Die Bestellung des IT-Sicherheitsbeauftragten

Größe: px
Ab Seite anzeigen:

Download "Die Bestellung des IT-Sicherheitsbeauftragten"

Transkript

1 Die Bestellung des IT-Sicherheitsbeauftragten Ein Überblick für Energieversorger, die ein Informationssicherheits- Management-System einführen wollen. Stand: Juli 2015

2 Executive Summary Der IT-Sicherheitskatalog der Bundesnetzagentur für Energienetzbetreiber fordert die Bestellung eines IT-Sicherheitsbeauftragten. Ebenso empfiehlt sich für alle Unternehmen, die ein Informationssicherheits-Management-System (ISMS) nach ISO umsetzen, die Schaffung einer solchen Position im Unternehmen. Die Rolle des IT-Sicherheitsbeauftragten umfasst alle Themen der Informationssicherheit. Wesentliche Aufgaben sind dabei die unternehmensweite Koordination, Überwachung und Steuerung der Informationssicherheit mit Hilfe eines ISMS. Darüber hinaus ist der IT-Sicherheitsbeauftragte der erste Ansprechpartner für interne und externe Parteien zu allen Fragen rund um das Thema IT-Sicherheit. Die Entscheidung, den IT-Sicherheitsbeauftragten extern zu besetzen, sollte gut durchdacht werden. Obwohl es diese Möglichkeit ähnlich wie beim Datenschutzbeauftragten gibt, können aufgrund der weitreichenden Einbindung andere Möglichkeiten vorteilhafter sein. Alternativ bieten sich je nach Organisationsgröße zwei Optionen an: Ausreichend große Organisationen können sich das notwendige Wissen intern aufbauen. Kleinere Organisationen können zur Unterstützung ihres IT-Sicherheitsbeauftragten auf externe Dienstleister zurückgreifen, die im Bedarfsfall spezifisches Wissen bereitstellen. Der IT-Sicherheitsbeauftragte steht im Mittelpunkt des Informationssicherheits-Management-Systems der Energienetzbetreiber. Flankierend zum IT-Sicherheitsgesetz erstellt die Bundesnetzagentur mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitskataloge für Energieversorgungsunternehmen. Als erstes wird der Sicherheitskatalog für Energienetzbetreiber erwartet. Dieser präzisiert gemäß 11 Abs. 1a Energiewirtschaftsgesetz (EnWG) die Sicherheitsanforderungen an netzsteuer- 1

3 dienliche Informations- und Telekommunikationstechnologien. Im Entwurf des IT-Sicherheitskatalogs findet sich die konkrete Forderung nach einem IT-Sicherheitsbeauftragten. Dieser ist mit Namen und Kontaktdaten der Bundesnetzagentur mitzuteilen. Aktuell haben erst zehn Prozent 1 der Energienetzbetreiber eine entsprechende Position geschaffen. Eine Ursache für diesen geringen Umsetzungsgrad ist neben der Ressourcenfrage auch die Unsicherheit bezüglich des Tätigkeitsprofils eines IT-Sicherheitsbeauftragten. Darauf lassen Gespräche mit Kunden der Bundesdruckerei schließen. 10% der Energienetzbetreiber haben einen IT-Sicherheitsbeauftragten benannt Die wesentlichen Rollen des IT-Sicherheitsbeauftragten. Der IT-Sicherheitsbeauftragte erfüllt mehrere Rollen: Der IT-Sicherheitsbeauftragte ist verantwortlich für die Überwachung und Steuerung des ISMS. Der Standard ISO 27001:2013 verlangt die klare Zuweisung von Verantwortung und Befugnissen bezüglich Informationssicherheit (Klausel 5.3). Für offizielle Stellen stellt der IT-Sicherheitsbeauftragte die Kontaktperson zum Thema Informationssicherheit dar. Die Bundesnetzagentur bzw. das BSI sieht den IT-Sicherheitsbeauftragten als Ansprechpartner, der den sogenannten Meldepflichten gemäß IT-Sicherheitskatalog für Energienetzbetreiber und IT-Sicherheitsgesetz nachkommt. Darüber hinaus erwarten auch externe Auditoren einen zentralen Ansprechpartner seitens der Organisation während der Audit-Durchführung. Eigentlich müsste die Rolle des IT-Sicherheitsbeauftragten als Informationssicherheitsbeauftragter bezeichnet werden, da der Umgang mit allen kritischen Informationen in seiner Verantwortung liegt. Die Bezeichnung IT-Sicherheitsbeauftragter ist jedoch im IT- Sicherheitskatalog konkret vorgegeben, weshalb diese hier übernommen wird. 2

4 Die Aufgaben des IT-Sicherheitsbeauftragten. Aus der Aufgabe des IT-Sicherheitsbeauftragten die Informationssicherheit unternehmensweit zu überprüfen, zu steuern und regelmäßig zu verbessern, ergeben sich folgende Tätigkeitsschwerpunkte: 1 ISMS-Betreuung und Weiterentwicklung Der IT-Sicherheitsbeauftragte betreut das ISMS und entwickelt es kontinuierlich weiter. Dies beinhaltet die Koordination und die Überprüfung der gewissenhaften Durchführung des Sicherheitsprozesses mit Risikoidentifikation, -bewertung und -behandlung. Des Weiteren erstellt er die Schutzbedarfsanalyse- und die Risikomanagement-Methodik für die Fachabteilungen. Ein einheitlich hohes Qualitätsniveau wird durch die Dokumentation der Methodik sowie dem Einsatz standardisierter Vorlagen erreicht. Über interne Informationssicherheits-Audits verschafft sich der IT-Sicherheitsbeauftragte regelmäßig einen Überblick, wie der Sicherheitsprozess in der Organisation gelebt und umgesetzt wird. Ergänzend zu den internen Audits definiert er Kennzahlen zur Messung der Wirksamkeit des ISMS. 2 Erstellung von Sicherheitskonzepten Der IT-Sicherheitsbeauftragte entwickelt auch fachbereichsübergreifende Sicherheitskonzepte. Das beinhaltet z.b. Konzepte zur Klassifizierung von Informationen, zur Telearbeit oder zum Umgang mit mobilen Endgeräten in der Organisation. Bei der anschließenden Projektdurchführung unterstützt er die Fachabteilungen methodisch. 3 Überprüfung externer Dienstleister Bei externen Dienstleistern veranlasst bzw. führt der IT-Sicherheitsbeauftragte eigenständig Sicherheitsüberprüfungen durch. Somit wird gewährleistet, dass Informationen nicht nur innerhalb des Unternehmens sicher sind. Auch externe Dienstleister mit Zugang zu diesen Informationen müssen diese mit der gleichen Sorgfalt behandeln. 1 Basierend auf einer Umfrage unter 200 Energienetzbetreibern 3

5 4 Prüfung von Maßnahmen bei Sicherheitsvorfällen Sofern sich sicherheitsrelevante Vorfälle in der Organisation ereignen, leitet der IT-Sicherheitsbeauftragte in Zusammenarbeit mit anderen Stellen entsprechende Gegenmaßnahmen ein und prüft im Rahmen der Nachuntersuchung, ob sich hier ggf. Optimierungspotential für das ISMS ergibt. 5 Kommunikation Der aktuelle Status der Risikosituation in der Organisation, bestehende Schwachstellen bzw. Sicherheitsvorfälle sowie umgesetzte und laufende Maßnahmen werden regelmäßig durch den IT-Sicherheitsbeauftragten überwacht und als Managementbewertung an die oberste Leitung berichtet. Der IT-Sicherheitsbeauftragte ist daher in der Verantwortung, ständig die Bedrohungslage der Organisation und Schwachstellen, auch von verwendeten Zulieferkomponenten, zu überwachen. Dazu ist eine enge Vernetzung mit externen Know-how-Trägern notwendig. Kommunikationspflichten bestehen auch gegenüber den Mitarbeitern in der Organisation. Dazu zählt insbesondere die entsprechende Sensibilisierung der Mitarbeiter hinsichtlich des sicheren Umgangs mit Informationen bei der täglichen Arbeit. Um dies sicherzustellen, führt er regelmäßig Schulungen durch, steht als Ansprechpartner bei Fragen zur Verfügung, definiert und kommuniziert einen Disziplinarprozess und leitet, sofern notwendig, weitergehende Maßnahmen ein. Durch den IT-Sicherheitskatalog wird insbesondere die Kommunikationsrolle des IT-Sicherheitsbeauftragten gegenüber Externen weiter spezifiziert. In den Anforderungen sind dazu folgende Aufgaben beschrieben: 4

6 Zentraler Ansprechpartner der Bundesnetzagentur In der Rolle als Ansprechpartner für die Bundesnetzagentur hat der IT-Sicherheitsbeauftragte über folgende Punkte unverzüglich Auskunft geben zu können: Aktueller Status zum Umsetzungsstand der Anforderungen aus dem IT-Sicherheitskatalog, insbesondere hinsichtlich der Implementierung eines ISMS Innerhalb des Unternehmens aufgetretene Sicherheitsvorfälle sowie Art und Umfang der dadurch hervorgerufenen Auswirkungen, insbesondere auf externe Parteien Umgang mit den Sicherheitsvorfällen, insbesondere Ursachenanalyse aufgetretener Sicherheitsvorfälle sowie Ableitung von wirksamen Maßnahmen zu deren Behebung und zukünftigen Vermeidung Zugang zu IT-sicherheitsrelevanten Informationen Der IT-Sicherheitsbeauftragte muss sicherstellen, dass der Betreiber an geeignete Kommunikationsinfrastrukturen für Lageberichte und Warnmeldungen sowie zur Bewältigung großflächiger IKT-Krisen angebunden ist. Aufgrund der zunehmenden Vernetzung ist die Gefahr von Domino-Effekten ein realistisches Bedrohungsszenario. Um trotzdem die Versorgung mit Dienstleistungen kritischer Infrastrukturen in Deutschland aufrechtzuerhalten, ist ein intensiver Austausch notwendig. Wesentliche Inhalte des Austausches sind: Aktuelle Vorkommnisse und Schwachstellen bzgl. Informationssicherheit Gemeinsame Einschätzung und Bewertung der Cyber-Sicherheitslage Auf- und Ausbau von Krisenmanagementstrukturen Koordinierte Krisenreaktion und -bewältigung Durchführung von Notfall- und Krisenübungen 5

7 Der Mehrwert des IT-Sicherheitsbeauftragten für die Organisation. Der IT-Sicherheitsbeauftragte bietet für Unternehmen umfassenden Nutzen. Er trägt das Thema Informationssicherheit in die Organisation und hält nach, dass existenzielle Risiken des Unternehmens nachhaltig reduziert bzw. vollständig vermieden werden. Damit dient er letztlich dem Schutz der Unternehmenswerte. Die Unternehmensleitung erhält durch den IT-Sicherheitsbeauftragten regelmäßig eine aktuelle Übersicht über bestehende Informationssicherheitsrisiken, potenzielle Auswirkungen auf die Geschäftstätigkeit und Möglichkeiten zur Risikobehandlung. Damit wird die Unternehmensleitung in die Lage versetzt, analog zum operativen und finanziellen Risikomanagement faktenbasierte Entscheidungen hinsichtlich der Informationssicherheit zu treffen. Der IT-Sicherheitsbeauftragte sorgt dafür, dass das Unternehmen sich hinsichtlich Informationssicherheit am Puls der Zeit orientiert und über aktuelle Informationen zu veränderten Bedrohungsszenarien sowie Schwachstellen von Zulieferkomponenten verfügt. Innerhalb der Organisation dient der IT-Sicherheitsbeauftragte als Ansprechpartner für Fachabteilungen zu jeglichen Themen der Informationssicherheit. Dadurch wird vermieden, dass nicht unbeabsichtigt unterschiedliche Sicherheitsniveaus in der Organisation entstehen und die Fachabteilungen zusätzliche organisatorische Aufgaben übernehmen müssen. Außerdem kann der IT-Sicherheitsbeauftragte somit absichern, dass ausschließlich angemessene Maßnahmen, unter Berücksichtigung von Kosten und Nutzen, zur Erhöhung der Informationssicherheit umgesetzt werden. Die Anforderungen an die Qualifikation eines IT-Sicherheitsbeauftragten. Aufgrund der vielfältigen Aufgaben des IT-Sicherheitsbeauftragten ist das Qualifikationsprofil entsprechend umfassend. Konkrete gesetzliche oder regulatorische Anforderungen an das Qualifikationsprofil eines IT-Sicherheitsbeauftragten existieren aktuell noch nicht. Aus der ISO ergibt sich jedoch, dass er entsprechend seiner Aufgaben und Verantwortung die erforderlichen Kompetenzen besitzen und über dokumentierte Nachweise darüber verfügen muss. Entsprechende Hinweise sind auch im IT-Grundschutz des BSI aufgeführt. 6

8 Der IT-Sicherheitsbeauftragte muss sowohl fachliche als auch charakterliche Voraussetzungen erfüllen. Die Anforderungen können zwischen fachlichen Qualifikationen und sogenannten Soft Skills unterteilt werden. Zu den fachlichen Qualifikationen zählen: IT-Kenntnisse IT-Sicherheitskenntnisse (u.a. Methoden des Hacking) Projektmanagementerfahrung Zu den erforderlichen Soft Skills zählen: Kommunikationsfähigkeit und soziale Kompetenz Analytische Fähigkeiten zur Problemlösung Teamfähigkeit Durchsetzungsfähigkeit Bereitschaft zur kontinuierlichen Fortbildung Präsentationsfähigkeiten Moderationsfähigkeiten Führungskompetenz (z. B. Leitung eines ISMS-Teams) Kenntnisse der englischen Sprache Daneben sollte der IT-Sicherheitsbeauftragte auch einen Überblick über die Ziele des Unternehmens und dessen Strategie haben, um die Sicherheitsziele damit in Einklang bringen zu können. Aus der Kombination dieser Anforderungen ergibt sich ein umfassendes Profil für einen IT-Sicherheitsbeauftragten. Im Zweifelsfall stehen IT-Kenntnisse in ihrer Bedeutung hinter einer angemessenen Seniorität und Akzeptanz im Unternehmen an. Denn Informationssicherheit im Unternehmen muss häufig gegenüber anderen Interessen vertreten werden. Gefordert ist dabei Durchsetzungsfähigkeit in Konflikten, um mit entsprechenden Widerständen im Unternehmen umgehen zu können. Eine wesentliche Voraussetzung für die Aufgabenerfüllung ist, dass ausreichende zeitliche Ressourcen bewilligt werden. Die Übernahme der des IT-Sicherheitsbeauftragten ist kein Nebenjob. 7

9 Es existiert kein standardisiertes Schulungsprogramm für die Qualifizierung zum IT-Sicherheitsbeauftragten Für die Ausbildung zum IT-Sicherheitsbeauftragten gibt es kein standardisiertes Schulungsprogramm. Daher sind derzeit sehr unterschiedliche Trainingsmodule am Markt verfügbar. Als Minimalanforderungen gibt der Standard ISO ein tiefergehendes Verständnis vom Aufbau und der Funktionsweise eines ISMS vor. Dies kann z.b. durch erfolgreichen Abschluss einer ISO Foundation-Schulung nachgewiesen werden. Die Rolle des IT-Sicherheitsbeauftragten kann auf unterschiedliche Weise realisiert werden. Um Meldungen und Berichte, wie in der ISO bestimmt, an die oberste Management- Ebene zu übermitteln, benötigt der IT-Sicherheitsbeauftragte einen direkten Berichtsweg zur Geschäftsführung. Hierbei bestehen eine Berichtspflicht, aber auch ein Vortragsrecht, um die Geschäftsführung, z.b. über kritische Entwicklungen, zu informieren. Insbesondere wenn in Konflikten mit anderen Parteien im Unternehmen die Informationssicherheit noch zu wenig Berücksichtigung findet, ist bei Eskalationen der direkte Berichtsweg zur Management-Ebene wichtig. Außerdem: Neben der Überprüfung der fachlichen Qualifikation und der Soft Skills legen Auditoren besonderen Wert auf die Prüfung, inwieweit Interessenskonflikte in der täglichen Arbeit des IT-Sicherheitsbeauftragten entstehen können. Es ist darauf zu achten, dass der IT-Sicherheitsbeauftragte nicht zugleich eine der folgenden Rollen übernimmt: Mitglied der Geschäftsführung Datenschutzbeauftragter IT-Leiter Mitarbeiter der IT Auszubildender 8

10 Wie bei jeder wichtigen Rolle im Unternehmen ist auch für die Rolle des IT-Sicherheitsbeauftragten ein entsprechender Vertreter zu benennen, der bei Abwesenheit Aufgaben übernehmen und Entscheidungen treffen kann. Darüber hinaus ist im Hinblick auf die Kommunikationspflichten bei Sicherheitsvorfällen darauf zu achten, dass der IT-Sicherheitsbeauftragte bzw. ein Vertreter jederzeit erreichbar ist. Eine externe Lösung ist prinzipiell möglich aber nicht immer optimal. Bei der Bestellung des IT-Sicherheitsbeauftragten haben Unternehmen die Möglichkeit, auf Basis des Qualifikationsprofils einen Mitarbeiter aus den eigenen Reihen zu benennen. Dies ist jedoch insbesondere bei kleinen Unternehmen schwierig, da häufig viele Funktionen in Personalunion ausgeführt werden und somit Interessenkonflikte nicht auszuschließen sind. Oft können auch notwendige Qualifikationen nicht vollständig von einer Person abgedeckt werden. Als Alternative zu einer internen Besetzung ist eine externe Beauftragung oder eine Kombination aus interner Benennung und externem Support möglich. Unser Expertentipp: Der Aufbau von internem Know-how lässt den hohen Stellenwert des Themas gegenüber den zertifizierenden Auditoren erkennen und trägt so dazu bei, den Erhalt der ISO Zertifizierung zu sichern. Grundsätzlich gilt: Der interne IT-Sicherheitsbeauftragte benötigt ausreichend Zeit und Ressourcen zur Bearbeitung der sicherheitsrelevanten Themen. Sofern ein externer Dienstleister Aufgaben des IT-Sicherheitsbeauftragten übernimmt, sollte der Dienstleistungsumfang vertraglich vereinbart werden, um aufwendige Abstimmungen zu vermeiden und Missverständnissen vorzubeugen. Bei der Entwicklung und Überprüfung von Sicherheitskonzepten ist darauf zu achten, dass eine ausreichende Objektivität gewahrt wird. Es muss vermieden werden, dass derjenige, der das Sicherheitskonzept entwickelt und umgesetzt hat, nicht auch die interne Auditierung vornimmt. Die folgenden Tabellen geben einen Überblick über die Vor- und Nachteile der einzelnen Optionen. 9

11 Externe Lösung Beschreibung: Die Rolle des IT-Sicherheitsbeauftragten wird durch einen externen Dienstleister wahrgenommen, wie es häufig schon bei der Rolle des Datenschutzbeauftragten umgesetzt wird. Vorteile Nachteile Agiert unabhängig von internen Interessenkonflikten Ist auf die Übernahme der Rolle des IT-Sicherheitsbeauftragten spezialisiert und verfügt über entsprechendes Know-how sowie Erfahrung Besitzt aufgrund der vertraglich festgelegten Aufgaben und Verantwortung häufig bessere Durchsetzungsmöglichkeiten Erhält keinen Einblick in das Unternehmen Ist nicht immer vor Ort Kann schlechter erreicht werden Hat keine Weisungsbefugnis Verursacht dauerhafte Kosten Darauf sollten Sie achten: Die Verantwortung und Aufgaben müssen konkret in einer Dienstleistungsvereinbarung festgehalten werden. 10

12 Interne Lösung Beschreibung: Die Rolle des IT-Sicherheitsbeauftragten wird vollständig von einer in der Organisation beschäftigten Person übernommen. Diese Person bearbeitet das gesamte Spektrum der beschriebenen Aufgaben eines IT-Sicherheitsbeauftragten. Vorteile Nachteile Kennt das Unternehmen, die Tätigkeiten und die aktuelle Entwicklung Ist immer vor Ort erreichbar Kann Kollegen Weisungen erteilen, wenn die entsprechenden Befugnisse mit der Rolle des IT-Sicherheitsbeauftragten verbunden sind Fehlende Durchsetzungsmöglichkeiten, sofern keine herausgehobene Stellung im Unternehmen Ist teilweise auch mit anderen Aufgaben betraut, so dass die Fokussierung nicht kontinuierlich sichergestellt werden kann Hat Interessenkonflikte im Zusammenhang mit anderen Aufgaben Besitzt erforderliche Kompetenzen nicht oder muss diese aufwendig aufbauen Darauf sollten Sie achten: Hinreichende Qualifikation und die entsprechende zeitliche Verfügbarkeit zur Erledigung der Aufgaben sind essenziell. 11

13 Interner Verantwortlicher mit 2nd-Level-Support Beschreibung: Die Unterstützung des internen Verantwortlichen durch einen 2nd-Level-Support eines externen Dienstleisters kombiniert die Vorteile beider Lösungen. Der intern Verantwortliche übernimmt dabei die Aufgaben des IT-Sicherheitsbeauftragten, wie oben beschrieben. Sofern er bei spezifischen Aufgabenstellungen weitere Expertise benötigt, erhält er diese flexibel nach Bedarf durch den 2nd-Level-Support. Vorteile Der intern Verantwortliche kennt das Unternehmen, die Tätigkeiten und die aktuelle Entwicklung Ist immer vor Ort erreichbar Kann Kollegen Weisungen erteilen, wenn die entsprechenden Befugnisse mit der Rolle des IT-Sicherheitsbeauftragten verbunden sind Eine externe Unterstützung kann gezielt eingesetzt werden, um das Durch- setzungsvermögen zu erhöhen Nachteile Interessenkonflikte sowie die fehlende Fokussierung können nicht vollständig ausgeschlossen werden Darauf sollten Sie achten: Die Schnittstelle an der der externe Support einspringt, sollte möglichst genau beschrieben werden, um Transparenz über die entstehenden Kosten zu erlangen. 12

14 Ihre Experten zum Thema sind Timo Neumann Abteilungsleiter Consulting Telefon: +49 (30) Manuel Rothe Senior Consultant Telefon: +49 (30) Impressum Bundesdruckerei GmbH Kommandantenstr Berlin Tel.: +49 (0) Fax: +49 (0)

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Einführung eines Informationssicherheits- Management-Systems (ISMS) bei Energieversorgern

Einführung eines Informationssicherheits- Management-Systems (ISMS) bei Energieversorgern Einführung eines Informationssicherheits- Management-Systems (ISMS) bei Energieversorgern Wie ein effizientes Projektmanagement den Kosten- und Ressourcenaufwand gering halten kann. Executive Summary Das

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Einführung eines Informationssicherheits- Management-Systems (ISMS) bei Energieversorgern

Einführung eines Informationssicherheits- Management-Systems (ISMS) bei Energieversorgern Einführung eines Informationssicherheits- Management-Systems (ISMS) bei Energieversorgern Wie ein effizientes Projektmanagement den Kosten- und Ressourcenaufwand gering halten kann. Mai 2015 Executive

Mehr

Worum es geht. zertifiziert und grundlegend

Worum es geht. zertifiziert und grundlegend Sicherer Systembetrieb in der Energiewirtschaft. Von der Analyse bis zur Zertifizierung. Worum es geht zertifiziert und grundlegend In Industrie staaten ist das gesamte Leben von einer sicheren Energie

Mehr

Personal- und Kundendaten Datenschutz bei Energieversorgern

Personal- und Kundendaten Datenschutz bei Energieversorgern Personal- und Kundendaten Datenschutz bei Energieversorgern Datenschutz bei Energieversorgern Datenschutz nimmt bei Energieversorgungsunternehmen einen immer höheren Stellenwert ein. Neben der datenschutzkonformen

Mehr

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010 Der Datenschutzbeauftragte Eine Information von ds² 05/2010 Inhalt Voraussetzungen Der interne DSB Der externe DSB Die richtige Wahl treffen Leistungsstufen eines ds² DSB Was ds² für Sie tun kann 2 Voraussetzungen

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Joel Hencks AeroEx 2012 1 1 Agenda Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management Management System

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters IS-Revisorentreffen 2012 Ronny Frankenstein 1 Agenda 1 Kurze Vorstellung 2 Motivation 3 Vorgeschichte 4 Umsetzung 5 Ergebnisse 2 Vorstellung

Mehr

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft

2. Forschungstag IT-Sicherheit NRW nrw-units. Informationssicherheit in der Energiewirtschaft 2 2. Forschungstag IT-Sicherheit NRW nrw-units 15. Juni 2015 Hochschule Niederrhein Informationssicherheit in der Energiewirtschaft 3 Informationssicherheit in der Energiewirtschaft 1. Sicherheit der Stromversorgung

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Ablauf der Zertifizierung / Zertifizierung von Organisationen Prof. Kathrin Winkler / Prof. Jürgen Müller Agenda 1. Fortbildungsweg 2. Projektarbeit und dpüf Prüfung

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV )

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV ) TÜV NORD Akademie Personenzertifizierung Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV ) Merkblatt Chief Information Security Officer (TÜV ) Personenzertifizierung Große

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Beraten statt prüfen Behördlicher Datenschutzbeauftragter Beraten statt prüfen Behördlicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach den Vorgaben aller Landesdatenschutzgesetze müssen öffentliche Stellen des Landes grundsätzlich

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten

Mehr

Personal- und Patientendaten Datenschutz in Krankenhäusern

Personal- und Patientendaten Datenschutz in Krankenhäusern Personal- und Patientendaten Datenschutz in Krankenhäusern Datenschutz in Krankenhäusern In Krankenhäusern stehen neben der datenschutzkonformen Speicherung eigener Personaldaten vor allem die Verarbeitung

Mehr

CERT NRW Jahresbericht 2012

CERT NRW Jahresbericht 2012 Seite: 1 von 19 CERT NRW Jahresbericht 2012 Seite: 2 von 19 Inhalt CERT NRW... 1 Jahresbericht 2012... 1 Einleitung... 3 Aufgaben des CERT NRW... 3 Tätigkeitsbericht... 4 Schwachstellen in Webangeboten

Mehr

Personal- und Kundendaten Datenschutz in Werbeagenturen

Personal- und Kundendaten Datenschutz in Werbeagenturen Personal- und Kundendaten Datenschutz in Werbeagenturen Datenschutz in Werbeagenturen Bei Werbeagenturen stehen neben der Verarbeitung eigener Personaldaten vor allem die Verarbeitung von Kundendaten von

Mehr

Informationssicherheit in der Bundesverwaltung und das ITSM im Bundeswirtschaftsministerium

Informationssicherheit in der Bundesverwaltung und das ITSM im Bundeswirtschaftsministerium Informationssicherheit in der Bundesverwaltung und das ITSM im Bundeswirtschaftsministerium Andreas Schmidt IT-Sicherheitsbeauftragter im Bundesministerium für Wirtschaft und Technologie www.bmwi.de Andreas

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

pco ISO/IEC 27001:2013 Praxisworkshop vom 08. bis 10. Juni 2015

pco ISO/IEC 27001:2013 Praxisworkshop vom 08. bis 10. Juni 2015 pco ISO/IEC 27001:2013 Praxisworkshop Einleitung Der Praxisworkshop Information-Security-Management-System (ISMS) nach ISO/IEC 27001:2013 vermittelt den Teilnehmern einen fundierten Überblick, wie durch

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen Datenschutz in Pharmaunternehmen Bei Pharmaunternehmen stehen neben der Verarbeitung eigener Personaldaten vor allem die Dokumentation

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q053 MO (3. Modul) Termin: 01.12. 02.12.2015 (3. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht

Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Anforderungen an die IT-Sicherheit Sicherheit von Informationen in kritischen Infrastrukturen ein Erfahrungsbericht Jörg Kehrmann Datenschutz- und IT-Sicherheitsbeauftragter der Wuppertaler Stadtwerke

Mehr

DS DATA SYSTEMS GmbH

DS DATA SYSTEMS GmbH DS DATA SYSTEMS GmbH Consulting is our business! Consulting is our business! Unternehmenspräsentation DS DATA SYSTEMS GmbH Drei Standorte: Schwülper (Hauptverwaltung) München Wolfsburg 25 Mitarbeiter in

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ

Externer Datenschutz. ... Chancen durch. Outsourcing PRISAFE DATENSCHUTZ Externer Datenschutz... Chancen durch Outsourcing PRISAFE DATENSCHUTZ Inhaltsverzeichnis Der Datenschutzbeauftragte Für welche Variante entscheiden? Der externe Datenschutzbeauftragte Kosten für Datenschutz

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen

2.2. 8b Zentrale Meldestelle für die Sicherheit in der Informationstechnik für die Betreiber kritischer Infrastrukturen Stellungnahme des Gesamtverbandes der Deutschen Versicherungswirtschaft ID-Nummer 6437280268-55 sowie des Verbandes der Privaten Krankenversicherung zum Referentenentwurf des Bundesministeriums des Innern

Mehr

ESN expert-veranstaltung Krisenmanagement im EVU

ESN expert-veranstaltung Krisenmanagement im EVU ESN expert-veranstaltung Krisenmanagement im EVU Krisenmanagement und ISMS Erfurt, 17.06.2015 Schlagworte ISMS- Energiewirtschaftsgesetz IT-Sicherheit BSI-Grundschutzkataloge Krisenmanagement Informationssicherheitsmanagementsystem

Mehr

Aktuelle Bedrohungslage

Aktuelle Bedrohungslage Aktuelle Bedrohungslage Seite 1 Seite 2 Waltenhofen Neuss Wiesbaden Waltenhofen Neuss Wiesbaden Security Webinar Der Weg zu Ihrem ganzheitlichen Security-Konzept in 6 Schritten Die nachfolgende Ausarbeitung

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?

Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung

Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Die Vorgaben des IT-Planungsrates Leitlinie für Informationssicherheit der öffentlichen Verwaltung Dr. Stefan Grosse Bundesministerium des Innern, Leiter Referat IT5 (IT5@bmi.bund.de) IT-Infrastrukturen

Mehr

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15. Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG Torsten Hemmer Berlin, 15. September 2015 Agenda Vorstellung der GDV Dienstleistungs-GmbH (GDV-DL) Die Informationssicherheit

Mehr

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle G m b H Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit mit TÜV Rheinland geprüfter Qualifikation 16. 20. November 2015, Berlin Cyber Akademie (CAk) ist eine eingetragene Marke www.cyber-akademie.de IT-Sicherheitsbeauftragte

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes Modernisierung des IT-Grundschutzes Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik netzdialog 2014 06.11.2014

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Thüringer Informationssicherheitsleitlinie für die Landesverwaltung

Thüringer Informationssicherheitsleitlinie für die Landesverwaltung Thüringer Informationssicherheitsleitlinie für die Landesverwaltung Vermerk Vertraulichkeit: Offen Inhalt: Einleitung und Geltungsbereich...3 1. Ziele der Informationssicherheit...4 2. Grundsätze der Informationssicherheit...4

Mehr

Anforderungskatalog - Begutachtung von Zertifizierungsstellen (BBAB)

Anforderungskatalog - Begutachtung von Zertifizierungsstellen (BBAB) Allgemeines Der vorliegende Anforderungskatalog spiegelt ergänzend zur Norm DIN EN ISO/IEC 17021:11 die genehmigungsrelevanten Anforderungen des KA wider. Er soll dem egutachter/der egutachterin helfen,

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Informationssicherheit - Last oder Nutzen für Industrie 4.0 Informationssicherheit - Last oder Nutzen für Industrie 4.0 Dr. Dina Bartels Automatica München, 4.Juni 2014 Industrie braucht Informationssicherheit - die Bedrohungen sind real und die Schäden signifikant

Mehr

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15. Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG Torsten Hemmer Berlin, 15. September 2015 Agenda Vorstellung der GDV Dienstleistungs-GmbH (GDV-DL) Die Informationssicherheit

Mehr

ISO 27001 Zertifizierung auf der Basis IT-Grundschutz

ISO 27001 Zertifizierung auf der Basis IT-Grundschutz T.I.S.P. Community Meeting 2011 ISO 27001 Zertifizierung auf der Basis IT-Grundschutz Uwe Holle Ziel des Vortrages Ziel des Vortrages ist es, Erfahrungen darzustellen, auf dem Weg zu einer ISO 27001 Zertifizierung

Mehr

IT-Sicherheit für Energieversorger

IT-Sicherheit für Energieversorger IT-Sicherheit für Energieversorger Das Wichtigste im Überblick Um was geht es? Die Bundesregierung erarbeitet derzeit folgende Gesetzesvorlage: IT-Sicherheitsgesetz (für kritische Infrastrukturen) umfasst

Mehr

Qualitätsmanagement ISO 9001:2008

Qualitätsmanagement ISO 9001:2008 Qualitätsmanagement ISO 9001:2008 Prüfe mich und erkenne wie ich es meine Ps. 139, 23 Referent: Jürgen Schuh, Prokurist und QMB der, Offenbach ECKD Das EDV-Centrum für Kirche und Diakonie : 19 Mitarbeitende

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Programm. Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Programm Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land) Veranstaltungsnummer: 2015 Q052 MO (2. Modul) Termin: 10.11. 12.11.2015 (2. Modul) Zielgruppe: Tagungsort: Künftige

Mehr

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch?

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch? 6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit Informationssicherheit in Unternehmen Schwachstelle Mensch? Berlin, 22. September 2014 Franz Obermayer, complimant AG Informationssicherheit ist

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

Informationssicherheit ein Best-Practice Überblick (Einblick)

Informationssicherheit ein Best-Practice Überblick (Einblick) Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Externer Datenschutzbeauftragter (DSB)

Externer Datenschutzbeauftragter (DSB) Externer Datenschutzbeauftragter (DSB) Darum braucht Ihr Unternehmen einen Datenschutzbeauftragten So finden Sie die richtige Lösung für Ihren Betrieb Bewährtes Know-how und Flexibilität gezielt einbinden

Mehr

Tine 2.0 Wartungs- und Supportleistungen

Tine 2.0 Wartungs- und Supportleistungen Tine 2.0 Wartungs- und Supportleistungen 1 Überblick Wartungs- und Supportleistungen Metaways Tine 2.0 Wartungs- und Support Editionen: LEISTUNGEN BASIC BUSINESS PROFESSIONAL SW Wartung ja ja ja Ticketsystem

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IT-Sicherheit für die Energie- und Wasserwirtschaft

IT-Sicherheit für die Energie- und Wasserwirtschaft IT-Sicherheit für die Energie- und Wasserwirtschaft Als Prozess für Ihr ganzes Unternehmen. Zu Ihrer Sicherheit. www.schleupen.de Schleupen AG 2 Deshalb sollte sich Ihr Unternehmen mit IT-Sicherheit beschäftigen

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Effizienz mit System. Implementierung von Informationssicherheit nach ISO 27001

Effizienz mit System. Implementierung von Informationssicherheit nach ISO 27001 Effizienz mit System Implementierung von Informationssicherheit nach ISO 27001 Dipl.-Ing. Berthold Haberler, Information Security Officer, LINZ AG Telekom LINZ STROM GmbH, Abt. f. Übertragungstechnik Der

Mehr

IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz

IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz IT-Sicherheitskatalog gemäß 11 Absatz 1a Energiewirtschaftsgesetz Stand: August 2015 Inhaltsverzeichnis A. EINLEITUNG... 3 B. RECHTLICHE GRUNDLAGEN... 4 C. SCHUTZZIELE... 5 D. GELTUNGSBEREICH... 6 E. SICHERHEITSANFORDERUNGEN...

Mehr

Das IT-Sicherheitsgesetz (IT-SiG)

Das IT-Sicherheitsgesetz (IT-SiG) Das IT-Sicherheitsgesetz (IT-SiG) Die Lösung oder ein neues Problem? 11.06.2015 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Hohe Affinität für die IT-Sicherheit

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Datenschutz IT-Sicherheit Compliance. Der Datenschutzbeauftragte

Datenschutz IT-Sicherheit Compliance. Der Datenschutzbeauftragte Datenschutz IT-Sicherheit Compliance Der Datenschutzbeauftragte Über die Einhaltung des Datenschutzes lässt sich nicht diskutieren. Überlegung 1 Keine Aktivitäten starten, Maßnahmen erst bei Problemen

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Einführung Die DIN EN ISO 9001 erfährt in regelmäßigen Abständen -etwa alle 7 Jahreeine Überarbeitung und Anpassung der Forderungen

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement INDUSTRIAL Informationssicherheitsmanagement 0 Inhaltsverzeichnis Ziel eines Informationssicherheitsmanagements Was ist die ISO/IEC 27000 Die Entstehungsgeschichte Die Struktur der ISO/IEC 27001 Spezielle

Mehr

Qualitätsmanagement kurz und bündig

Qualitätsmanagement kurz und bündig Zusammenfassung zum Seminar vom 06.04.2011 Qualitätsmanagement kurz und bündig 1 Qualitätsmanagement was soll das Ganze 2 Der Standard ISO 9001 3 QM ein Werkzeugkasten 4 Prozessorientierung 5 Verbesserung

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr