Infrastruktur Application security assessment Security testing of a service application Prüfung einer Service Applikation auf Übereinstimmung mit der 10-Punkte-Checkliste (Top Ten) des Open Web Application Security Projects (OWASP) Hands on testing Penetration testing tools, test methodology Process review Security review of the use cases design Prüfung der Prozess-Sicherheit durch die Risikoanalyse kritischer und wichtiger Arbeitsabläufe Document review, interviews Checklist Security testing of the use cases implementation Prüfung der Prozess-Sicherheit durch die Begleitung kritischer und wichtiger Arbeitsabläufe vor Ort bei den Anwendern. Falls Kompensationskontrollen implementiert sind, werden diese dokumentiert. Hands on testing Review of the firewall rule set Security review of the firewall change process Prüfung der Firewall Sicherheit durch die Analyse der Firewall Change Requests Document review, interviews Checklist Security testing of the firewall rules Prüfung der Firewall Sicherheit durch die Kontrolle der Firewall Regeln vor Ort bei der Administration Hands on testing Compliance check Security testing of a system platform Prüfung einer Systemplattform auf Übereinstimmung mit den Base Line Security Standards der Anwender (korrektes Downstripping und Hardening) oder in Bezug zur im Sicherheitskonzept definierten Kommunikations-Matrix (vor Ort bei der Administration) Hands on testing Checklist Vulnerability scanning Security testing of the communication platform Prüfung der Netzwerksicherheit durch die automatisierte Suche nach Schwachstellen Hands on testing Scanning tools Abbildung 6: IO-ISCCP Testpakete und Testmodule Seite 13 von 13

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Sicherheit bei Internet- Kreditkartentransaktionen

Sicherheit bei Internet- Kreditkartentransaktionen Sicherheit bei Internet- Kreditkartentransaktionen MasterCard SDP / Visa AIS Randolf Skerka / Manuel Atug SRC Security Research & Consulting GmbH Bonn - Wiesbaden Übersicht Vorstellung SRC Vorstellung

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Risikobasierte Bewertung von Hilfsstoffen

Risikobasierte Bewertung von Hilfsstoffen Risikobasierte Bewertung von Hilfsstoffen Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an ICH Q9): Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN...

EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN... EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN... Feb. 2012 IT-SICHERHEITSARCHITEKTUR METHODIK Marcel Hausherr, Leiter Fachbereich Security Management Tomaso Vasella, Leiter Geschäftsbereich IT Security Feb.

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

Risikomanagement. Nationale / Internationale Methoden. Herbert.Leitold@a-sit.at. Zentrum für sichere Informationstechnologie - Austria

Risikomanagement. Nationale / Internationale Methoden. Herbert.Leitold@a-sit.at. Zentrum für sichere Informationstechnologie - Austria Risikomanagement Nationale / Internationale Methoden Herbert.Leitold@a-sit.at Zentrum für sichere Informationstechnologie - Austria Inhalte Einleitung Vorgaben des Rates zu klassifizierten Informationen

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

IBS - Smart Repair. Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung!

IBS - Smart Repair. Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung! IBS - Smart Repair Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung! Festpreis (Nach individueller Bedarfsanalyse) www.ibs-schreiber.de IBS

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Prüfung Netzwerk. Sicherheitslücken im IT-Verbund

Prüfung Netzwerk. Sicherheitslücken im IT-Verbund Prüfung Netzwerk Sicherheitslücken im IT-Verbund Prüfung Netzwerk Netzwerke Router und Switche stellen das Rückgrat jeder Kommunikation in Unternehmen dar. Diese werden bei Prüfungen oft vernachlässigt

Mehr

TOGAF The Open Group Architecture Framework

TOGAF The Open Group Architecture Framework TOGAF The Open Group Architecture Ein Überblick Gesellschaft für Informatik, Regionalgruppe München Dr. Michael Bulenda München, 7.12.2009 Vorstellung Dr. M. Bulenda Seit 2001 bei Cirquent IT Management

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Risiko- und Compliancemanagement mit

Risiko- und Compliancemanagement mit Risiko- und Compliancemanagement mit avedos a Mag. Samuel Brandstaetter Geschäftsführer, CEO avedos business solutions gmbh Mobil: +43 664 21 55 405 samuel.brandstaetter@avedos.com avedos - Zielsetzung

Mehr

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014 ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

