IN&OUT AG INFORMATION SECURITY COMPLIANCE & CONTROLLING PROGRAM (ISCCP)

Größe: px
Ab Seite anzeigen:

Download "IN&OUT AG INFORMATION SECURITY COMPLIANCE & CONTROLLING PROGRAM (ISCCP)"

Transkript

1 IN&OUT AG INFORMATION SECURITY COMPLIANCE & CONTROLLING PROGRAM (ISCCP) In&Out AG IT Consulting & Engineering Kilchbergsteig 13, CH-8038 Zürich, Phone Fax

2 Inhalt Inhalt Kurzdarstellung (Abstract) Information Security Methodology Framework Grundzüge der Methodik IO-ISCCP Referenz auf internationale Standards Prüfablauf Arbeitsschritte Aufbauorganisation Auswahl des Prüfobjekts Ausführende Rollen Prozess-Steuerung Standardprozess Teilprozesse Jahresplanung Risikomanagement Schwachstellenanalyse Risikobeurteilung ISO Compliance Kontrolle Definition von Sicherheitsmassnahmen Sicherheitsrapportierung Grafische Profile Standardformat des Prüfberichts...12 Seite 2 von 13

3 1 Kurzdarstellung (Abstract) Das In&Out Information Security Compliance & Controlling Program (IO-ISCCP) ist Bestandteil von IO-ISMF (siehe Fussnote 1 ) und beschreibt eine Methodik zur regelmässigen, koordinierten und dokumentierten Durchführung von Sicherheitsreviews, Risikobeurteilungen und Audits. IO-ISCCP wird im vorliegenden Dokument ausführlich erläutert und eingeführt. Dokumentiert werden zuerst die Grundzüge der Methodik und danach deren Ablauf mit Aufbauorganisation, Prozessteuerung, Risikomanagement und Sicherheitsrapportierung. Zum Abschluss wird eine mögliche Auswahl von Prüfmodulen (Testpaketen) vorgestellt. 1 Das In&Out Information Security Methodology Framework (IO-ISMF) ist eine übergeordnete Methodik zu Definition, Aufbau und Durchsetzung des Informationssicherheitsprozesses. Seite 3 von 13

4 2 Information Security Methodology Framework Das In&Out Information Security Methodology Framework (IO-ISMF) ist ein übergeordnetes Methodengerüst zu Definition, Aufbau und Durchsetzung des Informationssicherheitsprozesses. IO-ISMF besteht in seinem Kern aus einem vierstufigen Referenzkatalog, welcher in 4 Wirkungsbereiche (Governance, Risk & Compliance; IT Security Architecture; Information Security Management; Information Security Audit), 14 Sicherheitsdienste (z.b. Kommunikationssicherheit), 43 Handlungsfelder (z.b. sicherer Datentransport) und rund 140 Sicherheitsanforderungen (sogenannte Controls) gegliedert ist. Abbildung 1: IO-ISMF Abbildung 2: IO-ISMF In Kombination mit einem an CobiT 4.1 ausgerichteten Reifegradmodell, das für die Umsetzung des Referenzkatalogs beziehungsweise die Durchsetzung von ausgewählten Sicherheitsmassnahmen drei Güteklassen definiert (Baseline, Advanced, Optimized Measures), erlaubt IO-ISMF die präzise Ausrichtung des firmen- und geschäftsspezifischen Sicherheitsdispositivs auf das angestrebte Sicherheitsniveau und stellt somit einen effizienten Ressourceneinsatz sicher. IO-ISMF umfasst neben dem allgemeinen Referenzkatalog die folgenden Untermodule: IO-ISMS: Methode zur Realisierung eines Information Security Management Systems (inkl. Sicherheitsorganisation) nach ISO/IEC IO-SA: Methode zur Realisierung einer Informationssicherheitsarchitektur auf der Grundlage von ISO/IEC (Common Criteria) und TOGAF V9 IO-ISCCP: Methode zur Realisierung eines Information Security Compliance & Controlling Programms (unter Verwendung von ISO/IEC und CRAMM) Die drei Module werden durch eine Reihe von Hilfsmitteln unterstützt: Risikotabellen Listen generischer Schutzobjekte und Bedrohungen Generische Weisungen und Standards (Policy Framework) Vorlagen zur Erstellung von Risiko-Grobanalysen und Sicherheitskonzepten Fragebogen und Checklisten (z.b. zur Überprüfung von Grundschutzvorgaben) Technische Werkzeuge (Toolboxes) für das Controlling (Security Probing, Hands-on-Testing, Tracking, Reporting) Seite 4 von 13

