Versorgungssicherheit und EnWG-Compliance

Größe: px
Ab Seite anzeigen:

Download "Versorgungssicherheit und EnWG-Compliance"

Transkript

1 Versorgungssicherheit und EnWG-Compliance Dem Schwarzfall vorbeugen, mit einem Management (ISMS) für sichere Steuerungs- und Kommunikationsprozesse gemäß ISO/IEC 27001

2 Es muss nicht gleich der Schwarzfall sein In Kürze ist mit der Inkraftsetzung des IT-Sicherheitskatalogs durch die Bundesnetz-Agentur (BNetzA) zu rechnen. Damit kommen auf die Energieversorger neue Verpflichtungen zu. Dies betrifft insbesondere die Netzsteuerung für Strom- und Gasnetze. Der Weg zur EnWG- Compliance ( 11 Abs. 1a) Netzsteuerungen unterliegen heute einer starken Abhängigkeit von Telekommunikationsund IT-gestützten Diensten und so auch den damit verbundenen Risiken. Aufgrund der möglichen kritischen Auswirkungen bei länger anhaltenden Ausfällen, kommt der Energieversorgung eine hohe Bedeutung zu. Hinsichtlich dieser Risiken hat der Gesetzgeber im 11 Abs. 1a des EnWG einen angemessenen Schutz vor Bedrohungen der Netzsteuerung verbindlich vorgegeben (EnWG Novelle aus 2011). In dem IT-Sicherheitskatalog der BNetzA werden die Schutzanforderungen bezüglich angemessenem Schutz präzisiert. Diesen müssen die für die Netzführung relevanten Telekommunikations- und IT-gestützten Dienste zukünftig entsprechen. Kernpunkt der Anforderungen ist der zukünftige Nachweis (ab 2017) eines funktionierenden ISMS (Informationssicherheitsmanagementsystems) gemäß ISO/IEC (unter Berücksichtigung von ISO/IEC und ISO/IEC TR 27019, siehe Erläuterung S.3). Netzbetreibern wird daher dringend empfohlen, mit der Implementierung eines ISMS gemäß ISO/IEC 27001:2013 zeitnah zu beginnen. Traditionell wurden Steuerungsnetze von den Büronetzen getrennt. Mit dem Einzug von IP-Protokollen und IT-Systemen hat sich diese Lage jedoch grundsätzlich geändert. Beispielweise wurden in den letzten Jahren zunehmend Cyber-Angriffe aus dem Internet festgestellt, die Netzsteuerungen von Versorgungsnetzen angreifen - hierzu gibt es internationale Beispiele, ebenso aus Deutschland oder von unseren europäischen Nachbarn. Das muss nicht immer gleich zum Schwarzfall führen, kann aber beträchtliche Störungen oder Risiken nach sich ziehen, wie z. B. die sukzessive Ausspähung des Netzbetriebs. Erneuerbare Energien ISMS Ziel Der Wandel zu erneuerbaren Energiequellen und der damit einhergehenden Lastdynamik in Stromnetzen, lässt die traditionell konzipierten physikalischen Sicherheitsreserven schwinden. Ziel einer ISMS-Umsetzung ist es, die kritischen Einrichtungen und Verfahren zur Netzsteuerung gegen die Risiken hinsichtlich der Beeinträchtigung von Verfügbarkeit, Integrität und Vertraulichkeit der Informationen zu schützen. 2

3 Unify verfügt über langjährige Erfahrungen aus zahlreichen Projekten zur Einführung eines ISMS und dessen Zertifizierung. Dazu zählen auch die jeweils geeigneten Methoden und Vorgehensweisen. Die Umsetzung von sicheren Kommunikationsprozessen gehört für Unify zum täglichen Geschäft ISMS Handlungsfelder und Mehrwerte Mit der Einführung eines ISMS geht auch die Umsetzung der notwendigen Verwaltungsund Kontrollprozesse einher sowie der entsprechenden Security-Prozesse, wie z. B. Change-Management, Meldewesen, geordnete Reaktionen auf Vorfälle, vorbeugende und korrigierende Maßnahmen oder Prüfung der Policy- und Compliance-Umsetzung. Der internationale Standard ISO/IEC 27001:2013 inkludiert in seinem Annex A auch den Standard ISO/IEC 27002:2013 Code of Practice für Maßnahmen zur Informationssicherheit. Auf Basis des ISO/IEC 27001:2013 sind die regulativen und vertraglichen Vorgaben, z. B. der BNetzA, verbindlich umzusetzen, daher ist auch die Anwendung des ISO/IEC TR 27019: (vormals DIN SPEC 27009:2012) für die Betreiber verpflichtend. Zur Erreichung der Standard-Compliance gemäß ISO/IEC 27001, ist die aktive Mitwirkung der Unternehmens-/ Bereichsleitung hinsichtlich der Unterstützung, Ressourcenbereitstellung und der regelmäßigen Überwachung des ISMS (Reviews) notwendig. Hierzu gehört auch Festlegung der verantwortlichen Rollen und die Übergabe des Mandats an einen Beauftragten für das ISMS (z. B. Information Security Officer oder Risiko- Manager) sowie die formale Genehmigung und organisatorische Unterstützung zur Einführung und den Betrieb des ISMS. Organisatorische Anforderungen ISMS-Mandat 1 Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC for process control systems specific to the energy utility industry (en) 3