ITSM (BOX & CONSULTING) Christian Hager, MSc

ITSM (BOX & CONSULTING) Christian Hager, MSc ITSM (BOX & CONSULTING) Christian Hager, MSc INHALT Ausgangssituation ITSM Consulting ITSM Box Zentrales Anforderungsmanagement Beispielhafter Zeitplan Nutzen von ITSM Projekten mit R-IT Zusammenfassung

Mehr

Risikooptimierung durch Einhaltung von Standards und Zertifizierung

Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rolf H. Weber Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rechtliche Aspekte der Inkorporierung privater Normenkomplexe in unternehmerische Abläufe Übersicht 1.ICT-Konzept 2.Bedeutung

Mehr

Vulnerability Management

Vulnerability Management Quelle. fotolia Vulnerability Management The early bird catches the worm Dipl.-Ing. Lukas Memelauer, BSc lukas.memelauer@calpana.com calpana business consulting gmbh Blumauerstraße 43, 4020 Linz 1 Agenda

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1 IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter 2003 KPMG Information Risk Management 1 Grundvoraussetzungen Grundsätzlich sollten alle Prüfer, die IT im Rahmen von Jahresabschlussprüfungen prüfen

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

IT Governance im Zusammenspiel mit IT Audit

IT Governance im Zusammenspiel mit IT Audit IT Governance im Zusammenspiel mit IT Audit ISACA After Hours Seminar Nicola Varuolo, Internal Audit AXA AXA Gruppe 52 Millionen Kunden weltweit 79 Milliarden Euro Geschäftsvolumen 150 000 Mitarbeitende

Mehr

Bewertung. Vorgespräch. Interne Vorbereitung. Zertifizierungsaudit. Wiederholungsaudit. Überwachungsaudit

Bewertung. Vorgespräch. Interne Vorbereitung. Zertifizierungsaudit. Wiederholungsaudit. Überwachungsaudit Bewertung,62=HUWLIL]LHUXQJ Vorgespräch Interne Vorbereitung 0RQDWH Zertifizierungsaudit Wiederholungsaudit DOOH-DKUH Überwachungsaudit MlKUOLFK Wenn eine Organisation ein,62ãã=huwlilndw anstrebt, so muss

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"!

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt Compliance von Geschäftsprozessen! von 22 10.07.2014 12:25 Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"! Bitte füllen Sie den Fragebogen in einem Durchgang aus, da ein Zwischenspeichern

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Compliance Risk Assessment

Compliance Risk Assessment Compliance Risk Assessment Compliance Officer Lehrgang Modul 2 DDr. Alexander Petsche 22. September 2015 Compliance Management-Prozess Planning/Risk Assessment, Organization, Personnel Certification Awareness

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Wesentliche Änderungen Anwendung der High Level Structure 10 Kapitel Verstärkte Anforderungen an die oberste

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Methodische Unterstützung der Unternehmens-IT mitcobitjtil&co Mit einem Praxisbericht von Markus Böhm 2., aktualisierte und erweiterte

Mehr

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel Datum des LAV-Beschlusses: 05.11.2012 Seite 1 von 9 Inhalt 1 Zweck, Ziel... 1 2 Geltungsbereich... 2 3 Begriffe, Definitionen... 2 4 Verfahren... 2 4.1 Planung der Audits... 5 4.2 Vorbereitung des Audits...

Mehr

Firewall-Management im Rahmen einer Prozessorganisation

Firewall-Management im Rahmen einer Prozessorganisation Firewall-Management im Rahmen einer Prozessorganisation Dissertation zur Erlangung des akademischen Grades des Doktors der Naturwissenschaften am Fachbereich IV der Universität Trier vorgelegt von Diplom-Wirtschaftsinformatiker

Mehr

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June Software EMEA Performance Tour 2013 Berlin, Germany 17-19 June Change & Config Management in der Praxis Daniel Barbi, Solution Architect 18.06.2013 Einführung Einführung Wer bin ich? Daniel Barbi Seit

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert

Mehr

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Mobile IT-Infrastrukturen in Unternehmen sicher und erfolgreich managen Kurzbeschreibung Mobilität der

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Implementierung sicher und schnell

Implementierung sicher und schnell im Überblick SAP Services SAP Business One SAP Accelerated Implementation Program Herausforderungen Implementierung sicher und schnell Mit Methode sicher zum Ziel Mit Methode sicher zum Ziel Ihr Unternehmen

Mehr

Inhaltsübersicht. 1 Einleitung 1. 2 Einführung und Grundlagen 7. 3 Das CoBiT-Referenzmodell 41. 4 Das Val-IT-Referenzmodell 143

Inhaltsübersicht. 1 Einleitung 1. 2 Einführung und Grundlagen 7. 3 Das CoBiT-Referenzmodell 41. 4 Das Val-IT-Referenzmodell 143 xiil Inhaltsübersicht 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT 7 2.2 Trends und Treiber 8 2.3 Geschäftsarchitektur für IT-Governance 20 2.4 IT-Governance: Begriff und Aufgaben

Mehr

der Informationssicherheit

der Informationssicherheit Alexander Wagner Prozessorientierte Gestaltung der Informationssicherheit im Krankenhaus Konzeptionierung und Implementierung einer prozessorientierten Methode zur Unterstützung der Risikoanalyse Verlag

Mehr

IT-Sicherheit mit System

IT-Sicherheit mit System Klaus-Rainer Müller IT-Sicherheit mit System Sicherheitspyramide und Vorgehensmodelle - Sicherheitsprozess und Katastrophenvorsorge - Die 10 Schritte zum Sicherheitsmanagement Mit 26 Abbildungen vieweg

Mehr

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening."

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening. Sicherheit Absolute Sicherheit in der Datenverarbeitung gibt es nicht; K+P kann die Sicherheit jedoch durch geeignete Maßnahmen entscheidend verbessern! Chancen und Risiken The risk of good things not

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

QI SERVICES. QI RISK.

QI SERVICES. QI RISK. QI SERVICES. QI RISK. 3/7/2014 1 Agenda QI Services Qi Risk Rechtliches Umfeld QI Risk Audit Auf einen Blick Ihr Nutzen Risk Scan 3/7/2014 2 QI Services Mit der Produktgruppe QI Services unterstützen wir

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

PKI-Forum Schweiz, 15. Mai 2002. Erfahrungsbericht über den Aufbau der PKI der

PKI-Forum Schweiz, 15. Mai 2002. Erfahrungsbericht über den Aufbau der PKI der PKI-Forum Schweiz, 15. Mai 2002 Erfahrungsbericht über den Aufbau der PKI der 2002 by Agenda Über diesen Vortrag Vorstellung der Applikationen Anforderungen an die PKI Herausforderungen Phasen und Resultate

Mehr

Process Management Office. Process Management Office as a Service

Process Management Office. Process Management Office as a Service Process Management Office Process Management Office as a Service Mit ProcMO unterstützen IT-Services die Business- Anforderungen qualitativ hochwertig und effizient Um Geschäftsprozesse erfolgreich zu

Mehr

Entwurf. Anwendungsbeginn E DIN EN 62304 (VDE 0750-101):2013-10. Anwendungsbeginn dieser Norm ist...

Entwurf. Anwendungsbeginn E DIN EN 62304 (VDE 0750-101):2013-10. Anwendungsbeginn dieser Norm ist... Anwendungsbeginn Anwendungsbeginn dieser Norm ist.... Inhalt Einführung... 13 1 Anwendungsbereich... 16 1.1 *Zweck... 16 1.2 *Anwendungsbereich... 16 1.3 Beziehung zu anderen Normen... 16 1.4 Einhaltung...

Mehr

Geschäftsmann 2.0 http://www.geschaeftsmann20.com

Geschäftsmann 2.0 http://www.geschaeftsmann20.com Geschäftsmann 2.0 http://www.geschaeftsmann20.com Inhaltsverzeichnis 1 Projektbeschreibung... 2 2 Szenario mit Phasen und Meilensteinen... 2 3 Organisation... 2 4 Projektergebnisstrukturplan... 2 5 Szenario

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Service Innovation Lab. Prozessoptimierung für Dienstleistungen

Service Innovation Lab. Prozessoptimierung für Dienstleistungen Service Innovation Lab Prozessoptimierung für Dienstleistungen 2 Dienstleistungsprozesse im Unternehmen Ein reibungsloser Ablauf der unternehmensinternen Prozesse ist die Basis des wirtschaftlichen Erfolgs

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Process Management Office Process Management as a Service

Process Management Office Process Management as a Service Process Management Office Process Management as a Service Unsere Kunden bringen ihre Prozesse mit Hilfe von ProcMO so zur Wirkung, dass ihre IT- Services die Business-Anforderungen schnell, qualitativ

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Security Governance - Juli 2015 Agenda 1 2 3 Herausforderungen Unser Angebot Ihr Nutzen 2 Information Security Governance muss vielen Herausforderungen begegnen

Mehr