Sicherheitsmanagement mit ITIL und BSI-Grundschutz

Größe: px
Ab Seite anzeigen:

Download "Sicherheitsmanagement mit ITIL und BSI-Grundschutz"

Transkript

1 Sicherheitsmanagement mit ITIL und BSI-Grundschutz Hochschule Furtwangen University Veranstaltung Professor Studiengang : Aktuelle Themen der Informatik : Dr. F. Kaspar : Computer Networking Zeitraum : WS 2006/07 Referentin : Simone Günther

2 Inhalt Einführung Sicherheitsmanagement mit ITIL ITIL Allgemein Was ist ITIL? Weshalb wurde ITIL entwickelt? Für wen wurde ITIL entwickelt? Der Nutzen vom Einsatz von ITIL Weshalb ITIL einsetzen? Die wesentlichen Hauptgebiete Security Management Gründe für IT-Security Ziele des IT-Security Managements Das Etablieren des IT-Security Management Prozesses Der Umfang des IT-Security Management Prozesses Reporting Behandlung von security insidents Sicherheitsmanagement mit dem BSI-Grundschutz Allgemeines zum BSI Ziel des IT-Grundschutzes IT-Grundschutzkatalog BSI-Standards IT-Grundschutz-Vorgehensweise IT-Sicherheitsmanagement Managementaufgaben laut BSI-Standard Wichtige Maßnahmen zur Steuerung eines systematischen IT-Sicherheitsprozesses IT-Sicherheitsstrategie Managementmängel und Maßnahmen Rollen und Zuständigkeiten IT-Sicherheitsleitlinie IT-Sicherheitskonzept Simone Günther, CN 8 2

3 Einführung Warum IT-Security? Falsche oder nicht ausreichende IT Security ist nicht nur ein existenzbedrohendes Wettbewerbsrisiko, sondern kann unter Umständen auch finanzielle wie strafrechtliche Haftungsrisiken nach sich ziehen - bis hin zur persönlichen Haftung von Vorstand oder Geschäftsführung. Insbesondere deshalb kommt es für Unternehmen und Organisationen entscheidend darauf an, geeignete und angemessene Präventivmaßnahmen zu ergreifen, um die Verfügbarkeit, Vertraulichkeit und Integrität von Daten in einem sinnvoll definierten Umfang gewährleisten zu können. Ein heute als sicher geltendes System kann schon morgen gravierende Sicherheitslücken aufweisen. Die Praxis zeigt: IT- Systeme werden ständig komplexer. Damit steigt die Wahrscheinlichkeit, die Systeme nicht mehr bis ins Detail zu beherrschen. Immer mehr Komponenten innerhalb von IT-Infrastrukturen sind nicht ausreichend sicher konfiguriert. Das Wissen und die Möglichkeiten potentieller Angreifer wachsen stetig. Immer neue Schwachstellen werden bekannt. Attacken erfolgen in der Regel umgehend. Simone Günther, CN 8 3

4 1. Sicherheitsmanagement mit ITIL 1.1 ITIL Allgemein 1.1.1Was ist ITIL? ITIL ist die Abkürzung für den durch die CCTA in Norwich (England) im Auftrage der britischen Regierung entwickelte Leitfaden IT Infrastructure Library. Für ihre Anwender bedeutet ITIL jedoch viel mehr als nur diese Bücher. Hinter ITIL verbergen sich heute eine Vielfalt von Produkten und Dienstleistungen aus den Bereichen Training Berufsqualifikation Beratung Software-Tools und Erfahrungsaustausch die in zahlreichen Ländern auf der ganzen Welt zur Weiterentwicklung und Unterstützung von IT Serviceorganisationen verwendet werden Weshalb wurde ITIL entwickelt? Die Feststellung, dass Unternehmen und die öffentliche Verwaltung heute in hohem Maß von der Verfügbarkeit von Informationssystemen abhängig sind, hat Ende der Achtziger Jahre zur Konzeption und Entwicklung von ITIL geführt. Initiator war die CCTA (Central Computer and Telecommunications Agency), eine IT Dienstleistungsorganisation der britischen Regierung. Die Anforderungen der untersuchten Unternehmen und Organisationen glichen sich, ungeachtet ob es sich um die öffentliche Hand oder die Privatwirtschaft handelte, ob groß oder klein, ob zentralisiert oder dezentralisiert. Kosten mussten reduziert und die Qualität der IT Dienstleistungen musste verbessert werden. Als das ITIL-Projekt begonnen wurde, gab es keine umfassende Grundlage für die wirtschaftliche und zweckmäßige Erbringung von IT Services. Heute sind die anerkannten Verfahrensweisen des IT Servicemanagement in ITIL dokumentiert. Zur Erarbeitung dieser "Best practice" sicherte sich die CCTA der Zusammenarbeit von Experten, Beratern und erfahrenen Berufsleuten. ITIL ist bis heute die einzige umfassende, nicht-proprietäre und öffentlich zugängliche Verfahrensbibliothek in diesem Bereich. Das macht sie zum einzigartigen und wertvollen Produkt für alle IT Professionals. Simone Günther, CN 8 4

5 1.1.3 Für wen wurde ITIL entwickelt? Die IT Infrastructure Library wurde in erster Linie für Leute geschrieben, die für die Planung, Überwachung und Steuerung von qualitativ hoch stehenden IT Services verantwortlich sind. Die Bücher beschreiben hauptsächlich was getan werden muss und weniger wie es getan werden soll. Die Bücher vermitteln jedoch insgesamt einen guten Überblick und ein gutes Verständnis der Zusammenhänge innerhalb einer IT Serviceorganisation. Die Anleitung ist für Organisationen jeder Größe, ob öffentliche Hand oder Privatwirtschaft, hilfreich und wird heute rund um den Erdball eingesetzt. ITIL beschreibt in erster Linie Prozesse und Rollen. Diese behalten ungeachtet der eingesetzten Technologie ihre Gültigkeit. Ob interne Dienstleister, externe Lieferanten, Manager, Mitarbeiter, Softwareentwickler, Wartungsverantwortliche oder Testspezialisten: sie alle müssen die Anforderungen des IT Service Management kennen, damit sie den von ihnen erwarteten Beitrag leisten können Der Nutzen vom Einsatz von ITIL ITIL beschreibt ein systematisches, professionelles Vorgehen für das Management von IT Dienstleistungen. Die Library stellt nachdrücklich die Bedeutung der wirtschaftlichen Erfüllung der Unternehmens-Anforderungen in den Mittelpunkt. Die Arbeit nach den in ITIL beschriebenen "Best Practice" bringt der Organisation: IT Dienstleistungen, die den Anforderungen entsprechen. Höhere Kundenzufriedenheit. Weniger Aufwand bei der Entwicklung von Prozessen, Prozeduren und Arbeitsanweisungen. Höhere Produktivität und der gezielte Einsatz von Wissen und Erfahrung. Grundlage für eine QM-Systematik im IT Servicemanagement. Bessere Kommunikation und Information zwischen den IT Mitarbeitern und ihren Kunden. Höhere Mitarbeiterzufriedenheit und niedrigere Personalfluktuation. Simone Günther, CN 8 5

6 1.1.5 Weshalb ITIL einsetzen? Organisationen können auf folgende drei miteinander eng verbundene Arten vom Einsatz eines ITIL-basierten Ansatzes profitieren: Durch den Einsatz von zweckmäßigen und wirtschaftlichen Vorgehen, können die Leistungserstellungskosten reduziert werden. Auf die wirklichen Bedürfnisse der Kunden zugeschnittene gute Dienstleistungen führen zu zufriedenen Kunden. Durch die Anerkennung ihres beruflichen Wissens, im Speziellen durch die Trainings- und Qualifikationsmaßnahmen, werden die Mitarbeiter im Bereich des IT Service Management professionalisiert. Die Folge davon ist, dass sich in diesem Bereich die Zufriedenheit und die Motivation der betroffenen Mitarbeiter erheblich steigern Die wesentlichen Hauptgebiete Die neue ITIL Library hat folgende wesentliche Bücher: I) The Business Perspective (strategische Ebene) The Business Perspective will eine gemeinsame Basis zwischen dem Kunden (Business) und der seinen Geschäftsprozessen hinterlegten IT Infrastruktur schaffen. Dem Kunden soll für diese Zusammenhänge auch ein Verständnis von verbesserten Verfahren auf Basis von IT Service Management nahe gebracht werden: Business Continuity Management Partnerships and Outsourcing Surviving Changes Radical Change Transformations Simone Günther, CN 8 6

7 II) Applications Management (taktische Ebene) Das Application Management stellt ein Planungsmodell zur Verfügung. Es soll neue und bestehende Applikationen in einer produktiven IT Umgebung besser (weniger Fehler, wartungsfreundlicher) und im Hinblick auf kostengünstige Umsetzungen für künftige Anforderungen berücksichtigen. Es beschreibt umfassend das Management für den gesamten Lebenszyklus (life cycle) einer Applikation (Software, Anwendung). Der Zyklus beinhaltet sowohl die Applikationsentwicklung (Application Development) als auch deren Nutzung (Service Management). Ziel ist, in den beiden Phasen immer den gesamten Zyklus zu berücksichtigen. Nur so können sicher betreibbare, stabile und veränderbare IT Services aus den Applikationen generiert werden. III) Security Management (taktische Ebene) Das Security Management ist ein eigener Teil eines Rahmenkonzepts für Informationssicherheit. Ziel muss die Gewährleistung der Sicherheit von Informationen sein: Fundamentals of information security ITIL and Security Management Security Management measures Guidelines for implementing Security Management IV) Service Delivery (taktische Ebene) Aufgabe der planerischen und steuernden Prozesse ist die Anforderungen zwischen den Kunden und dem IT Bereich bestmöglich zu treffen, zu planen und zu überwachen. Zielsetzung ist eine bessere Kundenorientierung zu erreichen. Die zur Erfüllung notwendigen Aufwendungen sind wirtschaftlich zu erbringen und verursachergerecht zu verrechnen. Service Delivery besteht aus folgenden Modulen: Service Level Management Availability Management IT Service Continuity Management Capacity Management Financial Management for IT Services Simone Günther, CN 8 7

8 V) Service Support (operative Ebene) Service Support sorgt für den effizienten und störungsfreien Betrieb von IT Dienstleistungen. Die wirkungsvolle Betreuung dieser IT Services wird durch folgende Prozesse sichergestellt: Incident Management and Service Desk Problem Management Configuration Management Change Management Release Management VI) Infrastructure Management (operative Ebene) ICT Infrastructure Management (ICTIM) hat die Management-Disziplinen in 4 Prozesse gegliedert: Design & Plan Deployment Operations Technical Support Sie beschreiben die Entwicklung und Wartung von IT Strategien und Prozessen für den Aufbau und die Einführung der benötigten IT Infrastruktur Lösungen für ein Unternehmen: Koordination aller Aspekte IT Design und Planung einheitliche IT Planungs-Anlaufstelle für alle Geschäfts- und Serviceplaner Unterstützung bei der Erstellung von Policies und Standards Folgende Infrastruktur-Komponenten werden betrachtet: Network Service Management Operations Management Management of Local Processors Computer Installation and Acceptance Systems Management Simone Günther, CN 8 8

9 1.2 Security Management Allein der potentielle Schaden, der einem Unternehmen aufgrund von Datenverlust oder -diebstahl entstehen kann, lässt eine einfache Formel zur Notwendigkeit von IT Security zu: IT Security kostet Geld, keine IT Security kostet auch Geld. Quelle: CSI/FBI 2002 Computer Crime & Security Survey, Computer Security Institute Gründe für IT Security Dabei ist IT Security in der Regel kein eigenes unternehmerisches Ziel, sondern eine Unterstützung für die eigentlichen Geschäftsprozesse. Dass diese, bzw. deren Darstellung in der IT Infrastruktur geschützt sein sollten - etwa mit regelmäßigen Backups, oder Verschlüsselungstechnologien -, liegt schon im Interesse des Unternehmens. Aber neben dieser inneren Motivation gibt es auch externe Gründe, IT Security im Unternehmen einzuführen: Gesetzliche Vorgaben & Haftungsgründe Kreditwürdigkeit Versicherungsschutz Minimierung der Kosten Gesichtsverlust Eine Reihe von gesetzlichen Bestimmungen (u.a. KonTraG, BGB, AktG, BmbhG und HGB) nehmen die Unternehmen in die Pflicht, sorgsames Security Management zu betreiben, beispielsweise um persönliche Mitarbeiterdaten vor Missbrauch zu schützen. Wie ernst es dem Gesetzgeber mit diesen Vorschriften ist, zeigt sich daran, dass sowohl Unternehmer als auch Angestellte bei diesbezüglichen Versäumnissen die persönliche Haftung droht. Simone Günther, CN 8 9

10 Neben betriebswirtschaftlichen und haftungsmotivierten Risiken werden auch immer öfters IT-spezifische Aspekte als Grundlage zur Bewertung der Kreditwürdigkeit herangezogen. Basel II (Neuer Basler Akkord zur Eigenkapitalsicherung von Krediten) sieht als wesentliche Veränderung die Einführung eines nach der Ausfallwahrscheinlichkeit differenziertem Systems der Eigenkapitalsicherung vor. IT Security leistet auch einen Beitrag zur günstigeren Einstufung bei Versicherungen, deren Prämien immer öfters vor dem Hintergrund vorhandener IT Security Konzepte festgesetzt werden. Im Schadensfall kann eine mangelhafte IT Security auch als grob fahrlässig eingestuft werden und eigene Versicherungsansprüche gefährden Ziele des IT Security Managements Was sicher ist, was nicht und wie sicher "sicher" sein soll - das wird im IT Security Management Prozess definiert, etabliert und überwacht. Sollten Security Incidents das definierte Sicherheitsniveau gefährden, werden über den IT Security Management Prozess geplante Gegenmaßnahmen eingeleitet, um das System wirksam zu schützen Das Etablieren des IT Security Managements Prozesses IT Security Management ist Chefsache. Die Entscheidung ob, wie und zu welchen Kosten derartige Prozesse im Unternehmen eingeführt werden, setzen eine Abstimmung und Zustimmung mit bzw. durch die Geschäftsführung voraus. Die dazu ebenfalls notwendigen Managementrichtlinien zu Organisation und Verantwortlichkeiten, deren Umfang und Detaillierung, sowie weitere Rahmenbedingungen werden sodann in einer Sicherheitsstrategie (security policy) verbindlich festgeschrieben. Das notwendige Maß an IT Security wird anhand einer Risikoanalyse bestimmt, welche sowohl die Kundensicht (business perspective), als auch die technische Sicht (technical perspective) berücksichtigt. Aus ihr gehen schließlich der aktuelle Status und die Qualität der vorhandenen IT Security hervor. Alle Vorschläge für weitere Sicherheitsmaßnahmen werden dann aus der Risikoanalyse abgeleitet und das daraus resultierende Sicherheitsniveau in definierter Form im IT Security Plan festgeschrieben. IT Security Management Prozesse enden nicht an der Stelle der Implementierung bedarfsgerechter IT Security. Viel mehr folgt eine kontinuierliche Überwachung der Sicherheitsmaßnahmen, um deren Effektivität und Effizienz fortwährend zu bewerten und eine Grundlage für neuerliche Anpassungen und weitere Maßnahmen zu erhalten. Simone Günther, CN 8 10

11 1.2.4 Der Umfang des IT Security Management Prozesses Konkret müssen IT Security Management Prozesse den Anforderungen der inneren Sicherheit (internal security) und äußeren Sicherheit (external security) genügen. Das Fundament für die innere Sicherheit sind Sicherheitsansprüche aus einem Standardgrundschutz (standard security baseline; siehe auch: Bundesamt für Sicherheit in der Informationstechnik BSI), die dann durch individuelle Sicherheitsanforderungen erweitert werden. Auf diese Weise können diesbezügliche Sicherheitsanforderungen (security requirements) für die einzelnen Vertragsanforderungen (Service Level Agreements; SLAs) mit dem Provider festgeschrieben werden. Die Äußere Sicherheit wird durch die Sicherheitsanforderung an die verschiedenen SLAs ebenso beeinflusst, wie von zusätzlich gesetzlich vorgeschrieben Verpflichtungen Reporting Inwieweit definierte Sicherheitsanforderungen eingehalten werden konnten, oder nicht, wird in eigenen Berichten (reports) festgehalten, die dem Kunden, dem eigenen Management und den anderen Prozessen bereitgestellt werden Behandlung von Sicherheitszwischenfällen (security incident) Wie eingangs erwähnt zählt neben der Definition, Etablierung und Überwachung von IT Security auch die geplante Reaktion auf Sicherheitsvorfälle (security incident) mit dem Ziel diese künftig abzuwenden zu den Aufgaben des IT Security Manegment Prozesses. Die Voraussetzung dazu ist, dass im Rahmen der inneren und äußeren Sicherheit (im Standardgrundschutz bzw. den SLAs) genaue Anweisungen über die Einstufung von Vorfällen als sicherheitsrelevant hinterlegt und entsprechende Reaktionen und Eskalationswege vorgesehen sind. Diese schließen Informationsanweisungen an bestimmte Personen(-gruppen) ebenso ein, wie das Auslösen definierter Gegenmaßnahmen (Security Incident Control). Mögliche und tatsächliche Security Incidents laufen grundsätzlich beim Service Desk auf. In Ausnahmefällen sollten jedoch Security Manager direkt informiert werden, oder eine anonymisierte Anzeige von Zwischenfällen möglich sein (Security Incident Registration). Informationen und Reportings über Sicherheitsvorfälle sollten, wie auch jeder Sicherheitsvorfall selbst, vertraulich behandelt werden. Simone Günther, CN 8 11