4 Zertifiziert wird nach ISO/IEC Anwendung der relevanten ISO/IEC Standards Eine Zertifizierung erfolgt gegenüber dem Standard ISO/IEC Bei der Prüfung werden die Standards ISO/IEC und ISO/IEC TR einbezogen.standard Kontrollziele der Standards ISO/IEC und ISO/IEC TR ISMS-Planung Projektfahrplan Eine effiziente Umsetzung des Standards zur Erreichung der Compliance bzw. der entsprechenden Zertifizierung, setzt eine sorgsame und zeitgerechte Planung sowie den jeweils geeigneten Methodeneinsatz voraus. Organisatorische Voraussetzungen vor der Einführung des ISMS: Rollen und Management-Auftrag Projektschritte Benennung der verantwortlichen Rollen zur Informationssicherheit und des ISMS Erteilen der Genehmigung und bereitstellen der Ressourcen zur ISMS-Einführung Benennung der regelmäßigen Teilnehmer des ISMS-Forums Die wesentlichen Projektschritte bis zur Compliance-Erreichung/Zertifizierung: Kick-off-Veranstaltung, Information und Feedback mit den Beteiligten und Stakeholdern; Scope-Festlegung - Anwendungsbereich des ISMS unter Berücksichtigung von Abhängigkeiten interner und externer Services/Lieferungen; Gap-Analyse (Bestandsaufnahme) Stand der Informationssicherheit innerhalb des Scopes und Feststellen der Abweichungen zum Standard; Handlungsbedarf auf Basis der Ergebnisse aus der Gap-Analyse festlegen; Risikobewertung u. a. auf Basis der Gap-Analyse (inkl. notwendiger Risikoverfahren); Erstellung eines priorisierten Risikobehandlungsplans; (nach Risiken, Zeitaufwand und Fristen); Security Improvement Programme SIP (Maßnahmenumsetzung) des Risikobehandlungsplans im Rahmen des Security Improvement Programms; 2 Bei der Umsetzung im Bereich der Prozesssteuerung (ISO/IEC TR 27019) arbeiten wir mit qualifizierten und erfahrenen Partnern im Bereich der Netzsteuerungen zusammen. 4

5 Erstellung eines Statement of Applicability - SoA (Erklärung der Anwendung von Maßnahmen) als Audit-Referenz; Internes Audit zur Feststellung des Compliance-Grades (n. ISO und ff); Optional: externe 3rd-Party Audit Bestellung, zwecks formaler Zertifizierung. Bei der Umsetzung des Security Improvement Programms (SIP) fallen u.a. die folgenden Aufgaben an, die wir bei unseren Projektplanungen berücksichtigen: Einrichten eines ISMS-Forums; Verwaltung der Geschäftsanforderungen und Security-Richtlinien (Policy); Ausbildung und Bewusstseinsbildung zur Informationssicherheit; Management der dokumentierten Informationen; Abgleich bzw. Erstellen von Risikomanagementprozessen, der Risikokriterien und Verfahren zum Risiko-Reporting; Festlegung und Pflege der Informationssicherheitsziele; Verfahren zu korrigierenden Maßnahmen und Reaktion auf Non-Conformities; Überwachung der ISMS-Prozesse und des Dokumentenmanagements; Feststellung der ISMS-Wirksamkeit (Überwachung und interne Audits); Management-Review (durch das Senior-Management/Geschäftsleitung); Prozess zur nachhaltigen Verbesserung. Verbesserungsprogramm und ISMS Aufgaben Ggf. gemäß Entwurf zum IT-Sicherheitsgesetz auch der Meldeweg zum SPOC. ISMS Forum Im Rahmen regelmäßiger Sitzungen des ISMS-Forums wird die Umsetzung der ISMS- und Security-Prozesse überwacht und deren Status fortgeschrieben, unabhängig von den prozesseigenen Dokumentationen. Kick-Off Veranstaltung Informationen zum Projekt sind nicht zuletzt wegen der Akzeptanz der Beteiligten essentiell. Daher wird in dem ersten Schritt das Projekt den Beteiligten und den Stakeholdern (Anspruchsgruppen) vorgestellt. Die dabei erhaltenen Rückmeldungen werden aufgenommen und im weiteren Projektverlauf berücksichtigt. Bei dieser Gelegenheit werden auch die für die organisatorischen und funktionalen Anforderungen zuständigen Kontaktpersonen ausgewählt bzw. bestätigt. Projektstart und Informationsautausch Scope-Festlegung Hinsichtlich der Anwendungsebene werden zunächst die Grenzen und die zu erbringenden Leistungen/Services beschrieben, einschließlich der möglichen Übergänge zu Dritten. Die damit einhergehenden potenziellen Auswirkungen und Risiken werden im Nachgang innerhalb des Risikomanagements mit den relevanten Stakeholdern behandelt. 5

6 Anwendungsebene Foto: Ralf Julke Leitwarte Es ist eine Vorgabe aus dem IT-Sicherheitskatalog der BNetzA, dass die kritischen Prozesse und Komponenten zur Netzsteuerung im Scope erfasst werden. Dabei sind auch die möglichen Auswirkungen auf Dritte zu berücksichtigen. Funktionale- / Logische Ebene Auf der funktional-logischen Ebene werden die operativen Verfahren und die technischen Komponenten mit ihren wesentlichen Eigenschaften entsprechend dem Scope eingegrenzt und dokumentiert. Beispiel eines skizzierten Scopes:. Alle zur Bereitstellung einer funktionstüchtigen Netzsteuerung erforderlichen Ressourcen und Dienste werden ebenfalls dokumentiert. Hierzu gehören auch die internen und externen Dienste, die von anderen (außerhalb des Scopes) erbracht werden und von denen die eigene Service-Bereitstellung abhängig ist, einschließlich der zugehörigen SLAs/OLAs (Service-/ Operation-Level-Agreements). Abgrenzung des Scopes Für einen effizienten Projektfortschritt empfehlen wir dringend, den Scope zunächst auf die notwendigen kritischen Prozesse und Komponenten zu begrenzen, wobei die Prozessdurchgängigkeit und Nachvollziehbarkeit sichergestellt werden. Unter Anwendung von SLAs bzw. OLAs für ausgelagerte Standarddienste kann der Scope auf das tatsächlich Notwendige reduziert werden. 6

7 Gap-Analyse Mit der Gap-Analyse wird innerhalb des definierten Scopes festgestellt, inwieweit der aktuelle Stand der Informationssicherheit den Anforderungen der Standards ISO/IEC und ff. entspricht. Oder mit anderen Worten, welche Lücken hinsichtlich der Standarderfüllung noch zu schließen sind. Dazu werden alle relevanten Komponenten und Verfahren innerhalb des definierten Scopes einer Prüfung unterzogen. Die Bewertung erfolgt auf Basis von Prozessprüfungen, Dokumentensichtung und moderierten Interviews. Zur objektiven Bewertung wird innerhalb der Interviews auf repräsentative Fragenkataloge zurückgegriffen. Eine effiziente Erfassung und zeitnahe Präsentation der ersten Ergebnisse (Findings) wird unter Anwendung unseres Unify Gap- Analyse-Tools umgesetzt. Zu jedem der angesprochenen Punkte (Controls) wird eine Bewertung vorgenommen. Diese Bewertungen werden Findings genannt. Die Beantwortung der Fragen ist dabei nur eine der verschiedenen o. g. Bewertungskriterien. Im Zuge der Gap-Analyse wird auch überprüft, welche unabhängigen Systembewertungen (System-Audits) bereits vorgenommen worden sind oder ob hier Nachholbedarf besteht. Diese Informationen fließen ebenfalls in das Ergebnis der Gap-Analyse ein. Das Unify Gap-Analyse-Tool unterstützt zur Bewertung die gängigen ISO-Standards im IT- Umfeld. Eine Summierung der Ergebnisse kann wahlweise als Spider-Ergebnisdarstellung auf der Hauptkapitelebene oder als Scorecards auf der Haupt- und Unterkapitelebene vorgenommen werden. Spider-Darstellung der Ergebnisse aus der Gap-Analyse: Gap-Analyse als Bestandsaufnahme Findings Ergebnisse als Scorecard- oder Spider-Darstellung Beispiel Spider- Darstellung Beispiel ISO(IEC Mit der Spider-Darstellung 3 sind die Haupthandlungsfelder schnell identifizierbar. 3 Die hier gewählte Darstellung kann, entsprechend der Konfiguration, von der des Unify-Tools abweichen. 7

8 Informationsbasis für die Folgeprojektschritte Die Gap-Analyse Ergebnisse (Detailinformationen aus den Findings) werden als Basisinformationen für die Folgeschritte bereitgestellt, z. B. für die: Risikobewertung (als eine wesentliche Informationsquelle) Erstellung des Risikobehandlungsplans Vorlage zum SoA (Statement of Applicability) Risikobewertung Spektrum der Risikoerfassung Die Findings aus der Gap-Analyse sind insbesondere für die Risikobewertung eine wesentliche Informationsquelle. Nach Möglichkeit werden für das Risikomanagement die Verfahren und Kriterien des unternehmensweiten Risikomanagements übernommen. Falls dies nicht möglich ist, werden diese entsprechend den Standard- Anforderungen neu festgelegt und mit der Geschäftsführung abgestimmt (formale Genehmigung). Neben den Findings aus der Gap-Analyse, werden im Rahmen des Risikomanagements noch weitere Eingangsquellen berücksichtigt, beispielsweise Risiken aus Sicherheitsvorfällen (Incidents), aus anderen Audits oder aus der Beobachtung des Betriebs. Entscheidend für den Standard ISO/IEC ist, dass die jeweiligen Risikobewertungen nachvollziehbar und reproduzierbar sind. Grundlage zur Risikobewertung sind die Auswirkungen auf den Betrieb (Impact ) und die Eintrittswahrscheinlichkeit von Bedrohungen (Likelihood) 4, sie bilden entsprechend dem ausgewählten Berechnungs-Algorithmus das Risikomaß (Level of Risk). Trenderkennung Bei niedriger Eintrittswahrscheinlichkeit und hohen Auswirkungen ist ggfs. hinsichtlich des Risikomaßes Vorsicht geboten, um Fehleinschätzungen durch Varianzen der Wahrscheinlichkeit vorzubeugen. Zur Trenderkennung präferieren wir die Anwendung von Risikofrühindikatoren, bei deren Auswahl bringen wir gerne unsere Erfahrungen ein. 4 Vergleichbar mit dem Schutzbedarf des Grundschutzkataloges (BSI-Bund) 8

9 Es werden Risikoakzeptanzkriterien für das Risikomaß festgelegt, nach denen entschieden wird, ob die Risiken akzeptabel sind oder nicht, dementsprechend erfolgt die weitere Risikobehandlung. Hinsichtlich der Risikobehandlung wird die Auswahl von verschiedenen Risikobehandlungsoptionen dokumentiert. Die Ergebnisse der jeweiligen Risikobewertung und der Behandlungsoption werden in einem Risikobericht eingetragen. Dort wird auch das Risikomaß des Restrisikos nach der vorgesehenen Risikobehandlung dokumentiert. Der Risikobericht wird kontinuierlich aktualisiert und überprüft. Dabei werden alle Sicherheitsvorfälle (Information Security Incidents), Findings aus Audits oder Feststellungen zur Informationssicherheit aus dem Betrieb berücksichtigt. Für regelmäßig wiederkehrende Risikobewertungen mit Ableitung von Folgemaßnahmen ist es zweckdienlich und effizienzfördernd, ein passendes ISMS-Tool einzusetzen. Am Markt gibt es eine Vielzahl von ISMS-Tools. Wir unterstützen bei der Auswahl eines geeigneten Tools sowie bei dessen Einsatzgestaltung. Risikoakzeptanz Behandlungsoptionen Risikobericht Risikobehandlungsplan Alle Risiken, die für die Risikominimierung (via Gegenmaßnahmen) vorgesehen sind, werden in einem priorisiertem Risikobehandlungsplan (Maßnahmenplan) geführt. Zu jedem Risiko wird jeweils die personelle Zuständigkeit (risk-owner) und für die Risikobehandlung ein Zieltermin (due-date) festgelegt. Die Umsetzung der Risikobehandlung wird kontinuierlich überwacht und Besonderheiten werden berichtet, z. B. an das ISMS-Forum. Die Prioritäten der jeweiligen Maßnahmen richten sich nicht nur nach den aktuellen Risiken, sondern auch nach den Fertigstellungsfristen und Umsetzungsdauer der Maßnahmen. Ferner sind die Nachweispflichten zu berücksichtigen, mit welchen eine Verbesserung des ISMS belegt werden kann. Maßnahmenplan Security-Improvement-Programme - SIP Die Umsetzung des Maßnahmenplans stellt nur einen Teil des Security-Improvement- Programms (SIP) dar. Wichtig sind die frühzeitige Einführung und Umsetzung der operativen ISMS-Prozesse, da nur mit diesen die Verbesserung eines ISMS erreicht und nachgewiesen werden kann. Hierzu zählen: Einrichten eines ISMS-Forums Ggfs. auch der Meldeweg zum SPOC gemäß Entwurf zum IT-Sicherheitsgesetz. Verwaltung von Geschäftsanforderungen und Richtlinien (Policy) Ausbildung und Bewusstseinsbildungsprozess Managementprozess zu dokumentierten Informationen Risikomanagementprozesse und Risiko-Reporting Festlegung und Pflege der Informationssicherheitsziele Verfahren zu korrigierenden Maßnahmen und Reaktion auf Non-Conformities Überwachung der ISMS-Prozesse und des Dokumentenmanagements Feststellung der ISMS-Wirksamkeit (Überwachung und int. Audits) Management-Review (durch das Senior-Management/Geschäftsleitung) Prozess zur nachhaltigen Verbesserung 9

10 ISMS-Forum Aufgaben des ISMS Forums Das ISMS-Forum hat u. a. die Aufgabe einer zeitnahen Überwachung der ISMS-Prozesse und der zugehörigen Informationssicherheit. Es setzt sich aus dem Beauftragten für das ISMS und den ISMS-Beteiligten zusammen und berücksichtigt die Geschäfts-/Stakeholder- Anforderungen. Es ist die erste Instanz für übergreifende Entscheidungen. In den regelmäßigen Sitzungen des ISMS-Forums wird die Funktion der ISMS-Prozesse überwacht und deren Status fortgeschrieben, unabhängig von den prozesseigenen Dokumentationen. Die zusammengefassten Ergebnisse werden regelmäßig der Geschäftsleitung berichtet. Statement of Applicability - SoA SoA (Statement of Applicability) Im Statement of Applicability SoA werden die Informationssicherheitsziele in Verbindung mit der Umsetzung der einzelnen Maßnahmen (Controls) beschrieben. Dieses Dokument dient als Referenz für die nachfolgenden Audits. Die tatsächlichen Sachverhalte sind zu dokumentieren (IST-Zustände). Ziele, die aus dem Audit nicht bestätigt werden können, führen im Audit-Ergebnis zu einem Gap oder einer Non Conformity. In dem SoA werden grundsätzlich alle Kontrollziele des Annex A (ISO/IEC 27002) und des ISO/IEC TR berücksichtigt. Für den Fall, dass einzelne Kontrollziele abgewählt werden, ist dies plausibel zu erläutern. Das SoA ist insbesondere vor Audits aktuell zu pflegen. Die wesentlichen Dokumente, wie Risiko-Bericht, Risikobehandlungsplan, Maßnahmenplan und SoA, werden von guten ISMS-Tools unterstützt. Internes Audit 1st Party Audit Das interne Audit dient einerseits zur Selbstkontrolle, welchen Compliance-Grad das ISMS erreicht hat, ist aber andererseits eine Grundvoraussetzung für ein formales Zertifizierungsaudit. Das interne Audit wird ähnlich der Gap-Analyse durchgeführt, jedoch vergleicht es die Umsetzung entsprechend dem SoA und prüft gleichzeitig, ob die Bedingungen für die ISO/IEC Compliance erreicht werden. So werden neben den vorgenannten Kontrollzielen u. a. auch die ISMS-Prozesse oder Entscheidungen und ihre Dokumentation auf ihre Nachvollziehbarkeit überprüft. Interne Audits sollen regelmäßig und vollumfänglich durchgeführt werden, um Compliance-Lücken zu vermeiden, bzw. zu erkennen. Ein ISMS-Tool kann dabei auch die Arbeit des Auditors für nachgelagerte Audits erheblich unterstützen. Anmerkung: In einem frisch aufgesetzten ISMS-Projekt sind einige Abläufe oder deren fristgemäße Umsetzung nicht von vornherein ersichtlich. So kann beispielsweise die termingerechte Bereitstellung (zum Audit-Termin) wichtiger Nachweise fehlen. Für derartige Projekte können Erfahrungen aus anderen ISMS-Projekten hinsichtlich der Planung helfen. 10

11 Externe 3rd-Party Audit Bestellung Wenn die Entscheidung für eine formale externe Zertifizierung gefallen ist, dann sollten sehr zeitnah die Art der Zertifizierung festgelegt und die Maßnahmen zur Zertifizierungsvorbereitung eingeleitet werden. Zweckmäßigerweise werden diese Maßnahmen schon während der Projektlaufzeit berücksichtigt. Formale Zertifizierung Im Gegensatz zu einem internen Audit werden im externen Audit nur Stichproben genommen. Je nach Unternehmensstruktur kommen ggfs. verschiedene Zertifizierungsarten in Betracht. Ob beispielsweise eine Standardzertifizierung auf Basis ISO/IEC oder eine Gemeinschaftszertifizierung über gleichartig strukturierte und vertraglich verbundene Unternehmen hinweg infrage kommen, ist projektspezifisch mit der Zertifizierungsinstanz zu vereinbaren. Entsprechend dem ausgewählten Scope, wird eine geeignete Zertifizierungsform unter Berücksichtigung der damit verbundenen Aufwände sowie der jeweiligen Vor- und Nachteile ausgewählt. Auf Basis der langjährigen Erfahrungen mit dem Zertifizierungsprozess kann Unify die Kundenangelegenheiten zu diesem Prozess zielgerichtet unterstützen. Eines ist aber sicher: Mit der Zertifizierung alleine ist man noch nicht am Ziel. Nach der Zertifizierung ist vor der Zertifizierung, bzw. richtiger, nach dem Audit ist vor dem Audit. Hier besteht ein sich ständig wiederholender Prozess. Gemäß dem Standard ISO/IEC fallen nach erfolgreichem Durchlauf des Zertifizierungsaudits jährliche Überwachungsaudits und alle drei Jahre die Wiederholung des Zertifizierungsaudits an. 11

12 Über Unify Unify ist ein weltweit führendes Unternehmen für Kommunikationssoftware und -services, das annähernd 75 Prozent der Global 500 -Unternehmen mit seinen integrierten Kommunikationslösungen beliefert. Unsere Lösungen vereinen unterschiedliche Netzwerke, Geräte und Applikationen auf einer einzigen, einfach bedienbaren Plattform, die Teams einen umfassenden und effizienten Austausch ermöglicht. Damit verändert sich die Art und Weise, wie Unternehmen kommunizieren und zusammenarbeiten, nachhaltig die Teamleistung wird verstärkt, das Geschäft belebt und die Business- Performance erheblich verbessert. Unify verfügt über eine lange Tradition aus verlässlichen Produkten, Innovationen, offenen Standards und Sicherheit. Unify.com Copyright Unify GmbH & Co. KG 2014 Hofmannstr. 51, D München Alle Rechte vorbehalten. Die Informationen in diesem Dokument enthalten lediglich allgemeine Beschreibungen bzw. Leistungsmerkmale, die je nach Anwendungsfall nicht immer in der beschriebenen Form zutreffen oder sich durch Weiterentwicklung der Produkte ändern können. Eine Verpflichtung, die jeweiligen Merkmale zu gewährleisten besteht nur, sofern diese ausdrücklich vertraglich zugesichert wurden. Liefermöglichkeiten und technische Änderungen vorbehalten. 12 Unify, OpenScape, OpenStage und HiPath sind eingetragene Marken der Unify GmbH & Co. KG. Alle anderen Marken-, Produkt- und Servicenamen sind Warenzeichen oder eingetragene Warenzeichen ihrer jeweiligen Inhaber.

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Learning Credit Points

Learning Credit Points Learning Credit Points Weiterbildung einfach und clever managen Unify Academy 1 Was sind Learning Credit Points? Ihre Vorteile: Der einfache Weg für das Management Ihrer Trainings Einfache Planung: Learning

Mehr

Effizienz mit System. Implementierung von Informationssicherheit nach ISO 27001

Effizienz mit System. Implementierung von Informationssicherheit nach ISO 27001 Effizienz mit System Implementierung von Informationssicherheit nach ISO 27001 Dipl.-Ing. Berthold Haberler, Information Security Officer, LINZ AG Telekom LINZ STROM GmbH, Abt. f. Übertragungstechnik Der

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT COMPLIANCE STANDARD: WOZU? Leitfaden/Richtlinie beim Aufbau eines Compliance Management Systems Schaffung eines State-of-the-Art

Mehr

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit ISMS Portfolio Sicher. Besser. TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit TÜV TRUST IT GmbH Daten

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle G m b H Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft 2 2. Forschungstag IT-Sicherheit NRW nrw-units 15. Juni 2015 Hochschule Niederrhein Informationssicherheit in der Energiewirtschaft 3 Informationssicherheit in der Energiewirtschaft 1. Sicherheit der Stromversorgung

Mehr

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Informationssicherheits-, Risiko- und Compliance-Management

Informationssicherheits-, Risiko- und Compliance-Management Informationssicherheits-, Risiko- und Compliance-Management Professionelles Informationssicherheits-, Risiko- und Compliance-Management ISO 27001, Risiko- und Compliance-Management, Prozesse, Policies,

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

ESN expert-veranstaltung Krisenmanagement im EVU

ESN expert-veranstaltung Krisenmanagement im EVU ESN expert-veranstaltung Krisenmanagement im EVU Krisenmanagement und ISMS Erfurt, 17.06.2015 Schlagworte ISMS- Energiewirtschaftsgesetz IT-Sicherheit BSI-Grundschutzkataloge Krisenmanagement Informationssicherheitsmanagementsystem

Mehr

Überblick über die OpenScape Business- Lösung

Überblick über die OpenScape Business- Lösung Überblick über die OpenScape Business- Lösung So modernisieren Sie Ihr kleines oder mittelständisches Unternehmen In der heutigen Arbeitswelt ist die Verbindung zu Kollegen und Kunden ob im Büro oder unterwegs

Mehr

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Joel Hencks AeroEx 2012 1 1 Agenda Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management Management System

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Herkunft: audire = (lat.) hören, zuhören Audit = (engl.) (Rechnungs- /B Buch-)Prüfung h)p Definition nach DIN EN ISO 9000:

Herkunft: audire = (lat.) hören, zuhören Audit = (engl.) (Rechnungs- /B Buch-)Prüfung h)p Definition nach DIN EN ISO 9000: Was ist ein Audit Herkunft: audire = (lat.) hören, zuhören Audit = (engl.) (Rechnungs- /B Buch-)Prüfung h)p Definition nach DIN EN ISO 9000: Systematische ti und objektive Untersuchung zur Ermittlung des

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

IT-Sicherheit für Energieversorger

IT-Sicherheit für Energieversorger IT-Sicherheit für Energieversorger Das Wichtigste im Überblick Um was geht es? Die Bundesregierung erarbeitet derzeit folgende Gesetzesvorlage: IT-Sicherheitsgesetz (für kritische Infrastrukturen) umfasst

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

Unified Communications für Ihr HiPath 3000-System so einfach wie nie zuvor

Unified Communications für Ihr HiPath 3000-System so einfach wie nie zuvor OpenScape Business Übersicht Für Bestandskunden mit HiPath 3000 OpenScape Business wurde speziell auf die Anforderungen der dynamischen kleinen und mittelständischen Unternehmen von heute ausgerichtet.

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement INDUSTRIAL Informationssicherheitsmanagement 0 Inhaltsverzeichnis Ziel eines Informationssicherheitsmanagements Was ist die ISO/IEC 27000 Die Entstehungsgeschichte Die Struktur der ISO/IEC 27001 Spezielle

Mehr

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem

1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem 1 Welcher Service Operation Prozesse fehlen? Incident Management, Problem Management, Access Management a. Event Management b. Service Desk c. Facilities Management d. Change Management e. Request Fulfilment

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Q_PERIOR schafft Sicherheit bei Internetzahlungen

Q_PERIOR schafft Sicherheit bei Internetzahlungen Q_PERIOR schafft Sicherheit bei Internetzahlungen Mindestanforderungen an die Sicherheit von Internetzahlungen Was Sie jetzt wissen müssen und wie Sie sich bestmöglich auf die neuen Anforderungen vorbereiten!

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

Die Beurteilung normativer Managementsysteme

Die Beurteilung normativer Managementsysteme Die Beurteilung normativer Managementsysteme Hanspeter Ischi, Leiter SAS 1. Ziel und Zweck Um die Vertrauenswürdigkeit von Zertifikaten, welche durch akkreditierte Zertifizierungsstellen ausgestellt werden,

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Dieter Brunner ISO 27001 in der betrieblichen Praxis

Dieter Brunner ISO 27001 in der betrieblichen Praxis Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

1. Normen für Unternehmen

1. Normen für Unternehmen 1. Normen für Unternehmen Normen sind gut für ein Missverständnis und schlecht für ein Verständnis. Um diesem Wortspiel einen konkreten Inhalt zu geben, seien zwei Thesen angeführt: Das Missverständnis

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

OpenScape Cloud Contact Center IVR

OpenScape Cloud Contact Center IVR OpenScape Cloud Contact Center IVR Intelligente Self-Service-Lösung dank kostengünstiger, gehosteter IVR-Software so einfach wie nie Kundenzufriedenheit ohne die üblichen Kosten Leistungsstarke Self-Service-Option

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

ISO/IEC 27001. Neue Version, neue Konzepte. Quo Vadis ISMS?

ISO/IEC 27001. Neue Version, neue Konzepte. Quo Vadis ISMS? ISO/IEC 27001 Neue Version, neue Konzepte Quo Vadis ISMS? 2/18 Ursachen und Beweggründe Regulärer Zyklus für Überarbeitung von ISO/IEC 27001:2005 Zusätzlich neues Projekt MSS (Managment System Standards)

Mehr

Fragenkatalog. für interne Systemaudits DIN EN ISO 9001 ISO/TS 16949. Mit Fragen zu kundenspezifischen Anforderungen an Qualitätsmanagementsysteme

Fragenkatalog. für interne Systemaudits DIN EN ISO 9001 ISO/TS 16949. Mit Fragen zu kundenspezifischen Anforderungen an Qualitätsmanagementsysteme 2009 Fragenkatalog für interne Systemaudits DIN EN ISO 9001 ISO/TS 16949 Mit Fragen zu kundenspezifischen Anforderungen an Qualitätsmanagementsysteme Martin Zander 2 M. Zander Fragenkatalog Für interne

Mehr

Jede Geschäftsbeziehung beginnt mit einem Gespräch. Wir gestalten die Gespräche von morgen.

Jede Geschäftsbeziehung beginnt mit einem Gespräch. Wir gestalten die Gespräche von morgen. Fakten 2015 2 Jede Geschäftsbeziehung beginnt mit einem Gespräch. Wir gestalten die Gespräche von morgen. 3 Nach vorne blicken. Hier bei Unify spiegelt unser Name genau das wider, was wir tun: wir vereinen

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

OpenScape Cloud Contact Center Workforce Management

OpenScape Cloud Contact Center Workforce Management OpenScape Cloud Contact Center Workforce Management Powered by Verint Bestleistungen erzielen Präzise Prognosen, optimierte Zeitplanung und verbesserte Mitarbeiterbindung Ihr Rezept für Einsparungen und

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

ISMS - der Weg zur ISO27001-Zertifizierung

ISMS - der Weg zur ISO27001-Zertifizierung ISMS - der Weg zur ISO27001-Zertifizierung Erwin T. Peter Leitender Auditor Schweizerische Vereinigung für Qualitäts-und Management-Systeme (SQS) CH-3052 Zollikofen erwin.peter@sqs.ch ISACA After Hours

Mehr

Unternehmens-Präsentation. B2B - BERGER & BOCK GbR Quality and Privacy

Unternehmens-Präsentation. B2B - BERGER & BOCK GbR Quality and Privacy Unternehmens-Präsentation B2B - BERGER & BOCK GbR Quality and Privacy AGENDA Mission Statement Quality, Security and Privacy Qualitätsmanagement/Informationssicherheit Datenschutz Audit/Assessment B2B

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit. Ein Unternehmen der

Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit. Ein Unternehmen der Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit abs Fondsplattform schafft Informationssicherheit Die Sicherheit sensitiver Daten gehört zu den grundlegenden Anforderungen

Mehr

Dokumentation. HiPath 500, HiPath 3000, HiPath 5000 HiPath 4000 OpenStage 10 T. Kurzbedienungsanleitung. Communication for the open minded

Dokumentation. HiPath 500, HiPath 3000, HiPath 5000 HiPath 4000 OpenStage 10 T. Kurzbedienungsanleitung. Communication for the open minded Dokumentation HiPath 500, HiPath 3000, HiPath 5000 HiPath 4000 OpenStage 10 T Kurzbedienungsanleitung Communication for the open minded Siemens Enterprise Communications www.siemens.de/open Bedienung Ihres

Mehr

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot

Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell. Bernd Ewert it-sa Oktober 2009 Forum rot Risikoanalyse zur Informations-Sicherheit: ein Vorgehensmodell Bernd Ewert it-sa Oktober 2009 Forum rot Grundsätzliches zur Risikoanalyse Sinn der Risikoanalyse: Übersicht schaffen Schutzmaßnahmen steuern

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Ablauf der Zertifizierung / Zertifizierung von Organisationen Prof. Kathrin Winkler / Prof. Jürgen Müller Agenda 1. Fortbildungsweg 2. Projektarbeit und dpüf Prüfung

Mehr

Tübingen Berlin Köln Zagreb Fort Collins. Tübingen Berlin Köln Zagreb Fort Collins. ISO 9001 / Glossar

Tübingen Berlin Köln Zagreb Fort Collins. Tübingen Berlin Köln Zagreb Fort Collins. ISO 9001 / Glossar Audit Überprüfung, ob alle Forderungen der zu prüfenden Norm tatsächlich erfüllt werden und ob die ergriffenen Maßnahmen wirksam sind. Siehe auch Verfahrensaudit, Internes Audit und Zertifizierungsaudit.

Mehr

Qualitätsmanagement: Typischer Ablauf eines Zertifizierungsprojektes. bbu-unternehmensberatung, Hannover

Qualitätsmanagement: Typischer Ablauf eines Zertifizierungsprojektes. bbu-unternehmensberatung, Hannover Qualitätsmanagement: Typischer Ablauf eines Zertifizierungsprojektes bbu-unternehmensberatung, Hannover Wie läuft ein Zertifizierungsprojekt ab? Stufe 5 Verbesserung regelmäßige Änderungen (QMH) Q-Zirkel,

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015

Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015 www.dvgw-regelwerk.de Technischer Hinweis Merkblatt DVGW G 1001 (M) März 2015 Sicherheit in der Gasversorgung; Risikomanagement von gastechnischen Infrastrukturen im Normalbetrieb Security of Gas Supply;

Mehr

Chancen und Risiken bei der Implementierung eines Risikomanagementsystems

Chancen und Risiken bei der Implementierung eines Risikomanagementsystems Chancen und Risiken bei der Implementierung eines Risikomanagementsystems Samuel Brandstätter 23.09.2013 2013 avedos business solutions gmbh Seite 1 Agenda Ausgangssituationen Charakteristik von GRC Prozessen

Mehr

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS Eine intelligente Lösung GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

ISO 27001 für das Internet

ISO 27001 für das Internet ISO 27001 für das Internet ISMS-Einführung bei nic.at Datum: 04.06.2014 Christian Proschinger CISO ISO/IEC 27001:2013 Implementierung 2 Das Domain Name System. com at ch wien meinefirma www mail mail.meinefirma.at

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Energieaudit und Energiemanagement für Nicht-KMU

Energieaudit und Energiemanagement für Nicht-KMU Energieaudit und Energiemanagement für Energieaudit nach DIN EN 16247 Energieaudit bedeutet eine systematische Inspektion und Analyse des Energieeinsatzes und verbrauchs einer Anlage/ eines Gebäudes/ Systems

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

Unternehmensweite Sicherheit messen, koordinieren, optimieren

Unternehmensweite Sicherheit messen, koordinieren, optimieren Unternehmensweite Sicherheit messen, TrustDay der IHK Stuttgart Dr. Andreas Gabriel Ethon GmbH 16.07.2013 Agenda Agenda Kurzvorstellung Ethon GmbH Sinn und Unsinn von Kennzahlen Sicherheits Kennzahlen

Mehr

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke.

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke. Vorbemerkungen 1 Mit dem Tool»Datenschutzaudit nach BSI Grundschutz«wurde ein Management-Tool vorgestellt, das es ermöglicht, einen Überblick über den Gesamtzustand einer Datenschutzorganisation unter

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr