ISO/IEC Normenreihe Neue Versionen und ISMS-Zertifizierung in der Praxis (Wolfgang Resch, OCG)

Größe: px
Ab Seite anzeigen:

Download "ISO/IEC 27000 Normenreihe Neue Versionen und ISMS-Zertifizierung in der Praxis (Wolfgang Resch, OCG)"

Transkript

1 ISO/IEC Normenreihe Neue Versionen und ISMS-Zertifizierung in der Praxis (Wolfgang Resch, OCG) ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 1/30

2 Über die Gemeinnütziger Verein zur Förderung der IT in Österreich (Slogan: IT-Kompetenzen fördern und zertifizieren!) OCG-Gründung: 1975 (u.a. Prof. Heinz Zemanek) Mitglieder: Personen, Institutionen, Firmen (dz. >1.500) Arbeitskreis IT-Sicherheit: seit 1993 (Leitung Prof. Schaumüller-Bichl) weitere AKs z.b.: IT-Governance, Forum Privacy, Forum e Government, Forum ebusiness Veranstaltungen: OCG Horizonte, OCG Impulse, Talk am Campus, IT-Konferenzen und Workshops, Vorträge Personenzertifizierungen: ECDL (seit 1997 > Teilnehmer) seit 2012 neues Modul: ECDL IT-Security Publikationen: Zeitschriften, Verlag Internet: Websites, Blog, Facebook, Flickr, Xing dz. ca. 30 MA und 2,5 Mio. Umsatz/J. ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 2/30

3 OCG als ISMS-Zertifizierungsstelle Akkreditierung nach ISO/IEC als Zertifizierungsstelle für ISO/IEC Zertifizierungen: Projektbeginn: 2010 Officeaudit BMWFJ 2012 beendet Pilotkunde Anfang 2013 Akkreditierungsbescheid des BMWFJ: Mitte Slogan: Informationssicherheit fördern und zertifizieren ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 3/30

4 Komitees der Zertifizierungsstelle Zertifizierungskomitee: o. Univ.Prof. Dr. Dimitris KARAGIANNIS, Universität Wien FH Prof. Univ.Doz. DI Dr. Ingrid SCHAUMÜLLER-BICHL, FH Hagenberg ZT DI Dr. Wolfgang PRENTNER, ZT Prentner IT GmbH Mag. Thomas GERETSCHLÄGER, OCG Wolfgang RESCH, OCG Unabhängigkeitskomitee: a.o. Univ.Prof. Dr. Gerald FUTSCHEK, TU Wien KommR Hans-Jürgen POLLIRER, WKO/Secur-Data DI Peter REICHEL, OVE Mag. Michael WIESMÜLLER, BMVIT ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 4/30

5 W. Resch seit 1992 in der OCG in Wien angestellt langjährige Betreuung OCG-Technik (zeitweise Sysadmin und Webmin) und Finanzen/Controlling seit >15 Jahren Beschäftigung mit e-government und elektronischen Signaturen ZRO der a-trust (seit 2000 Ausgabe/Registrierungsstelle für Bürgerkarten) Mitglied im AK E-Government ab 2009 Projektmitarbeit Zertifizierungsstelle ISO intensive Beschäftigung mit Thema IT-Sicherheit und ISMS ISO/IEC Lead-Auditor Kurs und Zertifikat (2012) Mitglied des Zertifizierungskomitees seit Mitte 2013 Administrative Leitung der Zertifizierungsstelle innerhalb der OCG ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 5/30

6 Akkreditierungsstruktur Akkreditierung der Zertifizierungsstelle Um Zertifizierungen von Managementsystemen durchführen zu können benötigt die zertifizierende Organisation (Zertifizierungsstelle) eine Akkreditierung durch die nationale Akkreditierungsstelle Akkreditierungsstelle (in Österreich die Akkreditierung Austria im BMWFW) Zertifizierungsstelle Kunden Akkreditierungsstruktur Akkreditierungsstelle (Akkreditrung Austria im Bundesministerium für Wissenschaft, Forschung und Wirtschaft) Normen Zertifizierungsstelle (OCG, CIS, UKAS) Auditor Akkreditiert und überwacht nach Richtlinien und Leitlinien für die Stelle ISO/IEC 17021:2011 ISO/IEC 27006:2011 Auditiert, zertifiziert und überwacht nach ISO/IEC 27001:2013 Kunde Kunde Kunde Betreiben ISMS, beauftragen Zertifizierung, werden auditiert, zertifiziert und überwacht ISO/IEC 27002:2013 ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 6/30

7 Akkreditierungsanforderungen Akkreditierungsanforderungen an Zertifizierungsstellen Die Akkreditierungsstelle überwacht die Einhaltung der ISO/IEC 17021:2011 durch die akkreditierten Zertifizierungsstellen (Officeaudits in der Zertifizierungsstelle, begleitete Audits bei Kunden, Jahresberichte) Wichtige Aspekte für Zertifizierungsstellen Organisationsstruktur der Stelle Kompetenz (Personal, Fachliches Wissen, Normenkenntnis, Auditerfahrung, Weiterbildung) Unparteilichkeit (u.a. Beratungsverbot, wirtschaftliche und Personelle Unabhängigkeit!) Ressourcen Managementsystem für den Zertifizierungsprozess Dokumentation, Transparenz, Offenheit Maßnahmen daraus u.a. Ausbildung von Personal Normenbeobachtung Know-how der Stelle bewahren und ausbauen Managementsystem, Dokumente und Aufzeichnungen pflegen und verbessern Vertraulichkeit, Objektivität und Offenheit der Stelle sicherstellen Kommunikation mit Kunden bzw. mögliche betroffene Kreise (Interessensvertretungen, Behörden, Firmen, Universitäten) ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 7/30

8 ISO Normenreihe Werdegang: : BS 7799 (code of practice f. Informationssicherheit) 1999: BS ISO/IEC 17799:2000 ISO/IEC 27002: : BS (Spezifikationen für ein ISMS) BS :2002 (hier taucht erstmals PDCA auf!) 2005: ISO/IEC 27001:2005 Erste Version aus 2005 vom Joint Technical Committee (ISO/IEC JTC 1, Information Technology, Subcommittee SC 27, IT Security techniques) Überarbeitung in den letzten Jahren und am Neuausgabe der ISO/IEC 27001:2013 (auf englisch), Deutsche Übersetzung in Arbeit, Veröffentlichung ca. März/April ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 8/30

9 ISO/IEC Kern der ISO/IEC 27001: Risiko basiertes Management Tool um IS-Risiken zu verwalten/behandlen (ist Management-Norm keine rein technische Norm!) Ständige Verbesserungsprozess institutionalisieren um Herausforderungen sich ändernder Bedrohungen gerecht zu werden Rahmen für Audits und Zertifizierung eines ISMS durch Dritte ISMS eingeführt adequat für Branche, Größe, Stand der Technik und gegenüber Kunden und Shareholdern Beweis dass Governance und Risk Management effektiv sind ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 9/30

10 Was ist neu? Harmonisierung mit Anhang SL der ISO/IEC Direktiven Definitionen (Pkt.3) wandern in ISO/IEC Norm ist schlanker/dünner geworden Anpassungen an neue technische Entwicklungen: 6.1 Maßnahmen zum Umgang mit Risiken und Chancen jetzt Pkt (früher 4-8) Annex A: bleibt normativ (jetzt A5-A18 gg. früher A5-A15); Zahl der Kontrollen von gesunken Annex B (PDCA-Modell; war normativ) u. Annex C (informatives Mapping zu 9001 und 14001) wurden beide gestrichen! ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 10/30

11 Harmonisierung Besseres Risikomanagement durch vergleichbare Strukturen in den Normen (Anhang SL) Funktionell: Qualität (9001), Umwelt (14001), Business- Continuity (22301), Informationssicherheit (27001), Sektorspezifisch: Finanzen (27012?), IT-Services (20000), Telekoms (27011), Energie (50001), Gesundheit (27799), Manufacturing (27013?) das zeigt sich im Wording und in der Struktur soll Normen vergleichbarer, übersichtlicher machen Kombiaudits erleichtern (z.b.: 20000/27001) ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 11/30

12 Übergangsfristen ISO/IEC 27001:2005 vom 1. Oktober 2013 (englisch) Resolution der IAF: ab dem 1. Oktober 2014, nur noch Zertifizierungen nach ISO/IEC 27001:2013 Bis dahin müssen die Zertifizierungsstellen für die neue Norm akkreditiert sein - ab 1. Oktober 2015, verlieren alle Zertifikate nach ISO/IEC 27001:2005 ihre Gültigkeit - d.h. spätestens beim Überwachungs- bzw. Rezertifizierungsaudit zwischen 10/2014 und 10/2015 muss Umstellung auf neue Normversion erfolgen (inkl. Neuausstellung d. Zertifikates)! ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 12/30

13 ISO/IEC 27001:2013 seit : ISO/IEC 27001:2013 (Norm auf Englisch) 2. Draft deutsche Ausgabe 02/2014 endgültige deutsche Version voraussichtlich 04/2014 Mapping der Normenpunkte alt:neu z.b. bei BSI od. ISO ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 13/30

14 Zertifizierungsprojekte Üblicher/möglicher Ablauf eines Zertifizierungsprojektes bei Kunden Projektbeginn Projektplanung Managemententscheidung Ressourcen-bereitstellung (Personal, finanzielle Mittel, Zeitressourcen) Analysephase Systemgrenzen (Scopeing) Werte identifizieren Risikoanalyse und Risikobehandlung Dokumetation u. ISMS-Einführung Reifegrad bestimmen Checklisten und Kontrollen Prä-Audit (optional) Ergebnisse evaluieren und Maßnehmen umsetzen Zertifizierungsreife ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 14/30

15 Prozesse vor dem Audit Formale Prozesse zw. Kunden und Zertifizierungsstelle vor dem 1. Audit Informationsphase des Kunden Zertifizierungsstellen suchen (Websites, Prospekte,...) Interessensbekundung abgeben Erhebungsformular Erstgespräch optionales Pre-Audit durch Stelle od. Berater Aufwand ermitteln Auftrag erteilen Zertifizierungsreife evaluieren (event. auch erst nach dem Vertragsabschluss) Verbesserungen umsetzen Zertifizierungsantrag an Stelle Antragsformular bearbeiten Zertifizierungsantrag stellen zusätzliche Informationen nachreichen Zertifizierungsantrag trifft ein/wird geprüft Zertifizierungsantrag prüfen Machbarkeit prüfen Unabhängigkeit prüfen Auditzeiten errechnen Angebot erstellen Vertragsabschluss zw. Kundenund Stelle Auditorenauswahl und Auditplanung Branche, Standorte, Scope, IT-Services Auditoren und Termine koordinieren Auditplan mit dem Kunden abstimmen ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 15/30

16 Überblick Zertifizierungszyklus Der Zertifizierungszyklus im Überblick (über 3 Jahre) Planung Vorbereitung Durchführung Berichterstattung & Nachbereitung Planung Vorbereitung Durchführung Berichterstattung & Nachbereitung Planung Test of Design Stage I Dokumenten 2-4 Wochen (max. 6 Mo.) Test of Effectiveness Stage II Compliance/ 4 Wochen Zertifizierungsentscheidung und Zertifikatsausstellung Audit Implementation Audit Audit Report Stage I + Audit Maßnahmenbericht Follow-up/ remediation Audit Report Stage II + Audit Maßnahmenbericht Follow-up/ remediation 6-12 Monate (üblich 12 Mo.) Planung Vorbereitung Durchführung Berichterstattung & Nachbereitung Überwachungs- Audit I ÜA Report I + Audit Maßnahmenbericht 6-12 Monate (üblich 12 Mo.) ÜA II ÜA Report II + Audit Maßnahmenbericht 6-12 Monate (üblich 12 Mo.) ÜA III (meist gibt es nur 2 ÜAs) 6-12 Monate (üblich 12 Mo.) ÜA Report III (falls notwendig) + Audit Maßnahmenbericht Rezertifizierungs Audit (beginnt wieder oben aber oft ohne Stage I, wieder gefolgt von ÜA I u. ÜA II) nach 3 Jahren ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 16/30

17 Scope Assets Gaps Readyness Definition Scope n Scope Plan Definition Assets Entwicklung Kontrollframework Do Gap Analyse Entwicklung fehlender Maßnahmen Check Readiness Check Kick-off Projekt mit den Entscheidungsträgern Festlegung der gesetzlichen Anforderungen / Rahmenbedingungen Definition des Scopes: WO: Regionale Ausrichtung WER: Org. Ausrichtung WAS: Welche Applikationen Erstellung des Assetverzeichnisses gegliedert nach: Informationen: Daten, Verträge, Dokumente Software: Applikationen, Systemsoftware Physische Assets: Server, Medien Grundversorgung: Klima, Strom, RZ Personal: Schüsselpersonal Mapping der laut Scope benötigten Anforderungen zur ISO Eliminierung redundanter Kontrollanforderungen Definition eines zentralen Templates zur Erfassung der Kontrollen Workshop zur Abstimmung der notwendigen Kontrollen Review der bestehenden Dokumentation (Dokumentenanalyse) Erhebung der bestehenden Kontrollen, Policies und Methoden im Rahmen von Interviews und Workshops Identifikation der Kontrolllücken und Erstellung eines Verbesserungsplans Dokumentation von bereits existierenden, aber nicht schriftlich vorhandenen Kontrollen Wiederverwertung von passenden Kontrollen Anpassung bzw. Neuentwicklung von fehlenden Kontrollen Training der Kontrollverantwortlichen Nach dem Go-Live wird eine Überprüfung auf Kontrolleinhaltung sowie Kontrolladaptierung durchgeführt Aufdecken von Schwachstellen Zusammenstellung der Verbesserungsmaßnahmen Kommunikation zu den wesentlichen Stakeholdern Definierter Scope Definierte Compliance Anforderungen Definierte wesentliche Assets des Unternehmens Templates Kontrollframework Abgestimmte Kontrollen Report Gap Analyse Plan zur Behebung Kontrollschwächen Dokumentierte Kontrollen Definierte Verantwortlichkeiten Schwachstellen- Analyse Verbesserungen ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 17/30

18 Der Weg zur Zertifizierung ISO/IEC Pre-Assessment Im Rahmen der GAP Analyse werden Anforderungen von ISO bzw. Annex A den vorhandenen Maßnahmen im Unternehmen gegenübergestellt. Das ISO Pre-Assessment dient zur Identifikation von vorhandenen Dokumenten sowie der Gegenüberstellung von geforderten Inhalten aus ISO bzw. Annex A. Im Rahmen der Zertifizierung wird zunächst die Reife des Managementsystems (Dokumentenaudit) und danach die Umsetzung im Rahmen des Implementierungsaudits geprüft. Stage 1: Dokumentenaudit Stage 2: Zertifizierungsaudit- Interviews und Besichtigung Durchführung von Surveillance Audits im Abstand von 6-12 Monaten ISO GAP- Analyse und Coaching ISO Pre- Assessment Zertifizierung Identifikation von vorhandenen Prozessen Reifegradanalyse Readiness Check Analyse der Umsetzung in der Organisation Prüfung der Organisation gegen ISO auf Basis der Akkreditierungsrichtlinie ISO Erteilung des Zertifikats Regelmäßige Surveillance-Audits ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 18/30

19 Auditphase und Reporting Die Zertifizierungsstelle entsendet Auditoren und ggf. zusätzliche Experten und Übersetzer/Dolmetscher um beim Kunden vor Ort die Wirksamkeit des ISMS sicherzustellen. Dokumentenaudit (bei Rezertifizierung verkürzt) Dokumentation des ISMS prüfen Umfang/Standorte/Systeme kennenlernen Vollständigkeit und Compliece Auditbericht Planung Umsetzungsaudit Umsetzungsaudit Überprüfung der Umsetzung vor Ort Abweichungen dokumentieren Maßnahmen und Termine abnehmen Auditbericht verfassen Empfehlung zur Zertifizierung Überwachungsaudit (fallweise auch außerplanmäßige Audits aus besonderen Anlass) Überprüfung von Observations und Feststellungen früherer Audits sowie Überwachung des zertifizierten ISMS Auditbericht Maßnahmenumsetzungen gemäß vereinbarter Fristen überprüfen ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 19/30

20 Methodik 2-teiliges Audit: Stage 1: Dokumentenaudit (Test of Design) Stage 2: Implimentierungsaudit - Interviews und Besichtigung (Test of Effectiveness) Ergebnisse aus Stage 1 Audit als Basis f. Auditplanung Stage II Interviews Mitarbeiter Überprüfung von Dokumenten Vorgangsweisen Grundsätze Beobachtungen Unternehmensbesichtigung Spezielle Bereiche, Tätigkeiten Daten und Aufzeichnung Überwachung von Aufzeichnungen Verstehen des Wirkungsgrades des Managementsystems ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 20/30

21 Auditplanung Ziele und Merkmale des Audits Auditor Ressourcen Informationen zum Unternehmen (Größe, Branche, Prozesse, Systeme) Ausmaß des Audits und von ISMS (Scope) Planung Vorbereitung Durchführung Bericht und Follow-up Team mit relevanten Fähigkeiten (Branchenkenntnis, Sprachen, Technologien) Dauer des Audit Wer? Wann? Wo? ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 21/30

22 Auditvorbereitung Beschaffung und Überprüfung von Dokumenten bezüglich Grundsätzen Inventaranlagen Liste von Regelungen und Verfahren Aufzeichnungen von Risikoauswertung Organisatorisches Schema zur Sicherheit Planung Vorbereitung Durchführung Bericht und Follow-up Vorgangsweise Checkliste Informationen zum Team Kommunikation mit Kunden ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 22/30

23 Auditdurchführung Kommunikation zwischen Kunden und Auditoren Interviews Beobachtung Überprüfung der Kontrollen Analyse der Aufzeichnung Objektives Beweismaterial Planung Vorbereitung Durchführung Bericht und Follow-up Ergebnisse basierend auf objektivem Beweismaterial Identifizierung von Bereichen, die nicht mit den Richtlinien übereinstimmen und risikogefährdet sind Möglichkeiten zur Verbesserung ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 23/30

24 Bericht und Follow-up Ausmaß Methodologie Ergebnisse Schlussfolgerung Planung Vorbereitung Durchführung Bericht und Follow-up Aufnahme als Eingangsbasis für zukünftige Audits Abschluss von Abweichung, Empfehlungen etc. ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 24/30

25 Behandlung von Abweichungen Auditor erkennt Auditor dokumentiert Auditor klassifiziert und gibt aus Auditor bewirkt Abschluss Unternehmen untersucht und misst Auditor überprüft Wirksamkeit Unternehmen findet Ursachen Unternehmen führt Bedingung und Leistungen durch Auditor bestätigt Bedingungen & Leistung Unternehmen bestimmt Bedingungen & Leistung 2-4 Wochen bis max. 6 Monate ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 25/30

26 Zertifizierungsentscheidung Die Zertifizierungsstelle erhält von den Auditoren den/die Auditbericht/e Zertifizierungsentscheidungen: Erteilung/Erweiterung/Einschränkung/Aussetzung/Aberkennung des Zertifikats u.a. wegen Änderungen im Scope mehr/weniger Standorte schwerwiegende Mängel im ISMS Übernahmen, Wechsel des Geschäftsfelden Entscheidungsgrundlagen dazu: Auditberichte (von planmäßigen und außerordentlichen Audits) Beobachtungen, Beschwerden Einsprüche des Kunden Input des Unabhängigkeitsausschusses ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 26/30

27 Überwachungsaufgaben Nach erfolgreicher Zertifizierung bzw. bei allen bestehenden aufrechten Zertifizierungen: Überwachungsaufgaben der Zertifizierungsstelle Überwachung der aktuell zertifizierten Kunden (öffentlicher Auftritt, Dokumente, Beobachtungen und Beschwerden) bei Änderungen: event. Überwachungsaudit od. Rezertifizierungsaudit notwendig bei Zweifel an Effektivität des ISMS: event. außerordentliches Audit mögliche Folgen: Einschränkung/Aussetzung/Aberkennung des Zertifikats bzw. Neuausstellung/Entzug des Zertifikates und ggf. Änderung in der Liste der zertifizierten Kunden ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 27/30

28 Änderungen der Zertifizierung Änderungen im Scope (Erweiterungen oder Einschränkungen) neue bzw. zusätzliche/weniger Standorte zusätzliche/weniger Prozesse/Services innerhalb des Scopes mehr/weniger Personen/gruppen innerhalb des Scopes Folgen daraus: event. Erweiterungsaudit durchführen und dann Zertifikat anpassen Einschränkung bzw. Erweiterung des Zertifikates Änderungen im Firmen/Organisationswortlaut bzw. Gesellschaftsform Neuausstellung des Zertifikats (falls sich sonst substanziell nichts am Scope geändert hat) Änderungen im Verzeichnis darstellen (Website) ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 28/30

29 Mögliche Problem mögliche sonstige Probleme Beschwerden gegen Zertifikatsinhaber durch Dritte Zweifel an Wirksamkeit des Managementsystems durch Überwachungsergebnisse vorzeitige Vertragsauflösung (Insolvenzverfahren, Kündigung, etc.) sonstige Probleme (z.b.: Gerichtsverfahren, Zahlungsverzug, Interessenskonflikte, Machbarkeitshindernisse) mögliche Folgen Einschränkung, Aussetzung, Aberkennung des Zertifikates Einspruch des Kunden gegen Entscheidungen der Zertifizierungsstelle Schlichtungsverfahren bzw. Eskalation an Unabhängigkeitsausschuss od. Akkreditierungsstelle (Akkreditierung Austria im BMFWF) ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 29/30

30 Kontakt Wolfgang Resch Österreichische Computer Gesellschaft (OCG) Wollzeile 1, 1010 Wien T: M: bzw. ISO/IEC und ISMS Zertifizierung in der Praxis 04/2014; 30/30

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT COMPLIANCE STANDARD: WOZU? Leitfaden/Richtlinie beim Aufbau eines Compliance Management Systems Schaffung eines State-of-the-Art

Mehr

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle G m b H Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Aktuelle Informationen zur Revision der ISO 14001:2015 Umwelt Forum Saar Franz-Josef-Röder-Straße 9, 66119 Saarbrücken 18.06.

Aktuelle Informationen zur Revision der ISO 14001:2015 Umwelt Forum Saar Franz-Josef-Röder-Straße 9, 66119 Saarbrücken 18.06. Aktuelle Informationen zur Revision der ISO 14001:2015 Umwelt Forum Saar Franz-Josef-Röder-Straße 9, 66119 Saarbrücken 18.06.2015 16:10 AGENDA Harald Wunsch: REVISION ISO 14001 KONTEXT ANNEX SL PROZESSMODELL

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit ISMS Portfolio Sicher. Besser. TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit TÜV TRUST IT GmbH Daten

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Effizienz mit System. Implementierung von Informationssicherheit nach ISO 27001

Effizienz mit System. Implementierung von Informationssicherheit nach ISO 27001 Effizienz mit System Implementierung von Informationssicherheit nach ISO 27001 Dipl.-Ing. Berthold Haberler, Information Security Officer, LINZ AG Telekom LINZ STROM GmbH, Abt. f. Übertragungstechnik Der

Mehr

Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO 27001. datenschutz cert GmbH Version 1.0

Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO 27001. datenschutz cert GmbH Version 1.0 Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO 27001 datenschutz cert GmbH Version 1.0 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung

Mehr

AVE92-002 Verfahren Erst-Zertifizierung

AVE92-002 Verfahren Erst-Zertifizierung Start Einleitung des Zertifizierungsverfahren Nach Eingang des Zertifizierungsvertrags wird für das das Verfahren zur Zertifizierung eingeleitet. Auswahl der Auditoren und ggf. Fachexperten Die Auswahl

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Anforderungskatalog - Begutachtung von Zertifizierungsstellen (BBAB)

Anforderungskatalog - Begutachtung von Zertifizierungsstellen (BBAB) Allgemeines Der vorliegende Anforderungskatalog spiegelt ergänzend zur Norm DIN EN ISO/IEC 17021:11 die genehmigungsrelevanten Anforderungen des KA wider. Er soll dem egutachter/der egutachterin helfen,

Mehr

IT-Sicherheitszertifikat

IT-Sicherheitszertifikat Bundesamt Deutsches erteilt vom IT-Sicherheitszertifikat Bundesamt ISO 27001-Zertifikat auf der Basis von IT-Grundschutz Technisches Facility Management für hochverfügbare Datacenter der e-shelter facility

Mehr

Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO/IEC 20000-1. datenschutz cert GmbH Version 1.1

Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO/IEC 20000-1. datenschutz cert GmbH Version 1.1 Kriterienkatalog und Vorgehensweise zur Auditierung und Zertifizierung gemäß ISO/IEC 20000-1 datenschutz cert GmbH Version 1.1 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise zur Auditierung und

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISIS 12 Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISIS12 Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor Security Excellence Der psychologische

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters IS-Revisorentreffen 2012 Ronny Frankenstein 1 Agenda 1 Kurze Vorstellung 2 Motivation 3 Vorgeschichte 4 Umsetzung 5 Ergebnisse 2 Vorstellung

Mehr

ISMS - der Weg zur ISO27001-Zertifizierung

ISMS - der Weg zur ISO27001-Zertifizierung ISMS - der Weg zur ISO27001-Zertifizierung Erwin T. Peter Leitender Auditor Schweizerische Vereinigung für Qualitäts-und Management-Systeme (SQS) CH-3052 Zollikofen erwin.peter@sqs.ch ISACA After Hours

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Wie gewinnen Sie Vertrauen in eine Inspektionsstelle? Sollte diese nach ISO 9001 zertifiziert oder nach ISO/IEC 17020 akkreditiert sein?

Wie gewinnen Sie Vertrauen in eine Inspektionsstelle? Sollte diese nach ISO 9001 zertifiziert oder nach ISO/IEC 17020 akkreditiert sein? Sollte diese nach ISO 9001 zertifiziert oder nach ISO/IEC 17020 akkreditiert sein? Worauf sollten Sie achten, wenn Sie eine Inspektion benötigen? 3 Wie gewinnen Sie Vertrauen in eine 4 Wie kann das Vertrauen

Mehr

Bestnoten für 27001-9001-Integration

Bestnoten für 27001-9001-Integration Bestnoten für 27001-9001-Integration Synergien durch ähnliche Strukturen 30 Prozent weniger Aufwand für Kombi-Zertifizierung Rund 20 Prozent Ersparnis im laufenden Betrieb Ein stimmiges Zusammenspiel:

Mehr

Herkunft: audire = (lat.) hören, zuhören Audit = (engl.) (Rechnungs- /B Buch-)Prüfung h)p Definition nach DIN EN ISO 9000:

Herkunft: audire = (lat.) hören, zuhören Audit = (engl.) (Rechnungs- /B Buch-)Prüfung h)p Definition nach DIN EN ISO 9000: Was ist ein Audit Herkunft: audire = (lat.) hören, zuhören Audit = (engl.) (Rechnungs- /B Buch-)Prüfung h)p Definition nach DIN EN ISO 9000: Systematische ti und objektive Untersuchung zur Ermittlung des

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

Unternehmens-Präsentation. B2B - BERGER & BOCK GbR Quality and Privacy

Unternehmens-Präsentation. B2B - BERGER & BOCK GbR Quality and Privacy Unternehmens-Präsentation B2B - BERGER & BOCK GbR Quality and Privacy AGENDA Mission Statement Quality, Security and Privacy Qualitätsmanagement/Informationssicherheit Datenschutz Audit/Assessment B2B

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Tübingen Berlin Köln Zagreb Fort Collins. Tübingen Berlin Köln Zagreb Fort Collins. ISO 9001 / Glossar

Tübingen Berlin Köln Zagreb Fort Collins. Tübingen Berlin Köln Zagreb Fort Collins. ISO 9001 / Glossar Audit Überprüfung, ob alle Forderungen der zu prüfenden Norm tatsächlich erfüllt werden und ob die ergriffenen Maßnahmen wirksam sind. Siehe auch Verfahrensaudit, Internes Audit und Zertifizierungsaudit.

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Management-Review und Selbstbewertung als Instrumente des Klinikmanagements

Management-Review und Selbstbewertung als Instrumente des Klinikmanagements Management-Review und Selbstbewertung als Instrumente des Klinikmanagements Hildegard Winkler, Westfälische Klinik Gütersloh Dr. Andreas Koch, ExperTeam AG Management-Review und Selbstbewertung Kontinuierlicher

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Ablauf der Zertifizierung / Zertifizierung von Organisationen Prof. Kathrin Winkler / Prof. Jürgen Müller Agenda 1. Fortbildungsweg 2. Projektarbeit und dpüf Prüfung

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Allgemeine Bedingungen zur Zertifizierung von Managementsystemen

Allgemeine Bedingungen zur Zertifizierung von Managementsystemen 1. Aufgaben der Zertifizierungsstelle und des Auftraggebers 1.1 Aufgaben der Zertifizierungsstelle Die Zertifizierungsstelle verpflichtet sich, alle ihr zugänglich gemachten Informationen über das Unternehmen

Mehr

Interne Audits - klassisch oder softwaregestützt? DGQ-Regionalkreis Schleswig-Holstein, 02.11.2010 IHK zu Kiel, Haus der Wirtschaft

Interne Audits - klassisch oder softwaregestützt? DGQ-Regionalkreis Schleswig-Holstein, 02.11.2010 IHK zu Kiel, Haus der Wirtschaft Interne Audits - klassisch oder softwaregestützt? DGQ-Regionalkreis Schleswig-Holstein, 02.11.2010 IHK zu Kiel, Haus der Wirtschaft Regionalkreis Schleswig-Holstein Programm 14:00 Uhr Begrüßung Dr. Klaus

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Aktuelle Informationen zu den Revisionen ISO 9001/14001:2015 ARBEITSKREIS QM DGQ/VDI Am TÜV 1, 66280 Sulzbach/Saar 09.06.

Aktuelle Informationen zu den Revisionen ISO 9001/14001:2015 ARBEITSKREIS QM DGQ/VDI Am TÜV 1, 66280 Sulzbach/Saar 09.06. Aktuelle Informationen zu den Revisionen ISO 9001/14001:2015 ARBEITSKREIS QM DGQ/VDI Am TÜV 1, 66280 Sulzbach/Saar 09.06.2015 18:00 AGENDA 2 AGENDA Harald Wunsch: REVISIONEN ISO 9001UND ISO 14001 KONTEXT

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Security & Quality: Implementierung von ISO 27001 und ISO 13485 in der Medizintechnik

Security & Quality: Implementierung von ISO 27001 und ISO 13485 in der Medizintechnik Security & Quality: Implementierung von ISO 27001 und ISO 13485 in der Medizintechnik Thomas Hasiba kurze CV 1998 TOM Medical Entwicklung und Produktion von Langzeit EKGS-Systemen Weltweiter Vertrieb der

Mehr

Technische Aspekte der ISO-27001

Technische Aspekte der ISO-27001 ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Energieeffiziente IT

Energieeffiziente IT EnergiEEffiziente IT - Dienstleistungen Audit Revision Beratung Wir bieten eine energieeffiziente IT Infrastruktur und die Sicherheit ihrer Daten. Wir unterstützen sie bei der UmsetZUng, der Revision

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Hacking Day 2013 Security Lifecycle

Hacking Day 2013 Security Lifecycle Hacking Day 2013 Security Lifecycle Griffige Information Security Policies Balance zwischen Theorie und Praxis Yves Kraft Team Leader Consulting & Training OneConsult GmbH 16. Mai 2013 Hacking Day 2013

Mehr

Compliance Monitoring mit PROTECHT.ERM

Compliance Monitoring mit PROTECHT.ERM covalgo consulting GmbH Operngasse 17-21 1040 Wien, Austria www.covalgo.at Compliance Monitoring mit PROTECHT.ERM Autor: DI Mag. Martin Lachkovics, Dr. Gerd Nanz Datum: 20. Oktober 2014, 29. April 2015

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Human Diversity Management Systems

Human Diversity Management Systems Human Diversity Management Systems Zertifizierungsschema DE Diversity Management basierend auf ÖNORM S 2501 Ausgabedatum: V1.0, 2013-05-01 Heinestrasse 38, 1020 Wien peter.jonas@as-plus.at Forum European

Mehr

Zertifizierungsvorgaben zur ISO/TS 16949 Regeln für die Anerkennung durch die IATF - 3. Ausgabe Häufig gestellte Fragen (FAQs)

Zertifizierungsvorgaben zur ISO/TS 16949 Regeln für die Anerkennung durch die IATF - 3. Ausgabe Häufig gestellte Fragen (FAQs) Zertifizierungsvorgaben zur ISO/TS 16949 Regeln für die Anerkennung durch die IATF - 3. Ausgabe Häufig gestellte Fragen (FAQs) Die Zertifizierungsvorgaben zur Technischen Spezifikation ISO/TS 16949-3.

Mehr

ZERTIFIZIERUNG VON KOMPETENZEN

ZERTIFIZIERUNG VON KOMPETENZEN ZERTIFIZIERUNG VON KOMPETENZEN Personalzertifizierung nach ISO 17024 Akkreditiert durch das Bundesministerium für Wirtschaft, Familie und Jugend Parkstraße 11 A-8700 Leoben Tel.: +43 (3842) 48476 Fax:

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

ISO/IEC 20000. 8. Swiss Business & IT-Service Management & Sourcing Forum 2014

ISO/IEC 20000. 8. Swiss Business & IT-Service Management & Sourcing Forum 2014 ISO/IEC 20000 8. Swiss Business & IT-Service Management & Sourcing Forum 2014 Firmenprofile ¾ ITpoint completes your IT ¾ Firmensitz Schweiz ¾ Über 60 Mitarbeiter ¾ 100% eigenfinanziert ¾ Büros in Rotkreuz,

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Risikomanagement Vorgaben durch internationale und europäische Normen

Risikomanagement Vorgaben durch internationale und europäische Normen Risikomanagement Vorgaben durch internationale und europäische Normen FH-Prof. Martin Langer, FH Campus Wien Wien, 30. November 2010 Fragestellungen ISO 31000 Was ist Risiko? Beispiele aus der Praxis Hintergründe

Mehr

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90 ISO/IEC 20000 Eine Einführung Wie alles begann in den 80 & 90 1986 1988 1989 1990 CCTA initiiert ein Programm zur Entwicklung einer allgemein gültigen Vorgehensweise zur Verbesserung der Effizienz und

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

«Zertifizierter» Datenschutz

«Zertifizierter» Datenschutz «Zertifizierter» Datenschutz Dr.iur. Bruno Baeriswyl Datenschutzbeauftragter des Kantons Zürich CH - 8090 Zürich Tel.: +41 43 259 39 99 datenschutz@dsb.zh.ch Fax: +41 43 259 51 38 www.datenschutz.ch 6.

Mehr

ISO/IEC 27001. Neue Version, neue Konzepte. Quo Vadis ISMS?

ISO/IEC 27001. Neue Version, neue Konzepte. Quo Vadis ISMS? ISO/IEC 27001 Neue Version, neue Konzepte Quo Vadis ISMS? 2/18 Ursachen und Beweggründe Regulärer Zyklus für Überarbeitung von ISO/IEC 27001:2005 Zusätzlich neues Projekt MSS (Managment System Standards)

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

Kundeninformation zu den Änderungen der ISO 9001:2015 und ISO 14001:2015

Kundeninformation zu den Änderungen der ISO 9001:2015 und ISO 14001:2015 Kundeninformation zu den Änderungen der ISO 9001:2015 und ISO 14001:2015 Die finalen Entwürfe der beiden oben genannten Normen liegen nun vor und es kann davon ausgegangen werden, dass sich keine wesentlichen

Mehr

maihiro process Projektskizze für eine CRM-Prozessanalyse Kurzversion

maihiro process Projektskizze für eine CRM-Prozessanalyse Kurzversion maihiro process Projektskizze für eine CRM-Prozessanalyse Kurzversion Agenda maihiro process Projektvorgehen Nächste Schritte Projektvorgehen Projektvorgehen Übersicht Prozessanalyse Abhängig von der Mitarbeiter-Verfügbarkeit

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz

Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz Gemeinsame Sitzung von AK 1 & 5 am 02.04.2013 Bernhard C. Witt (it.sec GmbH & Co. KG) Bernhard C. Witt Berater für Datenschutz

Mehr

Anhang 4. Kriterienkatalog für die Anerkennung von alternativen Plattformen

Anhang 4. Kriterienkatalog für die Anerkennung von alternativen Plattformen Anhang 4 Kriterienkatalog für die Anerkennung von alternativen Plattformen Inhaltsverzeichnis 1 Zweck und Inhalt 3 2 Begriffe 3 2.1 Anbieter... 3 2.2 Plattform... 3 3 Anforderungen an die Informationssicherheit

Mehr

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Einführung Die DIN EN ISO 9001 erfährt in regelmäßigen Abständen -etwa alle 7 Jahreeine Überarbeitung und Anpassung der Forderungen

Mehr

Zertifizierung von Managementsystemen

Zertifizierung von Managementsystemen Zertifizierung von Managementsystemen Ein klares Bekenntnis zur Qualität TÜV AUSTRIA DEUTSCHLAND Zertifizierung von Managementsystemen: Ständige Verbesserung im Fokus Managementsysteme sind heute mehr

Mehr

Zertifizierungsvorgaben zur ISO/TS 16949:2002 Regeln für die Anerkennung durch die IATF - 3. Ausgabe Häufig gestellte Fragen (FAQs)

Zertifizierungsvorgaben zur ISO/TS 16949:2002 Regeln für die Anerkennung durch die IATF - 3. Ausgabe Häufig gestellte Fragen (FAQs) Zertifizierungsvorgaben zur ISO/TS 16949:2002 Regeln für die Anerkennung durch die IATF - 3. Ausgabe Häufig gestellte Fragen (FAQs) Die Zertifizierungsvorgaben zur Technischen Spezifikation ISO/TS 16949:2002-3.

Mehr

1. Normen für Unternehmen

1. Normen für Unternehmen 1. Normen für Unternehmen Normen sind gut für ein Missverständnis und schlecht für ein Verständnis. Um diesem Wortspiel einen konkreten Inhalt zu geben, seien zwei Thesen angeführt: Das Missverständnis

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Cyber-Sicherheitscheck - Juli 2015 Inhalt 1 2 3 Einleitung und Herausforderungen Unsere Methodik Ihr Nutzen IT-Advisory 2 Cyber-Sicherheit eine Definition Cyber-Sicherheit

Mehr

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen?

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? e:digital media GmbH software distribution White Paper Information Security Management System Inhalt: 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? 2. Was sind die QSEC-Suiten? 3. Warum ein Information

Mehr

ITIL Trainernachweise

ITIL Trainernachweise ITIL Trainernachweise Allgemein: Akkreditierung als ITIL -Trainer für Foundation, Service Strategy, Service Design, Service Transition, Service Operation, CSI, Managing across the Lifecycle (MALC) Akkreditierung

Mehr

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz

Mehr

Integration von: ISO 9001/27001/20000 bei Kapsch BusinessCom

Integration von: ISO 9001/27001/20000 bei Kapsch BusinessCom Integration von: ISO 9001/27001/20000 bei Kapsch BusinessCom Synergien durch ähnliche Strukturen 30 Prozent weniger Aufwand für Kombi-Audits Integriertes Risk und Compliance Management Fotocredit: istockphoto

Mehr

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012 ZUVERLÄSSIGE UND EFFIZIENTE ZERTIFIZIERUNGEN: TOOLUNTERSTÜTZES, INTEGRIERTES MANAGEMENTSYSTEM ZUR COMPLIANCE MIT REGULARIEN IM QUALITÄTS- UND RISIKOMANAGEMENT 4. PQM-Dialog: Qualitätszertifizierungen Vorgehen

Mehr