Risikoanalyse der Sicherheitskonzeption in der TI

Größe: px
Ab Seite anzeigen:

Download "Risikoanalyse der Sicherheitskonzeption in der TI"

Transkript

1 Einheitliche Methoden der Informationssicherheit Risikoanalyse der Sicherheitskonzeption in der Version: Revision: \main\rel_online\20 Stand: Status: freigegeben Klassifizierung: öffentlich Referenzierung: [gemmeth_risk] gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 1 von 34

2 Dokumentinformationen Änderungen zur Vorversion Einarbeitung Kommentare LA Dokumentenhistorie Version Stand Kap./ Grund der Änderung, besondere Hinweise Bearbeitung Seite freigegeben gematik Einarbeitung Kommentare LA P RC zur Freigabe empfohlen PL P freigegeben gematik gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 2 von 34

3 Inhaltsverzeichnis Dokumentinformationen...2 Inhaltsverzeichnis Einordnung des Dokuments Zielsetzung Zielgruppe Geltungsbereich Abgrenzungen Methodik Methodenbeschreibung Risikoidentifikation Assets Bedrohungen Schwachstellen Erfassung von realisierten Maßnahmen Beschreibung des Risikos Risikobewertung Risikobehandlung Restrisikoakzeptanz Unterstützung der Methode Beispiel zur Anwendung der Methode in der Spezifikationsphase Beschreibung Risikoidentifikation Risikobewertung Risikobehandlung Restrisikoakzeptanz Beispiel zur Anwendung der Methode im Wirkbetrieb Risikoidentifikation Risikobewertung Risikobehandlung Verbleibendes Restrisiko nach Maßnahmenumsetzung...28 gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 3 von 34

4 4.5 Risikoübernahme Zusatzinformationen Aufwand zur Durchführung Qualitätssicherung Lernmittel Häufig gestellte Fragen (FAQs)...32 Anhang A...33 A1 Abkürzungen...33 A2 Glossar...33 A3 Abbildungsverzeichnis...33 A4 Tabellenverzeichnis...33 A5- Referenzierte Dokumente...34 A5.1 Dokumente der gematik...34 A5.2 Weitere Dokumente...34 gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 4 von 34

5 1 Einordnung des Dokuments 1.1 Zielsetzung Das vorliegende Dokument beschreibt die Methodik zur Risikoanalyse in der Sicherheitskonzeption. Die Risikoanalyse der Sicherheitskonzeption in der kurz Risikoanalyse ist eine Teilmethode der Methodik der Sicherheitskonzeption. Die Risikoanalyse wird immer dann angewendet, wenn sich die Notwendigkeit aus der Durchführung der Sicherheitsanalyse der Sicherheitskonzeption ergibt. Die Risikoanalyse gilt für alle Entwicklungsphasen, in denen die Methodik zur Sicherheitskonzeption angewendet wird. Das vorliegende Dokument beschreibt die Risikoanalyse, die im Kern beinhaltet, wie aus einer Schwachstelle und einer Bedrohung ein Risiko abgeleitet und bewertet wird. Das Ergebnis der Risikoanalyse fließt wieder in die Sicherheitsanalyse ein. Methodik der Sicherheitskonzeption Bedrohungs- und Schwachstellenanalyse Übergreifende Festlegungen Sicherheitsanalyse Risikoanalyse Schutzbedarfsfeststellung Umgebungsannahmen Sicherheitsfunktionen Abbildung 1: Methodik der Sicherheitskonzeption Bei Anwendung der Methode werden als Ergebnisse eine Risikobewertung, Maßnahmen zur Behandlung des Risikos und eine Restrisikobewertung geliefert. Als Ergebnisse werden für jedes Risiko die folgenden Ergebnistypen erarbeitet: Beschreibung des Risikos Bewertung des Risikos (Schadensschwere, Eintrittshäufigkeit, Risikolevel) gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 5 von 34

6 Entscheidung, wie mit dem Risiko verfahren werden soll Maßnahmen zur Behandlung des Risikos mit Verantwortungen und Umsetzungszeitpunkt 1.2 Zielgruppe Das Dokument richtet sich an Verfasser von Spezifikationen und Sicherheitskonzepten für Fachanwendungen der oder Produkte der. 1.3 Geltungsbereich Dieses Dokument enthält normative Festlegungen zur Telematikinfrastruktur des Deutschen Gesundheitswesens. Der Gültigkeitszeitraum der vorliegenden Version und deren Anwendung in Zulassungsverfahren werden durch die gematik GmbH in gesonderten Dokumenten (z.b. Dokumentenlandkarte, Produkttypsteckbrief, Leistungsbeschreibung) festgelegt und bekannt gegeben. 1.4 Abgrenzungen In diesem Dokument wird nur die Durchführung der Risikoanalyse beschrieben. Die Durchführung und Anwendung der Methoden zur Schutzbedarfsfeststellung [gemmeth_schutzbed], Bedrohungs- und Schwachstellenanalyse [gemmeth_bedr] und Sicherheitsanalyse [gemmeth_sichanalyse] werden in gesonderten Dokumenten beschrieben. 1.5 Methodik Die Risikoanalyse basiert auf ISO Die ISO Norm beschreibt die Bewertung von Informationssicherheits (IS) Risiken. Ein Risiko besteht somit immer dann, wenn eine Schwachstelle durch eine Bedrohung ausgenutzt werden kann. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 6 von 34

7 2 Methodenbeschreibung Die Risikoanalyse wird für die Erstellung der Sicherheitskonzepte, aufbauend auf den Ergebnissen der Sicherheitsanalyse, verwendet. Sollte sich bspw. während der Sicherheitsanalyse herausstellen, dass eine Sicherheitsfunktion in Kombination mit einer Umgebungsannahme nicht geeignet ist, um ein Angriffsszenario mit einem bestimmten Angriffspotential abzuwehren, so muss mit Hilfe der Risikoanalyse der Risikobereich bestimmt und entschieden werden, wie mit dem bestehenden Risiko verfahren werden soll. Abbildung 2: Schematische Darstellung des Ablaufs einer Risikoanalyse Die Risikoanalyse besteht, wie in Abbildung 2 dargestellt, aus vier wesentlichen Prozessschritten: Risikoidentifikation: In diesem Prozessschritt muss das Risiko eindeutig beschrieben werden. Zur Risikobeschreibung gehört die Dokumentation aller Eingangsparameter, wie bspw. von Schwachstellen und Bedrohungen, die für die Risikobewertung notwendig sind. Die genaue Beschreibung der Eingangsparameter erleichtert die Risikobewertung und ist die Grundlage gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 7 von 34

8 für eine vergleichbare Risikoanalyse. Abschließend muss das Risiko eindeutig und nachvollziehbar formuliert werden. Risikobewertung: Im Prozessschritt der Risikobewertung wird, basierend auf der Risikoidentifikation, die Bewertung des Risikos vorgenommen. Hierbei werden mit Hilfe von Fachexperten die Schadensschwere und die Eintrittshäufigkeit geschätzt. Aus der Kombination von Schadensschwere und Eintrittshäufigkeit ergibt sich der Risikobereich (blau, grün, gelb, rot) des Risikos. Risikobehandlung: Basierend auf der Risikobewertung muss in diesem Prozessschritt festgelegt werden, wie mit dem bestehenden Risiko verfahren werden soll. Risiken können grundsätzlich akzeptiert oder vermieden, reduziert bzw. transferiert werden. Wird das Risiko als nicht akzeptabel eingeschätzt, so müssen Maßnahmen vorgeschlagen werden, wie mit dem Risiko verfahren werden soll. Für jede Maßnahme muss erneut das verbleibende Risiko (Restrisiko) bewertet werden. Restrisikoakzeptanz: In diesem Prozessschritt werden die Behandlung des Risikos und das verbleibende Restrisiko formal dokumentiert. Die Ergebnisse der Risikoanalyse und somit die Entscheidung, wie mit dem Risiko verfahren werden soll, wird wieder an die Sicherheitsanalyse übergeben. Sollte das Restrisiko von den Entscheidungsträgern als nicht tragbar eingeschätzt werden, so muss der Prozessschritt der Risikobehandlung erneut durchlaufen werden. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 8 von 34

9 2.1 Risikoidentifikation Abbildung 3: Risikoanalyse, Prozessschritt 1 die Risikoidentifikation Wann besteht eigentlich ein Risiko? Woraus besteht ein Risiko und wie wird ein Risiko identifiziert? Die folgende Abbildung 4 veranschaulicht die Bestandteile zur Identifikation von Risiken im Bereich der Informationssicherheit. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 9 von 34

10 Abbildung 4: Herleitung eines Risikos (Quelle: BSI) Risiken können nur entstehen, wenn eine Bedrohung auf ein Asset (in Abbildung 4 als Schutzobjekt bezeichnet) wirkt und die Bedrohung durch eine Schwachstelle zu einem Schaden führen kann. Eine Bedrohung nutzt somit vorhandene Schwachstellen aus und gefährdet ein Asset. Maßnahmen können eine Schwachstelle vollständig schließen oder den möglichen Schaden begrenzen Assets Grundsätzlich können Assets Hardware, Software, Informationsobjekte oder Prozesse sein. Im Kontext der werden hierunter auch die entsprechenden Produkte gefasst. Bei vorheriger Anwendung der Sicherheitsanalyse lässt sich das Asset aus dieser Methode übernehmen Bedrohungen Eine Bedrohung bedroht ein Asset. Sollte die Bedrohung durch Ausnutzung einer Schwachstelle eintreten, entsteht ein Schaden und das Risiko gilt als eingetreten. Bedrohungen setzen sich aus einer Ursache und einer Aktion zusammen. Sollte bspw. die Schwachstelle bestehen, dass Löschberechtigungen nicht angemessen vergeben sind, so wird diese Schwachstelle durch die Ursache Mensch, mit der Ausprägung schädigendes Handeln und der Aktion Löschen bedroht. Die Bedrohung sollte mit eigenen Worten beschrieben werden. Bei vorheriger Anwendung der Bedrohungs- und Schwachstellenanalyse oder der Sicherheitsanalyse lässt sich die Bedrohung aus dieser Methode übernehmen. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 10 von 34

11 2.1.3 Schwachstellen Eine Schwachstelle ist ein sicherheitsrelevanter Fehler eines IT-Systems. Sollte eine Schwachstelle durch eine Bedrohung ausgenutzt werden, entsteht ein Schaden. Der Ursprung von Schwachstellen kann verschieden sein (Schwachstellentyp). In der folgenden Tabelle sind die Schwachstellentypen Technisch, Verfahrensbezogen, Organisatorisch und Menschliches Fehlverhalten ausgeprägt. Jede Schwachstelle, die durch die Sicherheitsanalyse identifiziert wird, soll eindeutig einem Schwachstellentyp zugeordnet und um eine Ausprägung ergänzt werden. Zum besseren Verständnis soll die Schwachstelle konkretisiert werden. Bei vorheriger Anwendung der Bedrohungs- und Schwachstellenanalyse oder der Sicherheitsanalyse lässt sich die Schwachstelle aus dieser Methode übernehmen. Tabelle 1: Übersicht der Schwachstellentypen und -ausprägungen Schwachstelle - Schwachstellentyp Technisch Verfahrensbezogen Organisatorisch Menschliches Fehlverhalten Ausprägung Konträre fachliche Anforderung Konzeptionsfehler Spezifikationsfehler Programmierfehler Konfigurationsfehler Mangelnde Resistenz der Hardware Mangelnde physische Sicherheit der Umgebung Fehlerhafte bzw. unzureichende Verfahrensmodellierung Fehlerhafte bzw. unzureichende Verfahrensbeschreibung Fehlerhafte bzw. unzureichende Verfahrensumsetzung Fehlerhafte bzw. unzureichende Rollen- oder Rechtezuweisung Unzureichende Koordination und Kooperation Offenheit für Social Engineering Mangelnde Kenntnis Mangelnde Sorgfalt, Fahrlässigkeit Fehlbarkeit Erfassung von realisierten Maßnahmen In der Methode der Sicherheitsanalyse werden Angriffsszenarien gegen Sicherheitsfunktionen gestellt und bewertet, ob die Sicherheitsfunktionen ausreichend sind, um dem potentiellen Angriffspotential der Angriffsszenarien entgegenzuwirken. Die Dokumentation der Sicherheitsfunktion oder eventueller weiterer Maßnahmen ist wichtig, um die Bedrohungen und Schwachstellen vollumfänglich einschätzen zu können. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 11 von 34

12 2.1.5 Beschreibung des Risikos Wenn alle notwendigen Informationen vorliegen und dokumentiert wurden, muss das Risiko beschrieben werden. Für die Beschreibung von Risiken ist der folgende Standardsatz vorgegeben: Weil <die folgende Situation besteht (Asset, Bedrohung, Schwachstelle)> besteht das Risiko, dass <der folgende Schaden eintreten kann> Beispiel (hat keinen Einfluss auf die Ausgestaltung der ): Weil die Berechtigungen zum Löschen von Informationen nicht angemessen vergeben sind und zum Löschen von personenbezogenen Daten genutzt werden könnten, besteht das Risiko, dass der Firma ein hoher Image- und finanzieller Schaden entsteht, der den Fortbestand der Firma bedrohen könnte. Der Schaden wird an dieser Stelle noch nicht quantifiziert oder näher bewertet, aus der Beschreibung des Risikos soll jedoch eindeutig hervorgehen, was bei Eintritt des Risikos geschehen kann. In der Praxis stellt sich schnell heraus, dass jedes Risiko mehrere Facetten haben kann und bei der Betrachtung von unterschiedlichen Schwachstellen und Bedrohungen unterschiedlich formuliert oder bewertet werden kann. Hier muss entschieden werden, ob die unterschiedlichen Möglichkeiten ein und das gleiche Risiko adressieren oder eventuell separat betrachtet werden sollten. Für diese Entscheidung gibt es keine Vorgaben und sie muss je nach Sachlage und Themengebiet getroffen werden. Eine eindeutige und widerspruchsfreie Definition von Risiken vereinfacht die Risikobewertung deutlich. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 12 von 34

13 2.2 Risikobewertung Abbildung 5: Risikoanalyse, Prozessschritt 2 die Risikobewertung Die Bewertung des potentiellen Schadens und die Zuordnung zu einer Schadensklasse sowie die Bewertung der erwarteten Eintrittshäufigkeit ist entsprechend der Vorgaben in [gemrl_ripo_#2.1] bzw. [gemrl_ripo_#2.2] durchzuführen. Die Zuordnung des Risikos zum Risikobereich erfolgt anhand der Vorgaben in [gemrl_ripo_#3]. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 13 von 34

14 2.3 Risikobehandlung Abbildung 6: Risikoanalyse, Prozessschritt 3 die Risikobehandlung Nachdem das Risiko durch Fachexperten bewertet wurde, ist transparent, welche Schäden, mit welcher Eintrittshäufigkeit entstehen können. Daraus leitet sich ab, wie groß die Notwendigkeit ist, Maßnahmen zu ergreifen, um die Einstufung des Risikos (den Risikobereich) ggf. zu mindern. Grundsätzlich sind die folgenden Optionen für die Behandlung von Risiken möglich: Risikovermeidung Risikoverminderung/-mitigierung Risikotransferierung Risikoakzeptanz Abhängig vom Risikolevel (grün, gelb, rot, vgl. [gemrl_ripo_]) und somit der Risikobewertung können die oben genannten Optionen angewendet werden. Sollten Risiken nicht vollständig akzeptiert werden (ohne jegliche Maßnahmen zu treffen), ist die Definition von Maßnahmen notwendig. Durch die Beschreibung und Definition des Risikos ist eine präzise, definierte Ausgangsbasis für die Definition von Maßnahmen vorhanden. Die Fachexperten sind nun angehalten und aufgefordert Maßnahmen zu nennen und zu entwickeln, mit denen das Risiko gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 14 von 34

15 vermindert, vermieden oder transferiert werden kann. Der Aufwand für die Definition von Maßnahmen hängt vom Risiko ab und kann im Aufwand stark variieren. Wichtig ist, dass für jede Maßnahme die folgenden Punkte definiert werden: Beschreibung der Maßnahme und der einzelnen Schritte Verantwortliche Organisationseinheit zur Umsetzung der Maßnahme Kostenschätzung (Personentage und Beträge) zur Umsetzung der Maßnahme (falls notwendig) Im Anschluss an die Definition der Maßnahme muss durch die Fachexperten eine Restrisikobetrachtung durchgeführt werden, in der bewertet wird, wie sich die Maßnahme auf das Risiko auswirkt. Aus dieser Betrachtung resultiert das Restrisiko (blau, grün, gelb, rot). Das Restrisiko ist somit eine Indikation für die Wirksamkeit der definierten Maßnahmen. Aus den vorgeschlagenen Maßnahmen sollten die Fachexperten eine Maßnahme auswählen und dem Entscheidungsträger als Handlungsempfehlung vorschlagen. 2.4 Restrisikoakzeptanz Abbildung 7: Risikoanalyse, Prozessschritt 4 Risikoakzeptanz gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 15 von 34

16 Risiken können nur adressiert und Maßnahmen umgesetzt werden, wenn diese von einem Entscheidungsträger übernommen und die Umsetzung beschlossen wird. In der Methode wird diese Rolle als Risikoverantwortlicher definiert. Der Risikoverantwortliche muss das Risiko verstehen, die von den Fachexperten vorgeschlagenen Maßnahmen sondieren und eine Entscheidung treffen, mit welcher Maßnahme das Risiko abschließend adressiert werden soll und die Umsetzung anweisen und nachverfolgen. Sollte durch die Maßnahmen nicht die bestehende Schwachstelle komplett vermieden werden, so ergibt sich per Definition ein Restrisiko. Dieses Restrisiko kann sich entweder durch einen geringeren erwarteten Schaden bei Eintritt oder eine verminderte Eintrittshäufigkeit auszeichnen. 2.5 Unterstützung der Methode Aufgrund der abweichenden Zielsetzungen der Spezifikationsphase und der Wirkbetriebsphase sollen die in der jeweiligen Phase betrachteten Risiken unterschiedlich dokumentiert werden. Zur Unterstützung der Risikomethode werden daher zwei Templates von der gematik zur Verfügung gestellt, deren Anwendung verbindlich ist: Template Risikobewertung für die Spezifikation: Template Risiko Spezifikation Template Risikobewertung für den Wirkbetrieb: Template Risiko Wirkbetrieb gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 16 von 34

17 3 Beispiel zur Anwendung der Methode in der Spezifikationsphase Beispiel: sicherer -Versand 3.1 Beschreibung Für die Versendung von s in der Telematikinfrastruktur () wurde in der Spezifikation eine Transportverschlüsselung der s vorgesehen. s werden somit auf dem Transport zwischen dem Sender zum -Dienst-Anbieter, zwischen - Dienst-Anbietern und vom -Dienst-Anbieter zum Empfänger verschlüsselt, sind jedoch auf den Servern der -Dienst-Anbieter unverschlüsselt. Die Sicherheitsanalyse hat die bestehenden Sicherheitsfunktionen und Umgebungsannahmen für die Versendung von s potentiellen Angriffszenarien gegenübergestellt. Als Resultat dieser Gegenüberstellung wurde identifiziert, dass die Transportverschlüsselung nicht ausreichend ist, um alle Angriffsszenarien adäquat abzuwehren. In einer Risikoanalyse soll nun analysiert werden, wie hoch das bestehende Risiko ist und ob Maßnahmen ergriffen werden müssen. Anhand eines Beispiels wird die Anwendung der Methode aufgezeigt. Das verwendete Beispiel hat keinen Einfluss auf die Ausgestaltung der. 3.2 Risikoidentifikation Die Risikoidentifikation wird durch die Fachexperten durchgeführt und dokumentiert. Es müssen alle relevanten Informationen für die Risikobeschreibung aus der Sicherheitsanalyse übernommen oder falls nicht vorhanden, ergänzt werden. Die vorhandenen Informationen sind in der folgenden Tabelle dargestellt. Tabelle 2: Beispiel 1, Risikoidentifikation Thema Mitwirkende Informationsobjekt Sicherheitsfunktion Umgebungsannahme Risikoidentifikation sicherer -Versand Mitarbeiter A, Mitarbeiter B, Mitarbeiter C Als Informationsobjekt werden -Nachrichten betrachtet die innerhalb der versendet werden und medizinische Daten der Versicherten enthalten. Die E- Mails setzen sich aus dem Header (bspw. Absender und Empfänger) und dem Body (bspw. der Nachricht und der Anhänge) zusammen. Transportverschlüsselung der Nachrichten Die Server der Betreiber sind durch geeignete Maßnahmen vor unberechtigtem physischem und logischem Zugriff geschützt. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 17 von 34

18 Schwachstelle deskriptiv Schwachstellentyp Ausprägung Schwachstellentyp Bedrohung deskriptiv Bedrohungsursache Bedrohungsursache Ausprägung Bedrohungsaktion Bedrohungsaktion Ausprägung Geschädigte Akteure: s sind während der Speicherung auf Servern der -Dienst-Betreiber nicht verschlüsselt. Technisch Designfehler Ein Angreifer könnte sich Zugriff auf -Server der Betreiber verschaffen (schädigendes Handeln) und E- Mails der lesen oder kopieren. Die Vertraulichkeit der s wäre nicht mehr gewährleistet. Mensch Schädigendes Handeln Information Kenntnisnahme Sehr viele / alle Akteure Aus den einzelnen Informationen muss das Risiko zusammenfassend in einem Satz beschrieben werden. Diese Beschreibung gilt als abgestimmte Risikobeschreibung und muss bei der Bewertung des Risikos beachtet werden. Für das Beispiel ergibt sich die folgende Risikobeschreibung: Weil die s der Telematikinfrastruktur auf den -Servern der Betreiber unverschlüsselt abgelegt sind, besteht das Risiko, dass unberechtigte Dritte Zugriff auf die s erlangen und die Vertraulichkeit der s nicht mehr sichergestellt ist. 3.3 Risikobewertung Die Risikobewertung wird durch die Fachexperten vorgenommen. Zur Bewertung werden die Vorgaben für die Schadenskategorien, Schadensklassen und Eintrittshäufigkeitsklassen auf die Risikoinformationen angewendet. Die Reihenfolge der Bewertung ist nicht entscheidend, es hat sich jedoch gezeigt, dass es vorteilhaft ist zuerst die mögliche Schadensschwere zu bestimmen. Schadensschwere: 1.) Zur Bewertung der Schadensschwere müssen die Fachexperten in einem ersten Schritt die vorgegebenen Schadenskategorien durchgehen und die Kategorien auswählen, in denen sie den höchsten Schaden vermuten (Maximumprinzip). Die Schadenskategorien sind in [gemrl_ripo_] definiert. Sollte bereits eine Schutzbedarfsfeststellung für die bedrohten Informationsobjekte vorliegen, so kann diese übernommen werden. In diesem Beispiel wird davon ausgegangen, dass noch keine Schutzbedarfsfeststellung vorliegt. 2.) Nach Auswahl der Schadenkategorien müssen die Fachexperten die möglichen Schadensszenarien diskutieren und sich auf eine Schadensbewertung pro ausgewählter Schadenskategorie verständigen. Bei der Festlegung der Schadensschwere muss die Einhaltung des Maximumprinzips beachtet werden. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 18 von 34

19 Des Weiteren muss die Bestimmung der Schadensschwere nachvollziehbar dokumentiert werden. Zu jeder Schadenseinschätzung muss somit eine kurze Erläuterung verfasst werden. Für dieses Beispiel wurden die folgenden Schadenskategorien/Schadensklassen ausgewählt: Tabelle 3: Beispiel 1, Bewertung der Schadensschwere Schadensklasse / Schadenskategorie Verstoß gegen allgemeine Gesetze und Vorschriften Verstoß gegen das Bundesdatenschutzgesetz Verstoß gegen spezielle, die egk betreffende Gesetze ([GMG], [SGB V]) und Rechtsverordnungen Kein Schaden Niedrig Mittel Hoch Sehr Hoch Verstoß gegen Verträge n/a n/a n/a n/a n/a Beeinträchtigung der Aufgabenerfüllung Negative Innen- bzw. Außenwirkung Finanzielle/Wirtschaftliche Schäden n/a n/a n/a n/a n/a Für die Schadenseinschätzung Sehr Hoch wurde die folgende Begründung verfasst: X X X X X Tabelle 4: Beispiel 1, Risikobewertung Begründung Schadensschwere Bei den Daten handelt es sich um medizinische Daten von Patienten mit einem sehr hohen Schutzbedarf. Ein Verlust der Vertraulichkeit würde daher zu sehr hohen Schäden für den Betroffenen und letztlich der führen. Eintrittshäufigkeit: Analog zur Schadensschwere müssen die Fachexperten die Eintrittshäufigkeit für das Risiko bestimmen. Das Maximalprinzip ist wieder anzuwenden. Als Leitfaden für die Bewertung muss die folgende Tabelle verwendet werden: Tabelle 5: Beispiel 1, Übersicht Eintrittshäufigkeiten Eintrittshäufigkeit Definition Mögliche Auslegungen Sehr häufig ca. 1x/Woche Der Schaden wird unmittelbar erwartet. Häufig ca. 1x/Monat Der Schaden kann jederzeit auftreten und sich jederzeit wiederholen. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 19 von 34

20 Eintrittshäufigkeit Definition Mögliche Auslegungen Gelegentlich ca. 1x/Jahr Der Schaden wird nur mit erheblichem Aufwand und Wissen des Angreifers erwartet. Selten ca. 1x/10 Jahre Der Schaden wird nur erwartet, wenn ein Innentäter unterstützt oder hohe kriminelle Energie vorliegt. Sehr selten ca. 1x/100 Jahre Der Schaden wird nur mit erheblichem technischen Aufwand und hoher krimineller Energie erwartet. Die Eintrittshäufigkeit selten wird durch die Fachexperten wie folgt begründet: Begründung Eintrittshäufigkeit Auf Grund von Sicherheitsmaßnahmen bei den Betreibern ist ein Angriff von außen oder innen auf die -Server nur mit hoher krimineller Energie und mit Hilfe von Innentätern möglich. Die Eintrittshäufigkeit wird daher mit selten bewertet. Risikobereich: Aus der Kombination der Schadensschwere und der Eintrittshäufigkeit ergibt sich der Risikolevel. In diesem Beispiel wurde die Schadensschwere als Sehr Hoch und die Eintrittshäufigkeit als Selten eingeschätzt. Aus dieser Einschätzung ergibt sich ein gelbes Risiko vor Maßnahmen. Gemäß den Vorgaben der Risikobereiche bedeutet diese Einordnung, dass das Risiko akzeptiert werden kann oder es können risikoreduzierende Maßnahmen ergriffen werden. Tabelle 6: Beispiel 1, Risikomatrix Eintrittshäufigkeit (EHK-Klasse) Risikobereich Sehr Häufig (5) Häufig (4) Gelegentlich (3) Selten (2) Sehr Selten (1) 0, nicht möglich (0) 0 kein Schaden (0) Niedrig (1) Mittel (2) Hoch (3) Sehr Hoch (4) Schadensschwere (Schadensklasse) gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 20 von 34

21 3.4 Risikobehandlung Die Fachexperten haben das Risiko eingeschätzt (gelbes Risiko). Für die Definition von Maßnahmen und somit Handlungsoptionen zur Reduzierung des Risikos ist die Kreativität und das Fachwissen der Fachexperten gefragt. Ideal typisch werden mehrere Maßnahmen und Handlungsoptionen definiert und bewertet. Tabelle 7: Beispiel Risikobehandlung / Handlungsoptionen Handlungsoptionen Option 1: Risikoreduzierung (Handlungsempfehlung) Den Fachanwendungen soll die Möglichkeit gegeben werden, s vollständig und auf dem gesamten Transportweg (Ende-zu-Ende) zu verschlüsseln. Die Nutzung dieser Option Nachrichtenverschlüsselung soll für die Anwender optional zu oder abschaltbar sein. Empfohlen wird die Nachrichtenverschlüsselung zu verwenden. Entwerfen der technischen Lösung Anpassen der Spezifikationen Schaden: Die Bewertung des Schadens ist unverändert, da bei Eintritt des Risikos (trotz möglicher Verschlüsselung) vertrauliche Daten unberechtigten Dritten zugänglich sein würden. Eintrittshäufigkeit: Die Eintrittshäufigkeit verringert sich auf sehr selten, da davon ausgegangen wird, dass Fachanwender für Daten mit sehr hohem Schutzbedarf die Ende-zu- Ende-Verschlüsselung einsetzen. Kosten: 50 PT Spezifikation Umsetzung: Projekt Restrisikobereich: grün Option 2: Risikovermeidung Den Fachanwendungen wird vorgeschrieben, jede vollständig und auf dem gesamten Transportweg (Ende-zu-Ende) zu verschlüsseln. Der Aufwand entspricht im Wesentlichen der Option 1. Entwerfen der technischen Lösung Anpassen der Spezifikationen Eintrittshäufigkeit: Das beschriebene Risiko kann nicht mehr eintreten, da alle Daten verschlüsselt werden. Kosten: 50 PT Spezifikation Umsetzung: Projekt Restrisikobereich: blau Option 3: Risikoakzeptanz Das Risiko wird akzeptiert und es werden keine zusätzlichen Maßnahmen umgesetzt. Kosten: keine Umsetzung: n/a Restrisikobereich: gelb Das Restrisiko für jede Handlungsoption kann, wie das Risiko, aus der Matrix abgelesen werden. Durch die Umsetzung von Maßnahmen ergeben sich in der Regel Veränderungen in den Einschätzungen zur Schadensschwere und zur Eintrittshäufigkeit. Aus diesen Veränderungen leitet sich das Restrisiko ab. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 21 von 34

22 3.5 Restrisikoakzeptanz Durch die Fachexperten wurde nun: das Risiko identifiziert und beschrieben, eine Risikobewertung vorgenommen, Maßnahmen zur Behebung des Risiko definiert, Restrisiken für die einzelnen Maßnahmen bewertet. Zur finalen Entscheidung, wie mit dem Risiko umgegangen werden soll, muss der Risikoverantwortliche eine Maßnahme oder Handlungsoption auswählen und die Umsetzung dieser Option anweisen und verantworten. Im vorliegenden Beispiel wurde durch den Risikoverantwortlichen entschieden, der Einschätzung der Fachexperten zu folgen und Option 1 umzusetzen. Tabelle 8: Beispiel 1, Fachliche Freigabe Fachliche Freigabe - Die fachliche Korrektheit der Risikobewertung wird bestätigt, die Risiken sind im IS-Risikomanagement aufgenommen und die beschriebenen risikoeinschränkenden Maßnahmen sind, wie oben aufgeführt, geplant und werden durchgeführt. Name Datum Unterschrift Fachexperte 1 <xx.xx.xxxx> <Fachexperte 1> Fachexperte 2 <xx.xx.xxxx> <Fachexperte 2> Fachexperte 2 <xx.xx.xxxx> <Fachexperte 2> Tabelle 9: Beispiel 1, Risikoübernahme Beschluss/Ergebnis Entscheidung Durchführen von Option 1 Risikoübernahme - Das Risiko wird übernommen unter der Maßgabe, dass die festgelegten Maßnahmen umgesetzt werden und das Restrisiko akzeptiert wird. Name Datum Unterschrift Risikoverantwortlicher 1 <xx.xx.xxxx> <Risikoverantwortlicher 1> Durch die Entscheidung, Option 1 umzusetzen, wird automatisch das verbleibende Restrisiko akzeptiert. Einordnung Risiken und Handlungsoptionen: Tabelle 10: Beispiel 1, Risikomatrix und Handlungsoptionen gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 22 von 34

23 Eintrittshäufigkeit Risikoeinordnung Sehr häufig gelb rot rot rot Häufig gelb gelb rot rot Gelegentlich grün gelb gelb rot Selten grün grün gelb gelb Sehr selten grün grün grün Option 1 gelb Nicht möglich blau kein Schaden Option 2 Niedrig / einzelne Akteure Mittel / einzelne Akteure oder Niedrig / sehr viele Akteure Hoch / einzelne Akteure oder Mittel / sehr viele Akteure Risiko u. Option 3 Sehr hoch / einzelne Akteure oder Hoch / sehr viele Akteure Schadensklasse (Schadensschwere pro Akteur / Anzahl der Geschädigten) Auf Grund der Risikoanalyse wurde entschieden, eine weitere Sicherheitsfunktion zu implementieren und bereitzustellen. Diese Rückmeldung (Umsetzung von Option 1) wird aus der Risikoanalyse zur Sicherheitskonzeption gegeben. Danach sollte die Sicherheitsfunktion verbessert (Umsetzung der Maßnahmen) und die Methodik der Sicherheitskonzeption erneut durchlaufen werden. Die Risikoanalyse wird an dieser Stelle beendet. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 23 von 34

24 4 Beispiel zur Anwendung der Methode im Wirkbetrieb Beispiel: sicherer -Versand Das verwendete Beispiel hat keinen Einfluss auf die Ausgestaltung der. 4.1 Risikoidentifikation Die Risikoidentifikation wird durch die Fachexperten durchgeführt und dokumentiert. Hierzu dient der erste Teil des Templates zur Risikobewertung. Die zur Beschreibung der Situation notwendigen Informationen müssen aus der Bedrohungs- und Sicherheitsanalyse sowie der Schutzbedarfsfeststellung übernommen und sinnvoll ergänzt werden. Tabelle 11: Template Risikobewertung: Situationsbeschreibung Beschreibung der Situation Allgemeine Beschreibung: Betroffenes Asset (idr. Produkt): Bedrohung: Schwachstelle: Schutzbedarf des Assets: Für die Versendung von s in der Telematikinfrastruktur () wurde in der Spezifikation eine Transportverschlüsselung der s vorgesehen. s werden somit auf dem Transport zwischen dem Sender zum -Dienst-Anbieter, zwischen -Dienst-Anbietern und vom -Dienst-Anbieter zum Empfänger verschlüsselt, sind jedoch auf den Servern der -Dienst-Anbieter unverschlüsselt. Die Sicherheitsanalyse hat die bestehenden Sicherheitsfunktionen und Umgebungsannahmen für die Versendung von s potentiellen Angriffszenarien gegenübergestellt. Als Resultat dieser Gegenüberstellung wurde identifiziert, dass die Transportverschlüsselung nicht ausreichend ist, um alle Angriffsszenarien adäquat abzuwehren. In einer Risikoanalyse soll nun analysiert werden, wie hoch das bestehende Risiko ist und ob Maßnahmen ergriffen werden müssen. Als Informationsobjekt werden -Nachrichten betrachtet, die innerhalb der versendet werden und medizinische Daten der Versicherten enthalten. Die s setzen sich aus dem Header (bspw. Absender und Empfänger) und dem Body (bspw. der Nachricht und der Anhänge) zusammen. Ein Außentäter oder ein Innentäter könnte sich Zugriff auf -Server der Betreiber verschaffen (schädigendes Handeln) und s der lesen oder kopieren. Die Vertraulichkeit der s wäre damit nicht mehr gewährleistet. Unverschlüsselte Speicherung der s auf dem Server des - Dienst-Anbieters. Es handelt sich um medizinische personenbezogene Daten. Laut [gemmeth_schutzbed] ist der Schutzbedarf dieser Datenklasse hinsichtlich des Schutzziels Vertraulichkeit als "sehr hoch" eingestuft. gematik_einheitl_methode_risikoanalyse V1.1.0.doc Seite 24 von 34

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail

Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail . E Bonn, 1. März 2013 Handreichung zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail Die Handreichung soll die Nutzer von De-Mail für die datenschutzrechtlichen

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Vertrag zur Integrierten Versorgung in der Rheumatologie gemäß 140 a SGB V Anlage 17

Vertrag zur Integrierten Versorgung in der Rheumatologie gemäß 140 a SGB V Anlage 17 Diese Anlage 17 regelt die Anforderungen an die Erstellung und Nutzung der Vertragssoftware und ihre Zulassung gemäß 15 des Vertrages. Sie wird durch fortlaufende nach Maßgabe von 4 dieser Anlage 17 aktualisierte

Mehr

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH

IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der

Mehr

Anlage 1 Vertragssoftware

Anlage 1 Vertragssoftware Anlage 1 Vertragssoftware Diese Anlage 1 zum HzV-Vertrag regelt die Anforderungen an die Erstellung und Nutzung der Vertragssoftware gemäß 11 Abs. 1 Satz 1 und ihre Zulassung gemäß 11 Abs. 2 des HzV-Vertrages.

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Willkommen bei DATEV. it-sa 2013: Forum Rot. PRISM - Gerade deswegen ist Datenschutz noch wichtiger!

Willkommen bei DATEV. it-sa 2013: Forum Rot. PRISM - Gerade deswegen ist Datenschutz noch wichtiger! Willkommen bei DATEV it-sa 2013: Forum Rot PRISM - Gerade deswegen ist Datenschutz noch wichtiger! Wer ist DATEV? Softwarehaus und IT-Dienstleister mit über 40 Jahren Erfahrung mit Software, Services und

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Security for Systems Engineering VO 04: IT-Risikomanagement und IT-Grundschutz

Security for Systems Engineering VO 04: IT-Risikomanagement und IT-Grundschutz Security for Systems Engineering VO 04: IT-Risikomanagement und IT-Grundschutz Florian Fankhauser, Michael Schafferer INSO Industrial Software Institut für Rechnergestützte Automation Fakultät für Informatik

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1

Kapitel 2: Grundlagen. Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Grundlagen Wolfgang Hommel, Helmut Reiser, LRZ, WS 14/15 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der IT-Sicherheit 2. Kategorisierung von Sicherheitsmaßnahmen 3. Standards der

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt

Grundlagen des Datenschutzes. Vorlesung im Sommersemester 2011 an der Universität Ulm von Bernhard C. Witt Vorlesung im Sommersemester 2011 an der Universität Ulm von 2. Grundlagen der IT-Sicherheit Grundlagen der IT-Sicherheit Geschichte des Datenschutzes Anforderungen zur IT-Sicherheit Datenschutzrechtliche

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle G m b H Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Containerformat Spezifikation

Containerformat Spezifikation Containerformat Spezifikation Version 1.0-09.05.2011 Inhaltsverzeichnis 0 Einführung... 4 0.1 Referenzierte Dokumente... 4 0.2 Abkürzungen... 4 1 Containerformat... 5 1.1 Aufbau des Container-Headers...

Mehr

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate

Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Seite 1 von 6 Autor: G. Raptis Gültigkeitsmodell der elektronischen Arztausweise und Laufzeit der Zertifikate Gültigkeitsmodelle beschreiben den Algorithmus nach dem ein Client oder Dienst entscheidet,

Mehr

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke Implementierung eines Risikomanagementsystems bei der EADS BU DE Jan Eickmann Mathias Wernicke 03.02.2009 Dipl.-Ing. Mathias Wernicke, Jan Eickmann 1 Vision2020 Entwicklung der EADS [ ] mit größerem Anteil

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Forum Kommune21 auf der DiKOM Süd 4. Mai 2011, Frankfurt Marit Hansen Stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein

Mehr

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen

Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Richtlinie für die Verwendung des Cloud-Speicherdienstes sciebo an der Fachhochschule Südwestfalen Rektorat der FH SWF - 11.02.2015 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Antrag auf Erteilung einer Erlaubnis zum Versand apothekenpflichtiger Arzneimittel nach 11a Apothekengesetz (ApoG)

Antrag auf Erteilung einer Erlaubnis zum Versand apothekenpflichtiger Arzneimittel nach 11a Apothekengesetz (ApoG) Antrag auf Erteilung einer Erlaubnis zum Versand apothekenpflichtiger Arzneimittel nach 11a Apothekengesetz (ApoG) Antragsteller (Inhaber der Betriebserlaubnis): Name Vorname. Name und Anschrift der Versandapotheke:

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Richtlinien der HHU für die Verwendung von Sync & Share NRW

Richtlinien der HHU für die Verwendung von Sync & Share NRW Richtlinien der HHU für die Verwendung von Sync & Share NRW HHU 21. Januar 2015 Sync & Share NRW ist ein Cloud-Storage-Dienst zu Zwecken von Forschung, Lehre, Studium und Hochschulverwaltung. Die in Sync

Mehr

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo

Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo Empfehlungen für die Verwendung des Cloudspeicherdienstes sciebo IV-Sicherheitsteam der WWU November 2014 Dieses Dokument soll darüber aufklären, welche Daten von Mitgliedern und Angehörigen der WWU in

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Ohne Transparenz kein Schutz

Ohne Transparenz kein Schutz Ohne Transparenz kein Schutz Durchführung von IT-Risikoanalysen auf der Basis von ISO/IEC 27005 Der hohe Stellenwert der IT erfordert heute eine umfassende Identifikation und Bewertung der zugehörigen

Mehr

Der PCI DSS als Basis für die ISO 27001-Umsetzung

Der PCI DSS als Basis für die ISO 27001-Umsetzung Der PCI DSS als Basis für die ISO 27001-Umsetzung Matthias Hauß Warum der PCI DSS als Grundlage für weitere Sicherheitsbestrebungen dienen kann Der Druck zur Einhaltung von Compliance-Vorgaben, sei es

Mehr

Containerformat Spezifikation

Containerformat Spezifikation Containerformat Spezifikation Version 1.1-21.02.2014 Inhaltsverzeichnis 0 Einführung... 4 0.1 Referenzierte Dokumente... 4 0.2 Abkürzungen... 4 1 Containerformat... 5 1.1 Aufbau des Container-Headers...

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

Vortrag Sicherheitsanalyse der Übertragung von Energiedaten über offene Netze

Vortrag Sicherheitsanalyse der Übertragung von Energiedaten über offene Netze Vortrag Sicherheitsanalyse der Übertragung von Energiedaten über offene Netze anlässlich des 1. SELMA-Workshops Übertragung von Energiemessdaten über offene Kommunikationssysteme am 5./6. Juni 2002 bei

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Vereinbarung über den Elektronischen Datenaustausch (EDI)

Vereinbarung über den Elektronischen Datenaustausch (EDI) Vereinbarung über den Elektronischen Datenaustausch (EDI) zwischen und Energie- und Wasserversorgung Bruchsal GmbH Schnabel-Henning-Straße 1a 76646 Bruchsal im Folgenden Parteien genannt EDI Stand 10.2009

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen:, Unterkotzauer Weg 25, 95028

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security

Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Erhöhung der Schutzstufe nach Datenschutz durch den Einsatz von Endpoint-Security Aktuelle Änderungen des Bundesdatenschutzgesetzes vom 3.7.2009. July 2009 WP-DE-20-07-2009 Einführung Die am 3. Juli 2009

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

IT-Sicherheit - Sicherheit vernetzter Systeme -

IT-Sicherheit - Sicherheit vernetzter Systeme - IT-Sicherheit - Sicherheit vernetzter Systeme - Kapitel 2: Grundlagen Folienversion: 18.10.2013 Wolfgang Hommel, Helmut Reiser, LRZ, WS 13/14 IT-Sicherheit 1 Kapitel 2: Inhalt 1. Grundlegende Ziele der

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: ZVO Energie GmbH und...

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Die Spezifikation der Lösungsarchitektur zur Umsetzung der Anwendungen der elektronischen Gesundheitskarte Management Summary Prof. Dr.

Die Spezifikation der Lösungsarchitektur zur Umsetzung der Anwendungen der elektronischen Gesundheitskarte Management Summary Prof. Dr. Die Spezifikation der Lösungsarchitektur zur Umsetzung der Anwendungen der elektronischen Gesundheitskarte Management Summary Prof. Dr. Herbert Weber Von Dezember 2004 bis Februar 2005 haben die Fraunhofer-Institute

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2014: IT-Risikomanagement 7.1 Risikoportfolio Vertraulichkeit Aufgabe: Gegeben seien folgende Werte einer Sicherheitsanalyse eines IT-Systems hinsichtlich

Mehr

Risikomanagement IT-vernetzter Medizinprodukte

Risikomanagement IT-vernetzter Medizinprodukte Risikomanagement IT-vernetzter Medizinprodukte gem. ISO/IEC 80001-1 20.03.2014 Stefan Möller TÜV TRUST IT GmbH Motivation und Bedrohungslage Die IT-Vernetzung von Medizinprodukten* im Informationsverbund

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Rechtliche Bestimmungen Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stromversorgung Zerbst GmbH

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Energieversorgung Marienberg

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Energieversorgung Filstal GmbH & Co. KG Großeislinger

Mehr

Anschluss CET4-AP an Siemens ET 200pro

Anschluss CET4-AP an Siemens ET 200pro Anschluss CET4-AP an Siemens ET 200pro Inhalt Zuhaltung nach EN 1088 durch Energie zugehalten (Arbeitsstromprinzip)... 2 Verwendete Bauteile / Module... 2 EUCHNER... 2 Andere... 2 Funktionsbeschreibung...

Mehr

Datenschutz-Leitlinie

Datenschutz-Leitlinie Datenschutz- Regelungsverantwortlich: Reinhard Schmid; SV 3 Version: 1.7.0 vom: 08.01.2015 Status: Gültig Dokumenttyp: Aktenzeichen: Schutzstufe: Zielgruppe: ggf. eingeben keine Schutzstufe Kunden, Dataport

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: enwag energie- und wassergesellschaft

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Konstanz GmbH

Mehr

Risikomanagement@1&1 Hosting

Risikomanagement@1&1 Hosting Risikomanagement@1&1 Hosting Entwicklertag 09.05.2012 Heiko Henßler und Christian Fleisch 1&1 Internet AG Heiko Henßler Agenda Wer sind wir? Risikomanagement@1&1-Hosting? Risikoidentifizierung der Risikoworkshop

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI) (Stand: 20110101)

Vereinbarung über den elektronischen Datenaustausch (EDI) (Stand: 20110101) Vereinbarung über den elektronischen Datenaustausch (EDI) (Stand: 20110101) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Energie

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Stadtwerke Bad Salzuflen

Mehr

Modernisierung des IT-Grundschutzes

Modernisierung des IT-Grundschutzes Modernisierung des IT-Grundschutzes Isabel Münch Referatsleiterin Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision Bundesamt für Sicherheit in der Informationstechnik netzdialog 2014 06.11.2014

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen und, Ludwigshafener Straße 4, 65929 Frankfurt am Main - im Folgenden die Parteien genannt - 1 Zielsetzung und Geltungsbereich 1.1 Die

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) zwischen Appenweierer Str. 54 77704 Oberkirch und (Stempel) nachfolgend Vertragspartner genannt Seite 1 von 5 1. Zielsetzung und Geltungsbereich

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: und Stadtwerke Marburg GmbH,

Mehr

Einführung Risk Management Konzept

Einführung Risk Management Konzept Einführung Risk Management Konzept 1. Risiko unser ständiger Begleiter Das Risk Management ist ein wichtiges Führungsinstrument für das Erreichen der Zielsetzungen und für den Schutz der Mitarbeitenden,

Mehr

nachfolgende Vereinbarung zum Inhalt und zur Anwendung der elektronischen Gesundheitskarte

nachfolgende Vereinbarung zum Inhalt und zur Anwendung der elektronischen Gesundheitskarte Vereinbarung zum Inhalt und zur Anwendung der elektronischen Gesundheitskarte Stand: 1. Januar 2015 Zwischen dem GKV-Spitzenverband (Spitzenverband Bund der Krankenkassen) K.d.ö.R, Berlin und der Kassenärztlichen

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

2.1.2 Tipps zur Erarbeitung der Prozessbeschreibung Unternehmensziele

2.1.2 Tipps zur Erarbeitung der Prozessbeschreibung Unternehmensziele QM im Unternehmen QMH, Kap. 2.1.2 2.1.2 Tipps zur Erarbeitung der Prozessbeschreibung Unternehmensziele QM in der konkret WEKA MEDIA GmbH & Co. KG Dezember 2005 Was beinhaltet diese Prozessbeschreibung?

Mehr

Vereinbarung über den elektronischen Datenaustausch (EDI)

Vereinbarung über den elektronischen Datenaustausch (EDI) Vereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Torgau GmbH,

Mehr

Vereinbarung über den elektronischen Datenaustausch

Vereinbarung über den elektronischen Datenaustausch Vereinbarung über den elektronischen Datenaustausch RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Heidelberg Netze GmbH

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

Mustervereinbarung über den elektronischen Datenaustausch (EDI)

Mustervereinbarung über den elektronischen Datenaustausch (EDI) Mustervereinbarung über den elektronischen Datenaustausch (EDI) RECHTLICHE BESTIMMUNGEN Die Vereinbarung über den elektronischen Datenaustausch (EDI) wird getroffen von und zwischen: Stadtwerke Waldkirch

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW)

Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) Stand 06. März 2015 Empfehlungen für die Verwendung von Sciebo (Sync & Share NRW) IV-Sicherheitsteam der WWU Juni 2014, angepasst für Mitglieder und Angehörige der FH Köln Dieses Dokument, das mit freundlicher

Mehr