Versorgungssicherheit und EnWG-Compliance

Größe: px
Ab Seite anzeigen:

Download "Versorgungssicherheit und EnWG-Compliance"

Transkript

1 Versorgungssicherheit und EnWG-Compliance Dem Schwarzfall vorbeugen, mit einem Management (ISMS) für sichere Steuerungs- und Kommunikationsprozesse gemäß ISO/IEC 27001

2 Es muss nicht gleich der Schwarzfall sein In Kürze ist mit der Inkraftsetzung des IT-Sicherheitskatalogs durch die Bundesnetz-Agentur (BNetzA) zu rechnen. Damit kommen auf die Energieversorger neue Verpflichtungen zu. Dies betrifft insbesondere die Netzsteuerung für Strom- und Gasnetze. Der Weg zur EnWG- Compliance ( 11 Abs. 1a) Netzsteuerungen unterliegen heute einer starken Abhängigkeit von Telekommunikationsund IT-gestützten Diensten und so auch den damit verbundenen Risiken. Aufgrund der möglichen kritischen Auswirkungen bei länger anhaltenden Ausfällen, kommt der Energieversorgung eine hohe Bedeutung zu. Hinsichtlich dieser Risiken hat der Gesetzgeber im 11 Abs. 1a des EnWG einen angemessenen Schutz vor Bedrohungen der Netzsteuerung verbindlich vorgegeben (EnWG Novelle aus 2011). In dem IT-Sicherheitskatalog der BNetzA werden die Schutzanforderungen bezüglich angemessenem Schutz präzisiert. Diesen müssen die für die Netzführung relevanten Telekommunikations- und IT-gestützten Dienste zukünftig entsprechen. Kernpunkt der Anforderungen ist der zukünftige Nachweis (ab 2017) eines funktionierenden ISMS (Informationssicherheitsmanagementsystems) gemäß ISO/IEC (unter Berücksichtigung von ISO/IEC und ISO/IEC TR 27019, siehe Erläuterung S.3). Netzbetreibern wird daher dringend empfohlen, mit der Implementierung eines ISMS gemäß ISO/IEC 27001:2013 zeitnah zu beginnen. Traditionell wurden Steuerungsnetze von den Büronetzen getrennt. Mit dem Einzug von IP-Protokollen und IT-Systemen hat sich diese Lage jedoch grundsätzlich geändert. Beispielweise wurden in den letzten Jahren zunehmend Cyber-Angriffe aus dem Internet festgestellt, die Netzsteuerungen von Versorgungsnetzen angreifen - hierzu gibt es internationale Beispiele, ebenso aus Deutschland oder von unseren europäischen Nachbarn. Das muss nicht immer gleich zum Schwarzfall führen, kann aber beträchtliche Störungen oder Risiken nach sich ziehen, wie z. B. die sukzessive Ausspähung des Netzbetriebs. Erneuerbare Energien ISMS Ziel Der Wandel zu erneuerbaren Energiequellen und der damit einhergehenden Lastdynamik in Stromnetzen, lässt die traditionell konzipierten physikalischen Sicherheitsreserven schwinden. Ziel einer ISMS-Umsetzung ist es, die kritischen Einrichtungen und Verfahren zur Netzsteuerung gegen die Risiken hinsichtlich der Beeinträchtigung von Verfügbarkeit, Integrität und Vertraulichkeit der Informationen zu schützen. 2

3 Unify verfügt über langjährige Erfahrungen aus zahlreichen Projekten zur Einführung eines ISMS und dessen Zertifizierung. Dazu zählen auch die jeweils geeigneten Methoden und Vorgehensweisen. Die Umsetzung von sicheren Kommunikationsprozessen gehört für Unify zum täglichen Geschäft ISMS Handlungsfelder und Mehrwerte Mit der Einführung eines ISMS geht auch die Umsetzung der notwendigen Verwaltungsund Kontrollprozesse einher sowie der entsprechenden Security-Prozesse, wie z. B. Change-Management, Meldewesen, geordnete Reaktionen auf Vorfälle, vorbeugende und korrigierende Maßnahmen oder Prüfung der Policy- und Compliance-Umsetzung. Der internationale Standard ISO/IEC 27001:2013 inkludiert in seinem Annex A auch den Standard ISO/IEC 27002:2013 Code of Practice für Maßnahmen zur Informationssicherheit. Auf Basis des ISO/IEC 27001:2013 sind die regulativen und vertraglichen Vorgaben, z. B. der BNetzA, verbindlich umzusetzen, daher ist auch die Anwendung des ISO/IEC TR 27019: (vormals DIN SPEC 27009:2012) für die Betreiber verpflichtend. Zur Erreichung der Standard-Compliance gemäß ISO/IEC 27001, ist die aktive Mitwirkung der Unternehmens-/ Bereichsleitung hinsichtlich der Unterstützung, Ressourcenbereitstellung und der regelmäßigen Überwachung des ISMS (Reviews) notwendig. Hierzu gehört auch Festlegung der verantwortlichen Rollen und die Übergabe des Mandats an einen Beauftragten für das ISMS (z. B. Information Security Officer oder Risiko- Manager) sowie die formale Genehmigung und organisatorische Unterstützung zur Einführung und den Betrieb des ISMS. Organisatorische Anforderungen ISMS-Mandat 1 Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC for process control systems specific to the energy utility industry (en) 3

4 Zertifiziert wird nach ISO/IEC Anwendung der relevanten ISO/IEC Standards Eine Zertifizierung erfolgt gegenüber dem Standard ISO/IEC Bei der Prüfung werden die Standards ISO/IEC und ISO/IEC TR einbezogen.standard Kontrollziele der Standards ISO/IEC und ISO/IEC TR ISMS-Planung Projektfahrplan Eine effiziente Umsetzung des Standards zur Erreichung der Compliance bzw. der entsprechenden Zertifizierung, setzt eine sorgsame und zeitgerechte Planung sowie den jeweils geeigneten Methodeneinsatz voraus. Organisatorische Voraussetzungen vor der Einführung des ISMS: Rollen und Management-Auftrag Projektschritte Benennung der verantwortlichen Rollen zur Informationssicherheit und des ISMS Erteilen der Genehmigung und bereitstellen der Ressourcen zur ISMS-Einführung Benennung der regelmäßigen Teilnehmer des ISMS-Forums Die wesentlichen Projektschritte bis zur Compliance-Erreichung/Zertifizierung: Kick-off-Veranstaltung, Information und Feedback mit den Beteiligten und Stakeholdern; Scope-Festlegung - Anwendungsbereich des ISMS unter Berücksichtigung von Abhängigkeiten interner und externer Services/Lieferungen; Gap-Analyse (Bestandsaufnahme) Stand der Informationssicherheit innerhalb des Scopes und Feststellen der Abweichungen zum Standard; Handlungsbedarf auf Basis der Ergebnisse aus der Gap-Analyse festlegen; Risikobewertung u. a. auf Basis der Gap-Analyse (inkl. notwendiger Risikoverfahren); Erstellung eines priorisierten Risikobehandlungsplans; (nach Risiken, Zeitaufwand und Fristen); Security Improvement Programme SIP (Maßnahmenumsetzung) des Risikobehandlungsplans im Rahmen des Security Improvement Programms; 2 Bei der Umsetzung im Bereich der Prozesssteuerung (ISO/IEC TR 27019) arbeiten wir mit qualifizierten und erfahrenen Partnern im Bereich der Netzsteuerungen zusammen. 4

5 Erstellung eines Statement of Applicability - SoA (Erklärung der Anwendung von Maßnahmen) als Audit-Referenz; Internes Audit zur Feststellung des Compliance-Grades (n. ISO und ff); Optional: externe 3rd-Party Audit Bestellung, zwecks formaler Zertifizierung. Bei der Umsetzung des Security Improvement Programms (SIP) fallen u.a. die folgenden Aufgaben an, die wir bei unseren Projektplanungen berücksichtigen: Einrichten eines ISMS-Forums; Verwaltung der Geschäftsanforderungen und Security-Richtlinien (Policy); Ausbildung und Bewusstseinsbildung zur Informationssicherheit; Management der dokumentierten Informationen; Abgleich bzw. Erstellen von Risikomanagementprozessen, der Risikokriterien und Verfahren zum Risiko-Reporting; Festlegung und Pflege der Informationssicherheitsziele; Verfahren zu korrigierenden Maßnahmen und Reaktion auf Non-Conformities; Überwachung der ISMS-Prozesse und des Dokumentenmanagements; Feststellung der ISMS-Wirksamkeit (Überwachung und interne Audits); Management-Review (durch das Senior-Management/Geschäftsleitung); Prozess zur nachhaltigen Verbesserung. Verbesserungsprogramm und ISMS Aufgaben Ggf. gemäß Entwurf zum IT-Sicherheitsgesetz auch der Meldeweg zum SPOC. ISMS Forum Im Rahmen regelmäßiger Sitzungen des ISMS-Forums wird die Umsetzung der ISMS- und Security-Prozesse überwacht und deren Status fortgeschrieben, unabhängig von den prozesseigenen Dokumentationen. Kick-Off Veranstaltung Informationen zum Projekt sind nicht zuletzt wegen der Akzeptanz der Beteiligten essentiell. Daher wird in dem ersten Schritt das Projekt den Beteiligten und den Stakeholdern (Anspruchsgruppen) vorgestellt. Die dabei erhaltenen Rückmeldungen werden aufgenommen und im weiteren Projektverlauf berücksichtigt. Bei dieser Gelegenheit werden auch die für die organisatorischen und funktionalen Anforderungen zuständigen Kontaktpersonen ausgewählt bzw. bestätigt. Projektstart und Informationsautausch Scope-Festlegung Hinsichtlich der Anwendungsebene werden zunächst die Grenzen und die zu erbringenden Leistungen/Services beschrieben, einschließlich der möglichen Übergänge zu Dritten. Die damit einhergehenden potenziellen Auswirkungen und Risiken werden im Nachgang innerhalb des Risikomanagements mit den relevanten Stakeholdern behandelt. 5

6 Anwendungsebene Foto: Ralf Julke Leitwarte Es ist eine Vorgabe aus dem IT-Sicherheitskatalog der BNetzA, dass die kritischen Prozesse und Komponenten zur Netzsteuerung im Scope erfasst werden. Dabei sind auch die möglichen Auswirkungen auf Dritte zu berücksichtigen. Funktionale- / Logische Ebene Auf der funktional-logischen Ebene werden die operativen Verfahren und die technischen Komponenten mit ihren wesentlichen Eigenschaften entsprechend dem Scope eingegrenzt und dokumentiert. Beispiel eines skizzierten Scopes:. Alle zur Bereitstellung einer funktionstüchtigen Netzsteuerung erforderlichen Ressourcen und Dienste werden ebenfalls dokumentiert. Hierzu gehören auch die internen und externen Dienste, die von anderen (außerhalb des Scopes) erbracht werden und von denen die eigene Service-Bereitstellung abhängig ist, einschließlich der zugehörigen SLAs/OLAs (Service-/ Operation-Level-Agreements). Abgrenzung des Scopes Für einen effizienten Projektfortschritt empfehlen wir dringend, den Scope zunächst auf die notwendigen kritischen Prozesse und Komponenten zu begrenzen, wobei die Prozessdurchgängigkeit und Nachvollziehbarkeit sichergestellt werden. Unter Anwendung von SLAs bzw. OLAs für ausgelagerte Standarddienste kann der Scope auf das tatsächlich Notwendige reduziert werden. 6

7 Gap-Analyse Mit der Gap-Analyse wird innerhalb des definierten Scopes festgestellt, inwieweit der aktuelle Stand der Informationssicherheit den Anforderungen der Standards ISO/IEC und ff. entspricht. Oder mit anderen Worten, welche Lücken hinsichtlich der Standarderfüllung noch zu schließen sind. Dazu werden alle relevanten Komponenten und Verfahren innerhalb des definierten Scopes einer Prüfung unterzogen. Die Bewertung erfolgt auf Basis von Prozessprüfungen, Dokumentensichtung und moderierten Interviews. Zur objektiven Bewertung wird innerhalb der Interviews auf repräsentative Fragenkataloge zurückgegriffen. Eine effiziente Erfassung und zeitnahe Präsentation der ersten Ergebnisse (Findings) wird unter Anwendung unseres Unify Gap- Analyse-Tools umgesetzt. Zu jedem der angesprochenen Punkte (Controls) wird eine Bewertung vorgenommen. Diese Bewertungen werden Findings genannt. Die Beantwortung der Fragen ist dabei nur eine der verschiedenen o. g. Bewertungskriterien. Im Zuge der Gap-Analyse wird auch überprüft, welche unabhängigen Systembewertungen (System-Audits) bereits vorgenommen worden sind oder ob hier Nachholbedarf besteht. Diese Informationen fließen ebenfalls in das Ergebnis der Gap-Analyse ein. Das Unify Gap-Analyse-Tool unterstützt zur Bewertung die gängigen ISO-Standards im IT- Umfeld. Eine Summierung der Ergebnisse kann wahlweise als Spider-Ergebnisdarstellung auf der Hauptkapitelebene oder als Scorecards auf der Haupt- und Unterkapitelebene vorgenommen werden. Spider-Darstellung der Ergebnisse aus der Gap-Analyse: Gap-Analyse als Bestandsaufnahme Findings Ergebnisse als Scorecard- oder Spider-Darstellung Beispiel Spider- Darstellung Beispiel ISO(IEC Mit der Spider-Darstellung 3 sind die Haupthandlungsfelder schnell identifizierbar. 3 Die hier gewählte Darstellung kann, entsprechend der Konfiguration, von der des Unify-Tools abweichen. 7

8 Informationsbasis für die Folgeprojektschritte Die Gap-Analyse Ergebnisse (Detailinformationen aus den Findings) werden als Basisinformationen für die Folgeschritte bereitgestellt, z. B. für die: Risikobewertung (als eine wesentliche Informationsquelle) Erstellung des Risikobehandlungsplans Vorlage zum SoA (Statement of Applicability) Risikobewertung Spektrum der Risikoerfassung Die Findings aus der Gap-Analyse sind insbesondere für die Risikobewertung eine wesentliche Informationsquelle. Nach Möglichkeit werden für das Risikomanagement die Verfahren und Kriterien des unternehmensweiten Risikomanagements übernommen. Falls dies nicht möglich ist, werden diese entsprechend den Standard- Anforderungen neu festgelegt und mit der Geschäftsführung abgestimmt (formale Genehmigung). Neben den Findings aus der Gap-Analyse, werden im Rahmen des Risikomanagements noch weitere Eingangsquellen berücksichtigt, beispielsweise Risiken aus Sicherheitsvorfällen (Incidents), aus anderen Audits oder aus der Beobachtung des Betriebs. Entscheidend für den Standard ISO/IEC ist, dass die jeweiligen Risikobewertungen nachvollziehbar und reproduzierbar sind. Grundlage zur Risikobewertung sind die Auswirkungen auf den Betrieb (Impact ) und die Eintrittswahrscheinlichkeit von Bedrohungen (Likelihood) 4, sie bilden entsprechend dem ausgewählten Berechnungs-Algorithmus das Risikomaß (Level of Risk). Trenderkennung Bei niedriger Eintrittswahrscheinlichkeit und hohen Auswirkungen ist ggfs. hinsichtlich des Risikomaßes Vorsicht geboten, um Fehleinschätzungen durch Varianzen der Wahrscheinlichkeit vorzubeugen. Zur Trenderkennung präferieren wir die Anwendung von Risikofrühindikatoren, bei deren Auswahl bringen wir gerne unsere Erfahrungen ein. 4 Vergleichbar mit dem Schutzbedarf des Grundschutzkataloges (BSI-Bund) 8

9 Es werden Risikoakzeptanzkriterien für das Risikomaß festgelegt, nach denen entschieden wird, ob die Risiken akzeptabel sind oder nicht, dementsprechend erfolgt die weitere Risikobehandlung. Hinsichtlich der Risikobehandlung wird die Auswahl von verschiedenen Risikobehandlungsoptionen dokumentiert. Die Ergebnisse der jeweiligen Risikobewertung und der Behandlungsoption werden in einem Risikobericht eingetragen. Dort wird auch das Risikomaß des Restrisikos nach der vorgesehenen Risikobehandlung dokumentiert. Der Risikobericht wird kontinuierlich aktualisiert und überprüft. Dabei werden alle Sicherheitsvorfälle (Information Security Incidents), Findings aus Audits oder Feststellungen zur Informationssicherheit aus dem Betrieb berücksichtigt. Für regelmäßig wiederkehrende Risikobewertungen mit Ableitung von Folgemaßnahmen ist es zweckdienlich und effizienzfördernd, ein passendes ISMS-Tool einzusetzen. Am Markt gibt es eine Vielzahl von ISMS-Tools. Wir unterstützen bei der Auswahl eines geeigneten Tools sowie bei dessen Einsatzgestaltung. Risikoakzeptanz Behandlungsoptionen Risikobericht Risikobehandlungsplan Alle Risiken, die für die Risikominimierung (via Gegenmaßnahmen) vorgesehen sind, werden in einem priorisiertem Risikobehandlungsplan (Maßnahmenplan) geführt. Zu jedem Risiko wird jeweils die personelle Zuständigkeit (risk-owner) und für die Risikobehandlung ein Zieltermin (due-date) festgelegt. Die Umsetzung der Risikobehandlung wird kontinuierlich überwacht und Besonderheiten werden berichtet, z. B. an das ISMS-Forum. Die Prioritäten der jeweiligen Maßnahmen richten sich nicht nur nach den aktuellen Risiken, sondern auch nach den Fertigstellungsfristen und Umsetzungsdauer der Maßnahmen. Ferner sind die Nachweispflichten zu berücksichtigen, mit welchen eine Verbesserung des ISMS belegt werden kann. Maßnahmenplan Security-Improvement-Programme - SIP Die Umsetzung des Maßnahmenplans stellt nur einen Teil des Security-Improvement- Programms (SIP) dar. Wichtig sind die frühzeitige Einführung und Umsetzung der operativen ISMS-Prozesse, da nur mit diesen die Verbesserung eines ISMS erreicht und nachgewiesen werden kann. Hierzu zählen: Einrichten eines ISMS-Forums Ggfs. auch der Meldeweg zum SPOC gemäß Entwurf zum IT-Sicherheitsgesetz. Verwaltung von Geschäftsanforderungen und Richtlinien (Policy) Ausbildung und Bewusstseinsbildungsprozess Managementprozess zu dokumentierten Informationen Risikomanagementprozesse und Risiko-Reporting Festlegung und Pflege der Informationssicherheitsziele Verfahren zu korrigierenden Maßnahmen und Reaktion auf Non-Conformities Überwachung der ISMS-Prozesse und des Dokumentenmanagements Feststellung der ISMS-Wirksamkeit (Überwachung und int. Audits) Management-Review (durch das Senior-Management/Geschäftsleitung) Prozess zur nachhaltigen Verbesserung 9

10 ISMS-Forum Aufgaben des ISMS Forums Das ISMS-Forum hat u. a. die Aufgabe einer zeitnahen Überwachung der ISMS-Prozesse und der zugehörigen Informationssicherheit. Es setzt sich aus dem Beauftragten für das ISMS und den ISMS-Beteiligten zusammen und berücksichtigt die Geschäfts-/Stakeholder- Anforderungen. Es ist die erste Instanz für übergreifende Entscheidungen. In den regelmäßigen Sitzungen des ISMS-Forums wird die Funktion der ISMS-Prozesse überwacht und deren Status fortgeschrieben, unabhängig von den prozesseigenen Dokumentationen. Die zusammengefassten Ergebnisse werden regelmäßig der Geschäftsleitung berichtet. Statement of Applicability - SoA SoA (Statement of Applicability) Im Statement of Applicability SoA werden die Informationssicherheitsziele in Verbindung mit der Umsetzung der einzelnen Maßnahmen (Controls) beschrieben. Dieses Dokument dient als Referenz für die nachfolgenden Audits. Die tatsächlichen Sachverhalte sind zu dokumentieren (IST-Zustände). Ziele, die aus dem Audit nicht bestätigt werden können, führen im Audit-Ergebnis zu einem Gap oder einer Non Conformity. In dem SoA werden grundsätzlich alle Kontrollziele des Annex A (ISO/IEC 27002) und des ISO/IEC TR berücksichtigt. Für den Fall, dass einzelne Kontrollziele abgewählt werden, ist dies plausibel zu erläutern. Das SoA ist insbesondere vor Audits aktuell zu pflegen. Die wesentlichen Dokumente, wie Risiko-Bericht, Risikobehandlungsplan, Maßnahmenplan und SoA, werden von guten ISMS-Tools unterstützt. Internes Audit 1st Party Audit Das interne Audit dient einerseits zur Selbstkontrolle, welchen Compliance-Grad das ISMS erreicht hat, ist aber andererseits eine Grundvoraussetzung für ein formales Zertifizierungsaudit. Das interne Audit wird ähnlich der Gap-Analyse durchgeführt, jedoch vergleicht es die Umsetzung entsprechend dem SoA und prüft gleichzeitig, ob die Bedingungen für die ISO/IEC Compliance erreicht werden. So werden neben den vorgenannten Kontrollzielen u. a. auch die ISMS-Prozesse oder Entscheidungen und ihre Dokumentation auf ihre Nachvollziehbarkeit überprüft. Interne Audits sollen regelmäßig und vollumfänglich durchgeführt werden, um Compliance-Lücken zu vermeiden, bzw. zu erkennen. Ein ISMS-Tool kann dabei auch die Arbeit des Auditors für nachgelagerte Audits erheblich unterstützen. Anmerkung: In einem frisch aufgesetzten ISMS-Projekt sind einige Abläufe oder deren fristgemäße Umsetzung nicht von vornherein ersichtlich. So kann beispielsweise die termingerechte Bereitstellung (zum Audit-Termin) wichtiger Nachweise fehlen. Für derartige Projekte können Erfahrungen aus anderen ISMS-Projekten hinsichtlich der Planung helfen. 10

11 Externe 3rd-Party Audit Bestellung Wenn die Entscheidung für eine formale externe Zertifizierung gefallen ist, dann sollten sehr zeitnah die Art der Zertifizierung festgelegt und die Maßnahmen zur Zertifizierungsvorbereitung eingeleitet werden. Zweckmäßigerweise werden diese Maßnahmen schon während der Projektlaufzeit berücksichtigt. Formale Zertifizierung Im Gegensatz zu einem internen Audit werden im externen Audit nur Stichproben genommen. Je nach Unternehmensstruktur kommen ggfs. verschiedene Zertifizierungsarten in Betracht. Ob beispielsweise eine Standardzertifizierung auf Basis ISO/IEC oder eine Gemeinschaftszertifizierung über gleichartig strukturierte und vertraglich verbundene Unternehmen hinweg infrage kommen, ist projektspezifisch mit der Zertifizierungsinstanz zu vereinbaren. Entsprechend dem ausgewählten Scope, wird eine geeignete Zertifizierungsform unter Berücksichtigung der damit verbundenen Aufwände sowie der jeweiligen Vor- und Nachteile ausgewählt. Auf Basis der langjährigen Erfahrungen mit dem Zertifizierungsprozess kann Unify die Kundenangelegenheiten zu diesem Prozess zielgerichtet unterstützen. Eines ist aber sicher: Mit der Zertifizierung alleine ist man noch nicht am Ziel. Nach der Zertifizierung ist vor der Zertifizierung, bzw. richtiger, nach dem Audit ist vor dem Audit. Hier besteht ein sich ständig wiederholender Prozess. Gemäß dem Standard ISO/IEC fallen nach erfolgreichem Durchlauf des Zertifizierungsaudits jährliche Überwachungsaudits und alle drei Jahre die Wiederholung des Zertifizierungsaudits an. 11

12 Über Unify Unify ist ein weltweit führendes Unternehmen für Kommunikationssoftware und -services, das annähernd 75 Prozent der Global 500 -Unternehmen mit seinen integrierten Kommunikationslösungen beliefert. Unsere Lösungen vereinen unterschiedliche Netzwerke, Geräte und Applikationen auf einer einzigen, einfach bedienbaren Plattform, die Teams einen umfassenden und effizienten Austausch ermöglicht. Damit verändert sich die Art und Weise, wie Unternehmen kommunizieren und zusammenarbeiten, nachhaltig die Teamleistung wird verstärkt, das Geschäft belebt und die Business- Performance erheblich verbessert. Unify verfügt über eine lange Tradition aus verlässlichen Produkten, Innovationen, offenen Standards und Sicherheit. Unify.com Copyright Unify GmbH & Co. KG 2014 Hofmannstr. 51, D München Alle Rechte vorbehalten. Die Informationen in diesem Dokument enthalten lediglich allgemeine Beschreibungen bzw. Leistungsmerkmale, die je nach Anwendungsfall nicht immer in der beschriebenen Form zutreffen oder sich durch Weiterentwicklung der Produkte ändern können. Eine Verpflichtung, die jeweiligen Merkmale zu gewährleisten besteht nur, sofern diese ausdrücklich vertraglich zugesichert wurden. Liefermöglichkeiten und technische Änderungen vorbehalten. 12 Unify, OpenScape, OpenStage und HiPath sind eingetragene Marken der Unify GmbH & Co. KG. Alle anderen Marken-, Produkt- und Servicenamen sind Warenzeichen oder eingetragene Warenzeichen ihrer jeweiligen Inhaber.

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Learning Credit Points

Learning Credit Points Learning Credit Points Weiterbildung einfach und clever managen Unify Academy 1 Was sind Learning Credit Points? Ihre Vorteile: Der einfache Weg für das Management Ihrer Trainings Einfache Planung: Learning

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

Effizienz mit System. Implementierung von Informationssicherheit nach ISO 27001

Effizienz mit System. Implementierung von Informationssicherheit nach ISO 27001 Effizienz mit System Implementierung von Informationssicherheit nach ISO 27001 Dipl.-Ing. Berthold Haberler, Information Security Officer, LINZ AG Telekom LINZ STROM GmbH, Abt. f. Übertragungstechnik Der

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Sicherer Systembetrieb in der Energiewirtschaft. Worum es geht zertifiziert und grundlegend. Von der Analyse bis zur Zertifizierung.

Sicherer Systembetrieb in der Energiewirtschaft. Worum es geht zertifiziert und grundlegend. Von der Analyse bis zur Zertifizierung. Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industriestaaten ist das gesamte Leben von einer sicheren Energieversorgung

Mehr

Informationssicherheit in der Energieversorgung

Informationssicherheit in der Energieversorgung FNN-/DVGW-Hinweis Informationssicherheit in der Energieversorgung Rechtliche Einordnung und Hilfestellungen für die Umsetzung Dezember 2015 in Kooperation mit Impressum Forum Netztechnik / Netzbetrieb

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT COMPLIANCE STANDARD: WOZU? Leitfaden/Richtlinie beim Aufbau eines Compliance Management Systems Schaffung eines State-of-the-Art

Mehr

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen

Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen Robert Grey, Symposium NLT / IT, Bautzen, 22. September 2015 Im Dschungel der IT-Sicherheitsrichtlinien Was sollten Energieversorgungsunternehmen wissen? September 24, 2015 Slide 1 Über den Drucker ins

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* *DDDP = Do-Do-Do-Panic Mission und Vision Die CETUS Consulting GmbH

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014 ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle G m b H Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit ISMS Portfolio Sicher. Besser. TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit TÜV TRUST IT GmbH Daten

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Osnabrück, 29.10.2014

Osnabrück, 29.10.2014 Luisenstraße 20 49074 Osnabrück Name: Durchwahl: Fax: Mail: Daniel Eling 0541.600680-22 0541.600680-12 Daniel.Eling@smartoptimo.de Osnabrück, 29.10.2014 Einladung: Seminar IT-Sicherheitskatalog, BSI-Schutzprofil

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Ihr Weg zur Energie-Effizienz

Ihr Weg zur Energie-Effizienz Ihr Weg zur Energie-Effizienz Die Energieberatung ist wichtiges Instrument, um Informationsdefizite abzubauen, Energiesparpotenziale zu erkennen und Energieeinsparungen zu realisieren. Anliegen ist dabei

Mehr

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen

Mehr

Sprache ändern. Um die Sprache zu ändern, in der Ihnen die Bedienoberfläche angezeigt wird:

Sprache ändern. Um die Sprache zu ändern, in der Ihnen die Bedienoberfläche angezeigt wird: Anmelden Abmelden Passwort ändern Bevor Ihnen die Bedienoberfläche angezeigt wird, müssen Sie sich anmelden. Um sich anzumelden: Ø Im Webbrowser die Internetadresse des Web Clients aufrufen. Die Anmeldeseite

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

QI SERVICES. QI RISK.

QI SERVICES. QI RISK. QI SERVICES. QI RISK. 3/7/2014 1 Agenda QI Services Qi Risk Rechtliches Umfeld QI Risk Audit Auf einen Blick Ihr Nutzen Risk Scan 3/7/2014 2 QI Services Mit der Produktgruppe QI Services unterstützen wir

Mehr

Dieter Brunner ISO 27001 in der betrieblichen Praxis

Dieter Brunner ISO 27001 in der betrieblichen Praxis Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Informationssicherheits-, Risiko- und Compliance-Management

Informationssicherheits-, Risiko- und Compliance-Management Informationssicherheits-, Risiko- und Compliance-Management Professionelles Informationssicherheits-, Risiko- und Compliance-Management ISO 27001, Risiko- und Compliance-Management, Prozesse, Policies,

Mehr

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel Datum des LAV-Beschlusses: 05.11.2012 Seite 1 von 9 Inhalt 1 Zweck, Ziel... 1 2 Geltungsbereich... 2 3 Begriffe, Definitionen... 2 4 Verfahren... 2 4.1 Planung der Audits... 5 4.2 Vorbereitung des Audits...

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Freigegeben durch Dr. Stefan Krempl Vertraulichkeitsstufe Intern + Vertrieb

Freigegeben durch Dr. Stefan Krempl Vertraulichkeitsstufe Intern + Vertrieb Zum Geltungsbereich einer ISO/IEC ISO 27001 Zertifizierung für Energiever- sorger unter Berücksichtigung der ISO/IEC TR 27019, den Vorgaben der IT- Sicherheitsgesetzes und des IT- Sicherheitskataloges

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Sicherheit um jeden Preis? Bietet die zertifizierte Sicherheit garantierte Sicherheit?

Sicherheit um jeden Preis? Bietet die zertifizierte Sicherheit garantierte Sicherheit? Sicherheit um jeden Preis? Bietet die zertifizierte Sicherheit garantierte Sicherheit? Roman Haltinner Senior Manager, KPMG Head Information Protection and Business Resilience Glattbrugg, 13.03.2014 Vorstellung

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 Agenda 1. IT-Notfall üben macht stark! 2. Übungen im Kontext des Notfallmanagements 3. Praxisbeispiel einer Notfallübung 4. Erkenntnisse aus

Mehr

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz www.tekit.de Geprüfter TÜV Zertifikat für Geprüften TÜV-zertifizierter Der Schutz von personenbezogenen Daten ist in der EU durch eine richtlinie geregelt. In Deutschland ist dies im Bundesdatenschutzgesetz

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

Risikobasierte Bewertung von Hilfsstoffen

Risikobasierte Bewertung von Hilfsstoffen Risikobasierte Bewertung von Hilfsstoffen Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an ICH Q9): Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Übungsbeispiele für die mündliche Prüfung

Übungsbeispiele für die mündliche Prüfung Übungsbeispiele für die mündliche Prüfung Nr. Frage: 71-02m Welche Verantwortung und Befugnis hat der Beauftragte der Leitung? 5.5.2 Leitungsmitglied; sicherstellen, dass die für das Qualitätsmanagementsystem

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme Inhalt Zur Relevanz von ISMS für EVUs Übersicht Kritische Infrastrukturen 11 EnWG BSI-Standards 100-x Was ist ein ISMS? Unterstützung

Mehr

Profil e-shelter security. Umfassende Sicherheitslösungen aus einer Hand

Profil e-shelter security. Umfassende Sicherheitslösungen aus einer Hand Profil e-shelter security Umfassende Sicherheitslösungen aus einer Hand Die Leistungen der e-shelter security Die e-shelter security GmbH sichert Gewerbeimmobilien und große Gebäudekomplexe sowie Wohnhäuser

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

4. Einführung eines Qualitätsmanagementsystems

4. Einführung eines Qualitätsmanagementsystems Einführung eines Qualitätsmanagementsystems 14 4. Einführung eines Qualitätsmanagementsystems Ein Qualitätsmanagementsystem ist ein Managementsystem zum Lenken und Leiten eines Unternehmens bezüglich der

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Risikomanagementsystem

Risikomanagementsystem Beispiel 1. Einleitung Eine risikoorientierte Unternehmensüberwachung wird vor dem Hintergrund der steigenden Komplexität in der Unternehmensumwelt immer wichtiger. Der Gesetzgeber hat mit dem Gesetz zur

Mehr

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Joel Hencks AeroEx 2012 1 1 Agenda Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management Management System

Mehr

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten

Mehr

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 ISMS bei DENIC Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 Agenda Kurzvorstellung DENIC eg ISMS bei DENIC Entwicklung des ISMS bei DENIC Risikomanagement im Bereich Information

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Compliance Monitoring mit PROTECHT.ERM

Compliance Monitoring mit PROTECHT.ERM covalgo consulting GmbH Operngasse 17-21 1040 Wien, Austria www.covalgo.at Compliance Monitoring mit PROTECHT.ERM Autor: DI Mag. Martin Lachkovics, Dr. Gerd Nanz Datum: 20. Oktober 2014, 29. April 2015

Mehr

MIS Service Portfolio

MIS Service Portfolio MIS Service Portfolio Service Level Management o Service Management o Customer Satisfaction Management o Contract Management & Accounting o Risk Management Event Management o Monitoring und Alerting Services

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Seminareinladung - Netzbetrieb & IT -

Seminareinladung - Netzbetrieb & IT - Becker Büttner Held Consulting AG Pfeuferstraße 7 81373 München Seminareinladung - Netzbetrieb & IT - Unser Az.: 001689-14 München, 25.03.2014 (Bitte stets angeben.) - Seminareinladung: IT-Sicherheitskatalog,

Mehr

Qualitätsmanagement: Typischer Ablauf eines Zertifizierungsprojektes. bbu-unternehmensberatung, Hannover

Qualitätsmanagement: Typischer Ablauf eines Zertifizierungsprojektes. bbu-unternehmensberatung, Hannover Qualitätsmanagement: Typischer Ablauf eines Zertifizierungsprojektes bbu-unternehmensberatung, Hannover Wie läuft ein Zertifizierungsprojekt ab? Stufe 5 Verbesserung regelmäßige Änderungen (QMH) Q-Zirkel,

Mehr

Einführung von Informationssicherheitsmanagementsystemen (ISMS) und Bewertung des Umsetzungsgrades. (c) 2015 - SAMA PARTNERS Business Solutions GmbH

Einführung von Informationssicherheitsmanagementsystemen (ISMS) und Bewertung des Umsetzungsgrades. (c) 2015 - SAMA PARTNERS Business Solutions GmbH Einführung von Informationssicherheitsmanagementsystemen (ISMS) und Bewertung des Umsetzungsgrades (c) 2015 - SAMA PARTNERS Business Solutions GmbH Agenda Vorstellung SAMA PARTNERS Vorstellung Teilnehmer

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015 www.dvgw-regelwerk.de Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015 Sicherheit in der Gasversorgung; Risikomanagement von gastechnischen Infrastrukturen im Normalbetrieb Security of Gas Supply;

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

Beispielfragen TS9(3) Systemauditor nach ISO/TS 16949 (1 st,2 nd party)

Beispielfragen TS9(3) Systemauditor nach ISO/TS 16949 (1 st,2 nd party) Allgemeine Hinweise: Es wird von den Teilnehmern erwartet, dass ausreichende Kenntnisse vorhanden sind, um die Fragen 1 bis 10 unter Verwendung der ISO/TS 16949 und ggf. ergänzender Automotive Broschüren

Mehr

OpenScape Cloud Contact Center IVR

OpenScape Cloud Contact Center IVR OpenScape Cloud Contact Center IVR Intelligente Self-Service-Lösung dank kostengünstiger, gehosteter IVR-Software so einfach wie nie Kundenzufriedenheit ohne die üblichen Kosten Leistungsstarke Self-Service-Option

Mehr

Security & Quality: Implementierung von ISO 27001 und ISO 13485 in der Medizintechnik

Security & Quality: Implementierung von ISO 27001 und ISO 13485 in der Medizintechnik Security & Quality: Implementierung von ISO 27001 und ISO 13485 in der Medizintechnik Thomas Hasiba kurze CV 1998 TOM Medical Entwicklung und Produktion von Langzeit EKGS-Systemen Weltweiter Vertrieb der

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Modellbasiertes Anforderungsmanagement für Change Requests Ein Praxisbericht. München, 11.03.2014

Modellbasiertes Anforderungsmanagement für Change Requests Ein Praxisbericht. München, 11.03.2014 Modellbasiertes Anforderungsmanagement für Change Requests Ein Praxisbericht München, 11.03.2014 Vorstellung Ihr Referent Ralf Nagel Senior Consultant für modellbasierte Anforderungsanalyse MID GmbH Kressengartenstraße

Mehr

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell Bernd Ewert it-sa Oktober 2009 Forum rot Grundsätzliches zur Risikoanalyse Sinn der Risikoanalyse: Übersicht schaffen Schutzmaßnahmen steuern

Mehr

Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert.

Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert. Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen im gesundheitlichen Verbraucherschutz 1 Vorwort Die in der Verordnung (EG) Nr. 882/2004 des Europäischen Parlaments und des Rates über amtliche

Mehr

Managementhandbuch der Tintschl Communications AG

Managementhandbuch der Tintschl Communications AG Managementhandbuch der Tintschl Communications AG Version 3.1 13.02.2013 Verbindlichkeit Dieses Managementhandbuch beschreibt das Qualitätsmanagementsystem der Tintschl Communications AG. Zusammen mit

Mehr

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters IS-Revisorentreffen 2012 Ronny Frankenstein 1 Agenda 1 Kurze Vorstellung 2 Motivation 3 Vorgeschichte 4 Umsetzung 5 Ergebnisse 2 Vorstellung

Mehr