5 3 Grundzüge der Methodik IO-ISCCP 3.1 Referenz auf internationale Standards IO-ISCCP basiert auf der langjährigen Erfahrung der In&Out AG bei der Durchführung von Audits und orientiert sich an international angewandten Standards und Vorgehensweisen, insbesondere den folgenden: ISO (oft referenziert als Code of Practice (CoP), ehemals ISO/IEC 17799), Common Criteria for Information Technology Security Evaluation (ISO 15408). 3.2 Prüfablauf Der Ablauf eines typischen Audits im Rahmen von IO-ISCCP gliedert sich in: die systematische Identifikation schützenswerter Ziele, die Einschätzung des Risikos (d.h. mit welcher Wahrscheinlichkeit verursacht eine Gefahr ein Schadenereignis), die Definition von Gegenmassnahmen zur Begrenzung der festgestellten Risiken. 3.3 Arbeitsschritte Im Detail besteht ein typischer Audit aus den folgenden Arbeitsschritten: 1. Ermittlung der möglichen Bedrohungen anhand eines allgemeinen Gefahrenkatalogs, 2. Definition der Schutzobjekte auf der Grundlage des ISO Objektkatalogs (CoP Controls), 3. Ermittlung des Schadenspotentials jedes Schutzobjektes auf der Basis selektiver Prüfmodule 2 (z.b. einer Überprüfung der vorhandenen Projekt-Dokumentation, Interviews mit den verantwortlichen Personen, Durchführung technischer Sicherheitstests), 4. Einschätzung des Risikos, d.h. Quantifizierung der Tragweite und Quantifizierung der Eintretenswahrscheinlichkeit einer möglichen Schadenswirkung pro Schutzobjekt und Bedrohungskategorie, 5. Definition von spezifischen Gegenmassnahmen mit Gewichtung nach geschätztem Aufwand und Restrisiko bei erfolgter oder nicht erfolgter Umsetzung, 6. Grafische und textliche Darstellung der Resultate respektive, wenn angebracht, Sicherheitsrapportierung nach ISO Standardformaten. 2 Für mehr Informationen zu möglichen Prüfmodulen in Rahmen eines Audits siehe Kapitel 7. Seite 5 von 13

6 4 Aufbauorganisation 4.1 Auswahl des Prüfobjekts IO-ISCCP eignet sich nicht nur als Methodik zur Durchführung einzelner Audits, sondern ist als Programm konzipiert, mit dessen Hilfe auch regelmässige Überprüfungen über eine längere Zeitdauer durchgeführt werden können. Die Auswahl der Prüfobjekte (= Targets of Evaluation (ToE)) über einen definierten Zeitraum (in der Regel ein Jahr) ist dabei der erste Schritt beim Aufbau des Audit Programms und erfolgt durch einen Steuerungsausschuss der Auftraggeberin in Zusammenarbeit mit der In&Out AG. Die Auswahl orientiert sich an der IT System- und Anwendungsarchitektur der Auftraggeberin, soll aber bewusst offen gehalten werden, damit aktuelle, sicherheitskritische Ereignisse in die Ablaufplanung miteinbezogen werden können. Die pro Audit relevanten Objekte (Geschäftsdaten, Geschäftsprozesse, Arbeitsabläufe, unterstützende Applikationen, eingesetzte Plattformen) werden jeweils von den ausführenden Personen des Programms gemeinsam identifiziert. 4.2 Ausführende Rollen Am IO-ISCCP sind folgende ausführende Funktionsrollen beteiligt: Security Board: Gesamtleitung des Audit Programms und verantwortlich für die Auswahl der Prüfobjekte, die Jahresplanung und die Umsetzungskontrolle. Project Leader: Verantwortlich seitens Auftraggeberin für die Koordination der einzelnen Audits. Der Project Leader identifiziert die internen Ansprechpartner (z.b. Geschäftsprozessverantwortliche, Applikationsanwender, Systembetreuer), stellt wesentliche Dokumentationen bereit und veranlasst alles Nötige, damit die Prüfung durchgeführt werden kann. Team Leader: Der Team Leader ist verantwortlich für die Durchführung der eigentlichen Prüfung und die Verfassung des Prüfberichts. Dies beinhaltet insbesondere die Risikoanalyse und die Erstellung des Katalogs vorgeschlagener Massnahmen. Diese Rolle wird durch einen leitenden Mitarbeiter respektive zertifizierten Auditor der In&Out AG wahrgenommen. Reviewer: Der Reviewer ist eine Fachkraft der In&Out AG und je nach Aufgabestellung eines Audits spezialisiert auf die Durchführung der entsprechenden Tests. Der Reviewer befragt die internen Ansprechpartner, begutachtet Dokumentationen, führt technische Tests durch und verfasst die Prüfprotokolle. Seite 6 von 13

7 5 Prozess-Steuerung 5.1 Standardprozess Die folgende Abbildung gibt einen grafischen Überblick über den IO-ISCCP Standardprozess. Zeitachse Teilprozesse [Lead] Lieferobjekte 1 Auswahl des Prüfobjekts [Security Board] 2 Vorbereitung [Project leader] 3 Kick-off Meeting [Project leader] Maximal 10 Wochen 4 5 Schwachstellenanalyse (Team leader) Risikobeurteilung [Team leader] 6 Massnahmenempfehlung [Team leader] Bericht V0.9 7 Workshop [Project leader] Ev. Iterationen 8 Nachbearbeitung [Team leader] Bericht V1.0 9 Umsetzungskontrolle [Security Board] t Abbildung 3: Übersicht IO-ISCCP Standardprozess Seite 7 von 13

8 5.2 Teilprozesse Die Inhalte der einzelnen Teilprozesse sind aus folgender Aufstellung ersichtlich: Teilprozess Kurzbeschreibung 1. Auswahl der Prüfobjekte (ToE) Vgl. Kapitel Vorbereitung Vorbereitung des Kick-off Meetings 3. Kick-off Meeting Festlegung des Prüfumfangs und zeitliche Planung 4. Schwachstellenanalyse Vgl. Kapitel Risikobeurteilung Vgl. Kapitel Massnahmenempfehlung Vgl. Kapitel Workshop Festlegung der umzusetzenden, zurückgestellten, nicht umzusetzenden oder empfohlenen Gegenmassnahmen zur Begrenzung des festgestellten Risikos 8. Nachbearbeitung Erstellen des Schlussberichts (vgl. Kapitel 7) 9. Umsetzungskontrolle Umsetzungskontrolle gemäss Usanz der Sicherheitsorganisation der Auftraggeberin 5.3 Jahresplanung Die folgende Abbildung zeigt die mögliche Verteilung von zwölf Audits über den Zeitraum eines Jahres. Sie soll aufzeigen, dass die Prüfungen überlappend und von unterschiedlicher Dauer geplant und nach Bedürfnis über das ganze Jahr verteilt werden können. Aufgabenname Dauer Q1 06 Q2 06 Q3 06 Q Project 1 10w 2 Project 2 10w Project 3 Project 4 Project 5 Project 6 Project 7 Project 8 Short Project 1 10w 10w 10w 10w 10w 10w 6w 10 Short Project 2 11 Short Project 3 6w 6w 12 Short Project 4 6w Abbildung 4: Übersicht einer möglichen Jahresplanung Seite 8 von 13

9 6 Risikomanagement 6.1 Schwachstellenanalyse Die Schwachstellenanalyse ist die erste und gleichzeitig die arbeitsintensivste Aktivität nach dem Kick-off Meeting eines Audits. Ausgangspunkte der Schwachstellenanalyse sind die Identifikation und Abgrenzung der zu prüfenden Komponenten und die durch die übergeordnete Methodik (IO-ISMF) vorgegebenen Kataloge generischer Bedrohungen und Schutzobjekte. Die Schwachstellenanalyse dient der Ermittlung möglicher Schadenspotentiale der Schutzobjekte. Dies geschieht, je nach Audit, durch Überprüfung der vorhandenen Projekt-Dokumentation, anhand von Interviews mit den zuständigen Fachpersonen und anhand der Begleitung kritischer/wichtiger Arbeitsabläufe vor Ort. Ergänzend werden, falls angebracht, Service Applikationen und Systemplattformen sicherheitstechnischen Tests unterzogen. Die Geschäftsdaten und Geschäftsprozesse werden, falls die Ausrichtung des Audits dies erforderlich macht, durch zusätzliche Interviews mit Stellen im Business (insb. Daten-Verantwortliche, Geschäftsprozess-Verantwortliche) in die Prüfung einbezogen. 6.2 Risikobeurteilung Die während der Schwachstellenanalyse eruierten kritischen Sachverhalte werden anschliessend einer Risikobewertung unterzogen. Die Beurteilung der Risiken ist dabei in erster Linie an den Schutzanforderungen der betrachteten Geschäftsdaten ausgerichtet. Die Einschätzung des Risikos erfolgt durch Quantifizierung der Tragweite und Eintretenswahrscheinlichkeit einer möglichen Schadenswirkung pro Schutzobjekt und Bedrohung. Massgebend sind dabei die durch die IO-ISMF vorgegebenen Methoden und Risikobewertungstabellen, die sich an der ISO 2700x Reihe orientieren, es können aber auch standardisierte Risikomanagement-Methoden wie CRAMM, BSI, IRAM, SPRINT und andere eingesetzt oder die entsprechenden Methoden der Auftraggeberin zur Risikobeurteilung verwendet werden. Obwohl dies in der Praxis nicht allzu häufig vorkommt, können auch mehrere Schutzobjekte, Bedrohungen und Schwachstellen in einem Risiko-Szenario kombiniert werden. 6.3 ISO Compliance Kontrolle Analog zur Risikobewertung wird, falls von der Auftraggeberin gewünscht, im gleichen Schritt der Grad gemessen, mit welchem das von einem bestimmten Risiko betroffene ISO Control Objective mit den Anforderungen des ISO Standards übereinstimmt. Im Unterschied zu den Risiken, wo nur Potentiale bewertet werden, die mit einer Schwachstelle verbunden sind, werden in der ISO Compliance Kontrolle auch Schutzobjekte, die nicht mit einer Schwachstelle verbunden sind, und damit letztlich alle 39 im ISO Standard definierten Control Objectives auf ihren Compliance-Grad zum ISO Standard geprüft. Seite 9 von 13

10 6.4 Definition von Sicherheitsmassnahmen Auf Basis der Ergebnisse der Schwachstellenanalyse, der Risikobeurteilung und optional der ISO Compliance Kontrolle verfasst der Reviewer einen Katalog möglicher und aus seiner Sicht empfehlenswerter Sicherheitsmassnahmen. Für jede Massnahme wird dabei der Aufwand geschätzt und angegeben, wie hoch die verbleibenden Restrisiken sind, wenn die betroffene Massnahme korrekt umgesetzt bzw. nicht umgesetzt wird. Der Massnahmenkatalog dient als Vorgabe für die letzte Aktivität eines Audits vor der Fertigstellung des Prüfberichts, den Workshop, wo die Massnahmenempfehlungen der In&Out AG vom Sicherheitsmanagement der Auftraggeberin mit den Prüfern und mit den fachlichen und betrieblichen Vertretern des im Audit begutachteten Prüfobjekts diskutiert werden. Im Rahmen des Workshops entscheidet letztlich die Auftraggeberin, welche Gegenmassnahmen umzusetzen sind, bis wann dies geschehen muss und wer für die Umsetzung verantwortlich ist. Ebenfalls soll definiert werden, welche Massnahmen nicht umgesetzt oder zurückgestellt werden oder lediglich den Status einer empfohlenen Massnahme beibehalten; die letzteren Entscheide bedürfen jeweils einer Begründung. Seite 10 von 13

11 Basic security Identification and authentication Data protection Trusted communication Audit Resource utilization In&Out AG Information Security Compliance & Controlling Program (ISCCP) 7 Sicherheitsrapportierung 7.1 Grafische Profile Die Ergebnisse eines Audits werden in einem vertraulichen Prüfrapport in einer standardisierten Struktur dokumentiert, die von der Auftraggeberin gewünscht oder von der In&Out Methodik bereitgestellt wird. Folgt man der Sicherheitsrapportierung, die von IO-ISCCP bereitgestellt wird, werden die Resultate der ISO Compliance Kontrolle (siehe Kapitel 6.3) und der Risikobeurteilung (siehe Kapitel 6.2) für das Reporting grafisch dargestellt. Die Ergebnisse werden sowohl detailliert für alle 39 ISO Control Objectives als auch aggregiert für sechs generische Kategorien von Schutzobjekten ausgewiesen. 3 Beispiel-Grafiken Grade of compliance Grade of compliance (aggregated) compliant partly compliant (<90%) 100% 80% 60% 86% 50% 91% 77% 90% 83% not compliant (<60%) 40% 20% 0% 3 Für die Einstufung des Risikos auf aggregierter Ebene gilt: Ein einziges High Risk pro Kategorie auf der detaillierten Ebene führt zu einem High Risk auf der aggregierten Ebene. Werden ein Drittel oder mehr der bewerteten Control Objectives als Medium Risk klassifiziert, wird die zugehörige Kategorie auf aggregierter Ebene ebenfalls als Medium Risk klassifiziert. Für die Bewertung des Grade of compliance gilt: Wird ein Control Objective zu mindestens 90% erfüllt, gilt es als compliant. Ergebnisse zwischen 60% und 89% werden als partly compliant eingestuft. Ist der Erfüllungsgrad tiefer als 60%, wird das Prüfobjekt mit not compliant bewertet. Der Erfüllungsgrad auf aggregierter Ebene wird als Mittelwert der bewerteten Objectives auf der detaillierten Ebene berechnet. Seite 11 von 13

12 7.2 Standardformat des Prüfberichts Der Prüfbericht folgt, falls gewünscht, einem einheitlichen ISO Format, das in der folgenden Abbildung dargestellt wird. Kapitel Komponente Inhalt Management Summary Skizze des Prüfobjekts (ToE) Beschreibung bestehend aus Grafiken und Text Kontrollziel Erwartetes Verhalten Ergebnisse Massnahmen Grafiken Standard Kontrollziele und Einzelheiten Eine Beschreibung des erwarteten Qualitätsund Sicherheitsniveaus bzw. der erwarteten Sicherheitsfunktionalität Eine Beschreibung der Ergebnisse Eine Beschreibung von empfohlenen Sicherheitsmassnahmen Eine Sammlung von Grafiken, entsprechen den CISO Bedürfnissen Risikobericht Zusammenfassung Eine Tabelle mit Bedrohungsklassen und identifizierten Risiken dieser Klassen Schwachstellen Identifizierte Schwachstellen, mögliche Auswirkungen (Impacts), Schätzung der Eintrittswahrscheinlichkeit, Risikobewertung Umsetzung der Massnahmen Umgesetzte Massnahmen Eine Liste mit Massnahmen die umgesetzt werden einschliesslich der verantwortlichen Organisationseinheit und des vorgesehenen Umsetzungstermins Anhang: Einzelheiten des Prüfobjekts Nicht umgesetzte Massnahmen Weitere Empfehlungen Abbildung 5: Beispiel der Struktur der IO-ISCCP Prüfberichte Eine Liste der Massnahmen, die nicht umgesetzt werden einschliesslich einer entsprechenden Begründung Eine Liste von empfohlenen Massnahmen, deren Umsetzung noch nicht entschieden ist Eine Beschreibung des Prüfobjektes mit einem Fokus auf die untersuchten sicherheitsrelevanten Konzepte In der folgenden Tabelle sind die verschiedenen Prüfmodule und übergeordneten Testpakete erläutert. Test packets Test modules Test methods Test tools Procedural review Security review of the business case Prüfung der Geschäftsdaten-Sicherheit in Bezug auf Ownership, Governance und Datenklassifizierung Document review, interviews Questionnaire Security review of the service procedures Prüfung der Geschäftsdaten-Sicherheit in Bezug auf Daten- Inventarisierung und Archivierung, Nachvollziehbarkeit und Autorisierung der Zugriffe (Rollen und Rechte) Seite 12 von 13

13 Test packets Test modules Test methods Test tools Architectural review Security review of the business processes Prüfung der Geschäftsdaten-Sicherheit in Bezug auf ihre Gewährleistung durch die IT Infrastruktur Document review, interviews Questionnaire Security review of the IT services layer Prüfung der Anwendungs-Sicherheit in Bezug auf ihre Gewährleistung durch die IT Infrastruktur Security review of the IT infrastructure Prüfung der Sicherheit der IT Infrastruktur Application security assessment Security testing of a service application Prüfung einer Service Applikation auf Übereinstimmung mit der 10-Punkte-Checkliste (Top Ten) des Open Web Application Security Projects (OWASP) Hands on testing Penetration testing tools, test methodology Process review Security review of the use cases design Prüfung der Prozess-Sicherheit durch die Risikoanalyse kritischer und wichtiger Arbeitsabläufe Document review, interviews Checklist Security testing of the use cases implementation Prüfung der Prozess-Sicherheit durch die Begleitung kritischer und wichtiger Arbeitsabläufe vor Ort bei den Anwendern. Falls Kompensationskontrollen implementiert sind, werden diese dokumentiert. Hands on testing Review of the firewall rule set Security review of the firewall change process Prüfung der Firewall Sicherheit durch die Analyse der Firewall Change Requests Document review, interviews Checklist Security testing of the firewall rules Prüfung der Firewall Sicherheit durch die Kontrolle der Firewall Regeln vor Ort bei der Administration Hands on testing Compliance check Security testing of a system platform Prüfung einer Systemplattform auf Übereinstimmung mit den Base Line Security Standards der Anwender (korrektes Downstripping und Hardening) oder in Bezug zur im Sicherheitskonzept definierten Kommunikations-Matrix (vor Ort bei der Administration) Hands on testing Checklist Vulnerability scanning Security testing of the communication platform Prüfung der Netzwerksicherheit durch die automatisierte Suche nach Schwachstellen Hands on testing Scanning tools Abbildung 6: IO-ISCCP Testpakete und Testmodule Seite 13 von 13

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Sicherheit bei Internet- Kreditkartentransaktionen

Sicherheit bei Internet- Kreditkartentransaktionen Sicherheit bei Internet- Kreditkartentransaktionen MasterCard SDP / Visa AIS Randolf Skerka / Manuel Atug SRC Security Research & Consulting GmbH Bonn - Wiesbaden Übersicht Vorstellung SRC Vorstellung

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Risikobasierte Bewertung von Hilfsstoffen

Risikobasierte Bewertung von Hilfsstoffen Risikobasierte Bewertung von Hilfsstoffen Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an ICH Q9): Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN...

EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN... EFFIZIENTE UND SICHERE IT-INFRASTRUKTUREN... Feb. 2012 IT-SICHERHEITSARCHITEKTUR METHODIK Marcel Hausherr, Leiter Fachbereich Security Management Tomaso Vasella, Leiter Geschäftsbereich IT Security Feb.

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014 ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Risikomanagement. Nationale / Internationale Methoden. Herbert.Leitold@a-sit.at. Zentrum für sichere Informationstechnologie - Austria

Risikomanagement. Nationale / Internationale Methoden. Herbert.Leitold@a-sit.at. Zentrum für sichere Informationstechnologie - Austria Risikomanagement Nationale / Internationale Methoden Herbert.Leitold@a-sit.at Zentrum für sichere Informationstechnologie - Austria Inhalte Einleitung Vorgaben des Rates zu klassifizierten Informationen

Mehr

Risikooptimierung durch Einhaltung von Standards und Zertifizierung

Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rolf H. Weber Risikooptimierung durch Einhaltung von Standards und Zertifizierung Rechtliche Aspekte der Inkorporierung privater Normenkomplexe in unternehmerische Abläufe Übersicht 1.ICT-Konzept 2.Bedeutung

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

ITSM (BOX & CONSULTING) Christian Hager, MSc

ITSM (BOX & CONSULTING) Christian Hager, MSc ITSM (BOX & CONSULTING) Christian Hager, MSc INHALT Ausgangssituation ITSM Consulting ITSM Box Zentrales Anforderungsmanagement Beispielhafter Zeitplan Nutzen von ITSM Projekten mit R-IT Zusammenfassung

Mehr

Vulnerability Management

Vulnerability Management Quelle. fotolia Vulnerability Management The early bird catches the worm Dipl.-Ing. Lukas Memelauer, BSc lukas.memelauer@calpana.com calpana business consulting gmbh Blumauerstraße 43, 4020 Linz 1 Agenda

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann

There is no security on this earth. Na und? General Douglas MacArthur. Alfred E. Neumann There is no security on this earth. Na und? General Douglas MacArthur Alfred E. Neumann Anwendungen verursachen Unsicherheit Ca. ¾ aller Schwachstellen stammen aus Anwendungen. Cryptography 0% Application

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Geschäftsmann 2.0 http://www.geschaeftsmann20.com

Geschäftsmann 2.0 http://www.geschaeftsmann20.com Geschäftsmann 2.0 http://www.geschaeftsmann20.com Inhaltsverzeichnis 1 Projektbeschreibung... 2 2 Szenario mit Phasen und Meilensteinen... 2 3 Organisation... 2 4 Projektergebnisstrukturplan... 2 5 Szenario

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1 IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter 2003 KPMG Information Risk Management 1 Grundvoraussetzungen Grundsätzlich sollten alle Prüfer, die IT im Rahmen von Jahresabschlussprüfungen prüfen

Mehr

Prüfung Netzwerk. Sicherheitslücken im IT-Verbund

Prüfung Netzwerk. Sicherheitslücken im IT-Verbund Prüfung Netzwerk Sicherheitslücken im IT-Verbund Prüfung Netzwerk Netzwerke Router und Switche stellen das Rückgrat jeder Kommunikation in Unternehmen dar. Diese werden bei Prüfungen oft vernachlässigt

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

TOGAF The Open Group Architecture Framework

TOGAF The Open Group Architecture Framework TOGAF The Open Group Architecture Ein Überblick Gesellschaft für Informatik, Regionalgruppe München Dr. Michael Bulenda München, 7.12.2009 Vorstellung Dr. M. Bulenda Seit 2001 bei Cirquent IT Management

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

IT-Sicherheit mit System

IT-Sicherheit mit System Klaus-Rainer Müller IT-Sicherheit mit System Sicherheitspyramide und Vorgehensmodelle - Sicherheitsprozess und Katastrophenvorsorge - Die 10 Schritte zum Sicherheitsmanagement Mit 26 Abbildungen vieweg

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand. SERVICES appsphere ist spezialisiert auf Sicherheitsanalysen und Lösungsentwicklungen für den zuverlässigen Schutz von Web-Applikationen

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org.

IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten OWASP 17.11.2011. The OWASP Foundation http://www.owasp.org. IT-Sicherheit in Unternehmen: Typische Probleme und Lösungsmöglichkeiten Amir Alsbih 17.11.2011 http://www.xing.com/profile/amir_alsbih http://de.linkedin.com/pub/amiralsbih/1a/19a/b57 Copyright The Foundation

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung } Warum ist Sicherheit ein Software Thema? } Sicherheit in heutigen Softwareprodukten & Trends } OWASP Top 10 Kategorien Hacking Demo } SQL Injection: der Weg zu

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

IT Governance im Zusammenspiel mit IT Audit

IT Governance im Zusammenspiel mit IT Audit IT Governance im Zusammenspiel mit IT Audit ISACA After Hours Seminar Nicola Varuolo, Internal Audit AXA AXA Gruppe 52 Millionen Kunden weltweit 79 Milliarden Euro Geschäftsvolumen 150 000 Mitarbeitende

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY

IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY IS YOUR INFORMATION SECURE? Sichere und zuverlässige ICT. Unsere Erfahrung. Ihr Vorteil. SWISS CYBER SECURITY Security Services Risiken erkennen und gezielt reduzieren Ein zuverlässiger Schutz Ihrer Werte

Mehr

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke Implementierung eines Risikomanagementsystems bei der EADS BU DE Jan Eickmann Mathias Wernicke 03.02.2009 Dipl.-Ing. Mathias Wernicke, Jan Eickmann 1 Vision2020 Entwicklung der EADS [ ] mit größerem Anteil

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden

Mehr

Inhaltsübersicht XVII

Inhaltsübersicht XVII Inhaltsübersicht 1 Ausgangssituation und Zielsetzung... 1 2 Kurzfassung und Überblick für Eilige... 13 3 Zehn Schritte zum Sicherheitsmanagement... 15 4 Definitionen zum Sicherheits-, Kontinuitäts- und

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

IT-Sicherheitsanalyse: Motivation, Vorgehen und Auswirkungen Am Beispiel von ios

IT-Sicherheitsanalyse: Motivation, Vorgehen und Auswirkungen Am Beispiel von ios IT-Sicherheitsanalyse: Motivation, Vorgehen und Auswirkungen Am Beispiel von ios Beat Meister Leiter Architektur Board, EJPD Aldo Rodenhäuser Senior IT Consultant, AdNovum 19. September 2012 2 Agenda Ausgangslage

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert

Mehr

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung

Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Sicherheit in der SW-Entwicklung und beim Betrieb einer Identity und Access Management Lösung Best Practice Standardportal Bundesministerium für Inneres und Land-, forst- und wasserwirtschaftliches Rechenzentrum

Mehr

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch

ATEGRA Domino Security Audits. ATEGRA AG www.ategra.ch ategra.info@ategra.ch ATEGRA Domino Security Audits Ausgangslage Ihre Organisation hat Sicherheitsbedürfnisse Sie führen evtl. bereits periodische Security Audits durch Oft wird der Teil Lotus Domino technisch ausgelassen ATEGRA

Mehr

Risiko- und Compliancemanagement mit

Risiko- und Compliancemanagement mit Risiko- und Compliancemanagement mit avedos a Mag. Samuel Brandstaetter Geschäftsführer, CEO avedos business solutions gmbh Mobil: +43 664 21 55 405 samuel.brandstaetter@avedos.com avedos - Zielsetzung

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

PM & IT Business Consulting mit IS4IT FÜR SIE.

PM & IT Business Consulting mit IS4IT FÜR SIE. PM & IT Business Consulting mit IS4IT FÜR SIE. Business Consulting IT Architektur IT Projektmanagement IT Service- & Qualitätsmanagement IT Security- & Risikomanagement Strategie & Planung Business Analyse

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

IBS - Smart Repair. Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung!

IBS - Smart Repair. Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung! IBS - Smart Repair Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung! Festpreis (Nach individueller Bedarfsanalyse) www.ibs-schreiber.de IBS

Mehr

Firewall-Management im Rahmen einer Prozessorganisation

Firewall-Management im Rahmen einer Prozessorganisation Firewall-Management im Rahmen einer Prozessorganisation Dissertation zur Erlangung des akademischen Grades des Doktors der Naturwissenschaften am Fachbereich IV der Universität Trier vorgelegt von Diplom-Wirtschaftsinformatiker

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung vom 14. August 2013 Der Schweizerische Bundesrat erlässt folgende Weisungen: 1 Allgemeine Bestimmungen 1.1 Gegenstand Diese Weisungen

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Ihre persönliche Verantwortung

Ihre persönliche Verantwortung Governance in der IT-/Informationssicherheit ISACA After Hours Seminar, 28. Januar 2014 Ihre persönliche Verantwortung Peter R. Bitterli, CISA http://www.bitterli-consulting.ch prb@bitterli-consulting.ch

Mehr

Teil 2: Indikatoren. Kanton Aargau

Teil 2: Indikatoren. Kanton Aargau Auswertung Qualitäts-Reporting 2014 Nachweis der Qualitäts- und Leistungsfähigkeit für die Leistungserbringer der Hilfe und Pflege zu Hause Teil 2: Indikatoren Aargau Aargau Inhaltsverzeichnis 1. Profil

Mehr

PKI-Forum Schweiz, 15. Mai 2002. Erfahrungsbericht über den Aufbau der PKI der

PKI-Forum Schweiz, 15. Mai 2002. Erfahrungsbericht über den Aufbau der PKI der PKI-Forum Schweiz, 15. Mai 2002 Erfahrungsbericht über den Aufbau der PKI der 2002 by Agenda Über diesen Vortrag Vorstellung der Applikationen Anforderungen an die PKI Herausforderungen Phasen und Resultate

Mehr

Compliance Risk Assessment

Compliance Risk Assessment Compliance Risk Assessment Compliance Officer Lehrgang Modul 2 DDr. Alexander Petsche 22. September 2015 Compliance Management-Prozess Planning/Risk Assessment, Organization, Personnel Certification Awareness

Mehr

QualityRiskManagement

QualityRiskManagement QualityRiskManagement Workshop Bernd Bödecker GAA Hannover GMP-Gesprächskreis Niedersachsen Abbott Products GmbH, 8. November 2011 Ziele des Workshops (Vorschlag) o Gelegenheit zur allgemeinen Information

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 9.0

Sicherheitstechnische Qualifizierung (SQ), Version 9.0 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Freistuhl 7 44137 Dortmund für den Webshop RWE SmartHome Shop die Erfüllung aller Anforderungen

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June Software EMEA Performance Tour 2013 Berlin, Germany 17-19 June Change & Config Management in der Praxis Daniel Barbi, Solution Architect 18.06.2013 Einführung Einführung Wer bin ich? Daniel Barbi Seit

Mehr

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA

Liste der Handbücher. Liste der Benutzerhandbücher von MEGA Liste der Handbücher Liste der Benutzerhandbücher von MEGA MEGA 2009 SP4 1. Ausgabe (Juni 2010) Die in diesem Dokument enthaltenen Informationen können jederzeit ohne vorherige Ankündigung geändert werden

Mehr

Bewertung. Vorgespräch. Interne Vorbereitung. Zertifizierungsaudit. Wiederholungsaudit. Überwachungsaudit

Bewertung. Vorgespräch. Interne Vorbereitung. Zertifizierungsaudit. Wiederholungsaudit. Überwachungsaudit Bewertung,62=HUWLIL]LHUXQJ Vorgespräch Interne Vorbereitung 0RQDWH Zertifizierungsaudit Wiederholungsaudit DOOH-DKUH Überwachungsaudit MlKUOLFK Wenn eine Organisation ein,62ãã=huwlilndw anstrebt, so muss

Mehr

Implementierung sicher und schnell

Implementierung sicher und schnell im Überblick SAP Services SAP Business One SAP Accelerated Implementation Program Herausforderungen Implementierung sicher und schnell Mit Methode sicher zum Ziel Mit Methode sicher zum Ziel Ihr Unternehmen

Mehr

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance Mobile IT-Infrastrukturen in Unternehmen sicher und erfolgreich managen Kurzbeschreibung Mobilität der

Mehr