12 2. Sicherheitsmanagement mit dem BSI-Grundschutz 2.1 Allgemeines zum BSI Ziel des IT-Grundschutzes Ziel des IT-Grundschutzes ist es, durch geeignete Anwendung von Standard- Sicherheitsmaßnahmen für die eingesetzten IT-Systeme ein Sicherheitsniveau zu erreichen, das für normalen Schutzbedarf angemessen ist. Darüber hinaus ist dieser Grundschutz auch eine Basis für weitere Sicherheitsmaßnahmen bei hochschutzbedürftigen IT-Anwendungen IT-Grundschutzkatalog Die IT-Grundschutz-Vorgehensweise unterstützt alle Arbeiten am IT-Sicherheitskonzept. In den IT-Grundschutz-Katalogen findet man mögliche Gefährdungen und Standard-Sicherheitsmaßnahmen für typische und weit verbreitete IT-Systeme, Netze und Anwendungen. I) Bausteine Die Bausteine der IT-Grundschutz-Kataloge enthalten jeweils eine Kurzbeschreibung für die betrachteten Komponenten, Vorgehensweisen und IT-Systeme sowie einen Überblick über die Gefährdungslage und die Maßnahmenempfehlungen. Die Bausteine sind nach dem IT-Grundschutz-Schichtenmodell in die folgenden Kataloge gruppiert: B 1: Übergeordnete Aspekte der IT-Sicherheit B 2: Sicherheit der Infrastruktur B 3: Sicherheit der IT-Systeme B 4: Sicherheit im Netz B 5: Sicherheit in Anwendungen Simone Günther, CN 8 12

13 Die Themen einer Schicht können organisatorische und technische Aspekte, also auch Zuständigkeiten und systemtypische Eigenschaften umfassen. Diesen Schichten sind typische IT-Komponenten, die so genannten IT-Grundschutz-Bausteine wie Datensicherungskonzept, Serverraum, Allgemeiner Server, Heterogene Netze oder zugeordnet. II) Gefährdungskataloge In den Gefährdungskatalogen sind mögliche Schadenszenarien für die Informationstechnik dargestellt. Die Gefährdungen sind in fünf Kataloge gruppiert: G 1: Höhere Gewalt G 2: Organisatorische Mängel G 3: Menschliche Fehlhandlungen G 4: Technisches Versagen G 5: Vorsätzliche Handlungen III) Maßnahmenkataloge In den Maßnahmenkatalogen sind die Empfehlungen für technische und organisatorische Sicherheitsmaßnahmen in die folgenden Bereiche gegliedert M 1: Infrastruktur Beispiele: Schutz vor Einbrechern, Brandschutzmaßnahmen, Energieversorgung M 2: Organisation Beispiele: Zuständigkeiten, Dokumentationen, Arbeitsanweisungen M 3: Personal Beispiele: Vertretungsregelungen, Schulung, Maßnahmen beim Ausscheiden von Mitarbeitern M 4: Hard- und Software Beispiele: Passwortgebrauch, Protokollierung, Vergabe von Berechtigungen M 5: Kommunikation Beispiele: Konfiguration, Datenübertragung, , SSL, Firewall M 6: Notfallvorsorge Beispiele: Notfallpläne, Datensicherung, Vorsorgemaßnahmen (z. B. redundante Systemauslegung) Die zentrale Rolle der IT-Grundschutz-Kataloge spielen die Bausteine, deren Aufbau im Prinzip gleich ist. Jeder Baustein beginnt mit einer kurzen Beschreibung der betrachteten Komponente, der Vorgehensweise bzw. des IT-Systems. Im Anschluss daran wird die Gefährdungslage dargestellt. Simone Günther, CN 8 13

14 Den wesentlichen Teil eines jeden Bausteins bilden die Maßnahmenempfehlungen, die sich an die Gefährdungslage anschließen. Zunächst erfolgen kurze Hinweise zum jeweiligen Maßnahmenbündel. So enthalten diese Ausführungen z. B. Hinweise zur folgerichtigen Reihenfolge bei der Realisierung der notwendigen Maßnahmen. In jedem Baustein wird für das betrachtete Themengebiet vor der Maßnahmen-Liste eine Übersicht in Form eines "Lebenszyklus" gegeben, welche Maßnahmen in welcher Phase der Bearbeitung zu welchem Zweck umgesetzt werden sollten. In der Regel können die folgenden Phasen identifiziert werden, wobei für jede dieser Phasen typische Arbeiten angegeben sind, die im Rahmen einzelner Maßnahmen durchgeführt werden. Phasenübergreifend wirken dabei das IT-Sicherheitsmanagement und die Revision, die den gesamten Lebenszyklus begleiten und kontrollieren. Da alle Geschäftsprozesse, IT-Systeme und Einsatzbedingungen sich ständig ändern und weiterentwickelt werden, müssen die Phasen erfahrungsgemäß immer wieder durchlaufen werden. Dies sicherzustellen ist Aufgabe des IT-Sicherheitsmanagements. Simone Günther, CN 8 14

15 2.1.3 BSI-Standards BSI-Standards enthalten Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit. Das BSI greift dabei Themenbereiche auf, die von grundsätzlicher Bedeutung für die Informationssicherheit in Behörden oder Unternehmen sind und für die sich national oder international sinnvolle und zweckmäßige Herangehensweisen etabliert haben. I) BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Der vorliegende BSI-Standard definiert allgemeine Anforderungen an ein ISMS. Er ist vollständig kompatibel zum ISO-Standard und berücksichtigt weiterhin die Empfehlungen der ISO-Standards und II) BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise In diesem Standard ist die Vorgehensweise gemäß IT-Grundschutz als bewährte Methodik beschrieben. Sie bietet einen effizienten Weg, die allgemeinen Anforderungen des ISO- Standards zu konkretisieren und umzusetzen. Simone Günther, CN 8 15

16 III) BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Die IT-Grundschutz-Kataloge des BSI enthalten Standard-Sicherheitsmaßnahmen aus den Bereichen Organisation, Personal, Infrastruktur und Technik, die bei normalen Sicherheitsanforderungen in der Regel angemessen und ausreichend zur Absicherung von typischen IT-Landschaften sind. Viele Anwender, die bereits erfolgreich mit dem IT-Grundschutz-Ansatz arbeiten, stehen vor der Frage, wie sie mit Bereichen umgehen sollen, deren Sicherheitsanforderungen deutlich über das normale Maß hinausgehen. Wichtig ist dabei, dass die zugrundeliegende Methodik möglichst wenig zusätzlichen Aufwand mit sich bringt und möglichst viele Ergebnisse aus der IT-Grundschutz- Vorgehensweise wiederverwendet. Vor diesem Hintergrund hat das BSI einen Standard zur Risikoanalyse auf der Basis von IT-Grundschutz erarbeitet. Diese Vorgehensweise bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit den IT-Grundschutz-Maßnahmen arbeiten und möglichst nahtlos eine ergänzende Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten. Hierfür kann es verschiedene Gründe geben: Die Sicherheitsanforderungen des Unternehmens bzw. der Behörde gehen teilweise deutlich über das normale Maß hinaus (hoher oder sehr hoher Schutzbedarf). Die Institution betreibt wichtige Anwendungen oder Komponenten, die (noch) nicht in den IT-Grundschutz-Katalogen des BSI behandelt werden. Die Zielobjekte werden in Einsatzszenarien (Umgebung, Anwendung) betrieben, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind. Die Vorgehensweise richtet sich sowohl an Anwender der Informationstechnik (IT- Sicherheitsverantwortliche und -beauftragte) als auch an Berater und Experten. Häufig ist es allerdings empfehlenswert, bei der Durchführung von Risikoanalysen auf Expertensachverstand zurückzugreifen. Simone Günther, CN 8 16

17 2.1.4 IT-Grundschutz-Vorgehensweise Simone Günther, CN 8 17

18 2.2 IT-Sicherheitsmanagement Aufgaben und Aktivitäten, mit denen für eine Organisation ein angemessenes IT-Sicherheitsniveau erreicht und erhalten werden soll, gehören zum Management der Informations- und IT-Sicherheit. Zuständig sind dafür Verantwortliche für die IT- Sicherheit und für den IT-Betrieb sowie von diesen intern und extern Beauftragte. Sie tragen zum IT-Sicherheitsmanagement bei, indem sie IT-Sicherheit organisieren sowie IT-Sicherheitsmaßnahmen planen, umsetzen und ihre Wirksamkeit kontrollieren. Die Initiative zum IT-Sicherheitsmanagement muss von der Leitung (des Unternehmens bzw. der Behörde) ausgehen. Sie trägt die volle Verantwortung dafür, dass im Unternehmen gesetzliche Anforderungen und Geschäftsbedingungen eingehalten und interne Regelungen beachtet werden. Bei Verstößen kann sie haftbar gemacht werden Managementaufgaben laut BSI-Standard Initiierung eines IT-Sicherheitsprozesses mit Übernahme von Verantwortung durch die Leitungsebene, Konzeption und Planung des IT- Sicherheitsprozesses mit Rahmenbedingungen, übergeordneten Zielen und IT-Strategie in einer IT- Sicherheitsleitlinie, Aufbau einer IT-Sicherheitsorganisation mit Bereitstellung von Ressourcen für die IT-Sicherheit, Erstellung einer IT-Sicherheitskonzeption inklusive Abwägen von Kosten und Nutzen, Umsetzung der IT-Sicherheitskonzeption durch Realisierung der IT- Sicherheitsmaßnahmen, Einbindung aller Mitarbeiter und Integration der erforderlichen Ressourcen in den IT-Sicherheitsprozess und seine Steuerung und Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung. Simone Günther, CN 8 18

19 2.2.2 Wichtigen Maßnahmen zur Steuerung eines systematischen IT- Sicherheitsprozesses der Aufbau einer angemessenen Organisationsstruktur für IT-Sicherheit, die Formulierung der grundsätzlichen Vorgaben in einer IT-Sicherheitsleitlinie sowie die Entwicklung von dazu passenden IT-Sicherheitskonzepten IT-Sicherheitsstrategie Die Gewährleistung von IT-Sicherheit ist eine strategische Aufgabe des Managements, welche die Festlegung von Zielen, den Aufbau und die Entwicklung angemessener Organisationsstrukturen und Prozesse sowie die Auswahl konkreter Maßnahmen umfasst. Die getroffenen Entscheidungen müssen kontinuierlich überprüft und bei Bedarf an geänderte Bedingungen angepasst werden, wenn ein bestimmtes IT-Sicherheitsniveau gehalten werden soll. Veränderungen der inneren Strukturen einer Institution (Geschäftsprozesse, Fachaufgaben, organisatorische Gliederung) sind ebenso zu berücksichtigen wie solche in den äußeren Rahmenbedingungen (Gesetze, Verordnungen, Verträge), neuartige Bedrohungsszenarien ebenso wie Weiterentwicklungen der Sicherheitstechnik Managementmängel und Maßnahmen Beispiele für Gefährdungen fehlende persönliche Verantwortung, mangelnde Unterstützung durch die Leitungsebene, unzureichende strategische und konzeptionelle Vorgaben, unzureichende und fehlgeleitete Investitionen, unzureichende Durchsetzbarkeit von Maßnahmenkonzepten und fehlende Aktualisierung im IT-Sicherheitsprozess Solche organisatorische Mängel können vermieden werden, wenn das Management folgende Aufgaben und Pflichten erfüllt und in der Praxis bewährte Maßnahmen umsetzt: Die Leitung des Unternehmens bzw. der Behörde ist sich ihrer Gesamtverantwortung und Vorbildfunktion für die IT-Sicherheit bewusst, vertritt die Sicherheitsziele entschieden und beispielhaft, initiiert, steuert und kontrolliert einen kontinuierlichen Sicherheitsprozess und unterstützt alle delegierten Arbeiten für IT-Sicherheit. Im Unternehmen ist eine eigene Kompetenz für IT-Sicherheit aufzubauen und die Hauptverantwortung für IT-Sicherheitsfragen an eine Person zu delegieren, die auch für eine geeignete Organisationsstruktur für IT-Sicherheit und deren Aufrechterhaltung sorgt. Simone Günther, CN 8 19

20 Zum Unternehmen passende IT-Sicherheitsziele und -strategie sind in einer IT- Sicherheitsleitlinie festzuschreiben. Zur Umsetzung und Integration der angestrebten IT-Sicherheit sind die erforderlichen organisatorischen Strukturen aufzubauen, ein IT-Sicherheitskonzept zu erstellen, die Mitarbeiter einzubeziehen und die Ressourcen für IT-Sicherheit wirtschaftlich einzusetzen. Zur Aufrechterhaltung der IT-Sicherheit tragen zielgruppengerechte IT-Sicherheitsrichtlinien ebenso bei wie eine umfassende Dokumentation des IT-Sicherheitsprozesses sowie regelmäßige Statusberichte Rollen und Zuständigkeiten I) IT-Sicherheitsbeauftragte Zu den Aufgaben von IT-Sicherheitsbeauftragten gehört es, den IT-Sicherheitsprozess zu steuern und zu koordinieren, die Leitung bei der Erstellung der IT-Sicherheitsleitlinie zu unterstützen, die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur IT-Sicherheit zu erlassen, den Realisierungsplan für IT-Sicherheitsmaßnahmen zu erstellen und ihre Umsetzung zu initiieren und zu überprüfen, dem IT-Sicherheitsmanagement-Team und der Leitungsebene über den Status der IT-Sicherheit zu berichten, sicherheitsrelevante Projekte zu koordinieren, sicherheitsrelevante Vorfälle zu untersuchen und Sensibilisierungs- und Schulungsmaßnahmen zur IT-Sicherheit zu initiieren und zu koordinieren. II) IT-Sicherheitsmanagement-Team In größeren Organisationen wird ein solches Team aus mehreren Zuständigen für IT- Sicherheit gebildet, um den IT-Sicherheitsbeauftragten zu unterstützen. Zuständig ist es für die Regelung sämtlicher übergreifenden Belange der IT-Sicherheit. Es koordiniert, berät und kontrolliert die zugehörigen Analysen, Pläne und Konzepte, Richtlinien, Vorgaben und Kontrollregelungen. Simone Günther, CN 8 20

21 Die Aufgaben des IT-Sicherheitsmanagement-Teams sind es, die IT-Sicherheitsziele und -strategien zu bestimmen sowie die IT- Sicherheitsleitlinie zu entwickeln, die Umsetzung der IT-Sicherheitsleitlinie zu überprüfen, den IT-Sicherheitsprozess zu initiieren, zu steuern und zu kontrollieren, bei der Erstellung des IT-Sicherheitskonzepts mitzuwirken, zu überprüfen, ob die im IT-Sicherheitskonzept geplanten IT- Sicherheitsmaßnahmen wie beabsichtigt funktionieren sowie geeignet und wirksam sind, Schulungs- und Sensibilisierungsprogramme für IT-Sicherheit zu konzipieren sowie den IT-Koordinierungsausschuss und die Leitung(sebene) in IT-Sicherheitsfragen zu beraten IT-Sicherheitsleitlinie Für ein zentral organisiertes und unternehmensweit gesteuertes IT-Sicherheitsmanagement ist eine IT-Sicherheitsleitlinie die wichtigste Positionierung der Unternehmensleitung zum Stellenwert der IT-Sicherheit, zum anzustrebenden Sicherheitsniveau und zu den verbindlichen Prinzipien der IT-Sicherheit. Deshalb muss die Entwicklung einer Leitlinie von der Geschäftsführung angestoßen und bis zum Ergebnis aktiv unterstützt werden. Möglichst viele Bereiche der Organisation sollten während der Erstellung einbezogen werden, damit die Mitarbeiter später die Vorgaben mittragen. Die IT-Sicherheitsleitlinie soll für alle Mitarbeiter die IT-Sicherheitsziele, die Strategie, die Organisation und die Mittel, mit denen die Ziele verwirklicht werden sollen, verständlich beschreiben. Es geht darum, Antworten auf folgende Fragen zu formulieren: Welche Geschäftsvorgänge, Arbeitsvorgänge können ohne funktionierende IT nicht oder nur mit großem Aufwand anders bearbeitet werden? Für welche Geschäftsvorgänge und Unternehmensdaten ist die Einhaltung der IT- Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit wichtig? Welche Informationen, die mittels IT bearbeitet werden, haben korrekt und aktuell zu sein und müssen deshalb besonders geschützt werden? Welche Bedeutung und Folgen könnten von innen oder außen verursachte Sicherheitsvorfälle haben? Was könnten Angriffe auf die IT oder fehlerhafter Umgang mit IT-Systemen und Anwendungen auslösen? Simone Günther, CN 8 21

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Einleitung und Motivation 2. Vorgehensweisen

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 6. Übung im SoSe 2013: Konzepte zur IT-Sicherheit Aufgabe: 6.1 Aufgaben des IT-Sicherheitsbeauftragten Ein Unternehmen möchte einen IT-Sicherheitsbeauftragten einsetzen.

Mehr

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI Vorwort Sarbanes-Oxley-Act, Basel II oder KonTraG immer mehr gesetzliche Rahmenbedingungen haben einen deutlichen Bezug zur IT-Sicherheit. Sie erhöhen den Druck auf die Verantwortlichen, die Sicherheit

Mehr

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL

Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Prozessorientiertes IT- Sicherheitsmanagement auf der Basis von ITIL Frank Reiländer, Berater IT-Sicherheit/Datenschutz IT Security & Risk Management, INFODAS GmbH f.reilaender@infodas.de www.save-infodas.de

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Compliance und IT-Sicherheit

Compliance und IT-Sicherheit Compliance und IT-Sicherheit Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Agenda Das BSI Compliance-Anforderungen und IT-Sicherheit Risikomanagement

Mehr

IT-Sicherheit für die Energie- und Wasserwirtschaft

IT-Sicherheit für die Energie- und Wasserwirtschaft IT-Sicherheit für die Energie- und Wasserwirtschaft Als Prozess für Ihr ganzes Unternehmen. Zu Ihrer Sicherheit. www.schleupen.de Schleupen AG 2 Deshalb sollte sich Ihr Unternehmen mit IT-Sicherheit beschäftigen

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Amtliche Mitteilungen

Amtliche Mitteilungen Amtliche Mitteilungen Datum 26. Juli 2011 Nr. 25/2011 I n h a l t : Leitlinien zur Informationssicherheit der Universität Siegen Vom 26. Juli 2011 Herausgeber: Rektorat der Universität Siegen Redaktion:

Mehr

E i n f ü h r u n g u n d Ü b e r s i c h t

E i n f ü h r u n g u n d Ü b e r s i c h t E i n f ü h r u n g u n d Ü b e r s i c h t Informationssicherheit in Gemeinden mit einer Bevölkerungszahl < 4 000 und in privaten Organisationen mit einem Leistungsauftrag wie Alters- und Pflegeheime

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Zentrum für Informationssicherheit

Zentrum für Informationssicherheit SEMINARE 2015 Zentrum für Informationssicherheit Informationssicherheitsmanagement BSI- Grundschutz in der Praxis Informationssicherheit nach BSI-Grundschutz und ISO 27001 im Praxisvergleich Cyber Akademie

Mehr

A) Initialisierungsphase

A) Initialisierungsphase Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und

Mehr

IT Service Management

IT Service Management IT Service IT Service : Seminarvortrag von Annegret Schnell im Rahmen der Lehrveranstaltung Netzmanagement SS 2003, Prof. Dr. Leischner, FH-Bonn-Rhein-Sieg Annegret Schnell Seminar Netzmanagement 1 Vortrag

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

IT Sicherheitsleitlinie der DATAGROUP

IT Sicherheitsleitlinie der DATAGROUP IT Sicherheitsleitlinie der DATAGROUP Dezember 2011 Dr. Tobias Hüttner Version 2.0 Seite 1 von 5 Änderungshistorie IT Sicherheitsleitlinie der DATAGROUP In der nachfolgenden Tabelle werden alle Änderungen

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 11. Kommunales IuK-Forum

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

(IT-SICHERHEITSGRUNDSÄTZE)

(IT-SICHERHEITSGRUNDSÄTZE) Senatsverwaltung für Inneres und Sport 1 GRUNDSÄTZE ZUR GEWÄHRLEISTUNG DER NOTWENDIGEN SICHERHEIT BEIM IT-EINSATZ IN DER BERLINER VERWALTUNG (IT-SICHERHEITSGRUNDSÄTZE) (beschlossen vom Senat am 11.12.07)

Mehr

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz

3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz 3612 Seiten IT-Sicherheit - ISO 27001 auf der Basis von IT-Grundschutz Institut für Informatik und Automation Dipl.-Inf. Günther Diederich Institut für Informatik und Automation In-Institut der Hochschule

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster Informationssicherheit im mittelstand... > Bavarian IT Security & Safety Cluster > ein PROdUKt des BayeRisCHen it-sicherheits- ClUsteRs e.v. der Bayerische it-sicherheitscluster e.v. Der Bayerische It-sicherheitscluster

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet

Xpert.press ITIL. Das IT-Servicemanagement Framework. von Peter Köhler. überarbeitet Xpert.press ITIL Das IT-Servicemanagement Framework von Peter Köhler überarbeitet ITIL Köhler schnell und portofrei erhältlich bei beck-shop.de DIE FACHBUCHHANDLUNG Thematische Gliederung: SAP Springer

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009 Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT

E-SEC ONLINE RISK ANALYSIS & MANAGEMENT 1 E-SEC ONLINE RISK ANALYSIS & MANAGEMENT Überprüfung der Personellen Informationssicherheit Ihres Unternehmens aussagekräftig, schnell und effektiv Änderungen vorbehalten, Stand: Jänner 2007 E-SEC INFORMATION

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

Inhaltsverzeichnis. Inhaltsverzeichnis

Inhaltsverzeichnis. Inhaltsverzeichnis 1 Qualitätssichernde Prozesse 1 1.1 Was war die alte ISO 9000:1994?... 3 1.2 ISO 9000:2000... 4 1.3 ITIL und ISO 9000: 2000... 10 1.4 Six Sigma (6)... 12 1.4.1 Fachbegriffe unter Six Sigma... 17 1.4.2

Mehr

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit

Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit Neue gesetzliche Anforderungen an Stadtwerke: Mindestanforderungen für die IT-Sicherheit smartoptimo GmbH & Co. KG Luisenstraße 20 49074 Osnabrück Telefon 0541.600680-0 Telefax 0541.60680-12 info@smartoptimo.de

Mehr

3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in)

3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in) 3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in) 3.5.1 Kurzbeschreibung IT Security Coordinators konzipieren angemessene IT Sicherheitslösungen entsprechend geltender technischer Standards, Gesetze

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

Thüringer Informationssicherheitsleitlinie für die Landesverwaltung

Thüringer Informationssicherheitsleitlinie für die Landesverwaltung Thüringer Informationssicherheitsleitlinie für die Landesverwaltung Vermerk Vertraulichkeit: Offen Inhalt: Einleitung und Geltungsbereich...3 1. Ziele der Informationssicherheit...4 2. Grundsätze der Informationssicherheit...4

Mehr

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV )

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV ) TÜV NORD Akademie Personenzertifizierung Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV ) Merkblatt Chief Information Security Officer (TÜV ) Personenzertifizierung Große

Mehr

IT Service Management

IT Service Management IT Service Management Die IT Infrastructure Library (ITIL) Frank Klapper, CIO-IT IT,, Universität t Bielefeld München, 08.03.2006 IT Service Management: Notwendigkeit und Definition Informationen haben

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler

IT Security auf Basis von SLA s am Airport Nürnberg. Jörg Ziegler IT Security auf Basis von SLA s am Airport Nürnberg Jörg Ziegler Agenda - Sicherheit am Airport Nürnberg - IT-Security Policy - Rolle des IT Security Managers - Gliederung für IT-Sicherheitskonzept - Maßnahmen

Mehr

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen

IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen IT-Bedrohungslage und IT-Sicherheit im mittelständischen Unternehmen Marc Schober Bundesamt für Sicherheit in der Informationstechnik Referat 112 Kritische Infrastrukturen und IT-Sicherheitsrevision Bundesamt

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik

Notfallmanagement. Einführung & Überblick. Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik Notfallmanagement Einführung & Überblick Dr. Patrick Grete Bundesamt für Sicherheit in der Informationstechnik IT-Grundschutz-Tag Bremen / 13.06.2012 Sind Ihre Informationen sicher? Beispiel wichtiger

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

Applied Security GmbH ITIL und IT-Sicherheit

Applied Security GmbH ITIL und IT-Sicherheit Applied Security GmbH ITIL und IT-Sicherheit Agenda Begrüßung Vorstellung - Applied Security GmbH ITIL Zielsetzung, Grundbegriffe, struktureller Aufbau Das Prozessmodell auf drei Ebenen IT-Sicherheit mit

Mehr

IT-Sicherheit mit System

IT-Sicherheit mit System IT-Sicherheit mit System Stefanie Lang, Senior IT Consultant Fujitsu Technology Solutions GmbH 0 Copyright 2014 FUJITSU Inhalt Kurzvorstellung Fujitsu Grundlagen Informationssicherheit Bedrohungen, Versäumnisse,

Mehr

Modul 2: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung)

Modul 2: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung) Modul 2: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung) M. Leischner Netzmanagement Folie 1 Was haben wir letzte Stunde gelernt? - Wiederholung Erklären Sie folgende Begriffe: Grundidee Netz als Fabrik

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke

Veranstaltung Cybercrime 27.08.2015. Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Veranstaltung Cybercrime 27.08.2015 Hinterher ist man immer schlauer wie Sie späte Einsicht vermeiden. Prof. Dr. Thomas Jäschke Vorstellung DATATREE AG Beratung von Unternehmen und öffentlichen Stellen

Mehr

Staatlich geprüfte IT-Sicherheit

Staatlich geprüfte IT-Sicherheit Bild: Lampertz GmbH & Co.KG Staatlich geprüfte IT-Sicherheit Dr.-Ing. Christian Scharff Lizenziert vom Bundesamt für Sicherheit in der Informationstechnik (BSI) Accuris Consulting / EGT InformationsSysteme

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Studie zu ISO-Normungsaktivitäten ISO/BPM. Anforderungen an Information Security Management Systeme

Studie zu ISO-Normungsaktivitäten ISO/BPM. Anforderungen an Information Security Management Systeme Studie zu ISO-Normungsaktivitäten ISO/BPM Anforderungen an Information Security Management Systeme Für die Mitarbeit an der Studie dankt das Bundesamt für Sicherheit in der Informationstechnik Dr. Alfred

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Modul 1: Grundbegriffe und Einführung in ITIL

Modul 1: Grundbegriffe und Einführung in ITIL Modul 1: Grundbegriffe und Einführung in ITIL 1. Was ist ein Service? 2. Was ist ein Asset? 3. Was ist Servicemanagement? 4. Was ist eine Rolle? 5. Was ist ein Service Provider? 6. Was ist ein Prozess?

Mehr

IT-Sicherheitsmanagement nach ISO 17799 und nach BSI- Grundschutzhandbuch Eine vergleichende Betrachtung

IT-Sicherheitsmanagement nach ISO 17799 und nach BSI- Grundschutzhandbuch Eine vergleichende Betrachtung IT-Sicherheitsmanagement nach ISO 17799 und nach BSI- Grundschutzhandbuch Eine vergleichende Betrachtung Prof. Dr. Universität Regensburg http://www-sec.uni-regensburg.de 1 Kriterienlandschaft Sicherheitsmanagement

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr