Sicherheitsmanagement mit ITIL und BSI-Grundschutz

Größe: px
Ab Seite anzeigen:

Download "Sicherheitsmanagement mit ITIL und BSI-Grundschutz"

Transkript

1 Sicherheitsmanagement mit ITIL und BSI-Grundschutz Hochschule Furtwangen University Veranstaltung Professor Studiengang : Aktuelle Themen der Informatik : Dr. F. Kaspar : Computer Networking Zeitraum : WS 2006/07 Referentin : Simone Günther

2 Inhalt Einführung Sicherheitsmanagement mit ITIL ITIL Allgemein Was ist ITIL? Weshalb wurde ITIL entwickelt? Für wen wurde ITIL entwickelt? Der Nutzen vom Einsatz von ITIL Weshalb ITIL einsetzen? Die wesentlichen Hauptgebiete Security Management Gründe für IT-Security Ziele des IT-Security Managements Das Etablieren des IT-Security Management Prozesses Der Umfang des IT-Security Management Prozesses Reporting Behandlung von security insidents Sicherheitsmanagement mit dem BSI-Grundschutz Allgemeines zum BSI Ziel des IT-Grundschutzes IT-Grundschutzkatalog BSI-Standards IT-Grundschutz-Vorgehensweise IT-Sicherheitsmanagement Managementaufgaben laut BSI-Standard Wichtige Maßnahmen zur Steuerung eines systematischen IT-Sicherheitsprozesses IT-Sicherheitsstrategie Managementmängel und Maßnahmen Rollen und Zuständigkeiten IT-Sicherheitsleitlinie IT-Sicherheitskonzept Simone Günther, CN 8 2

3 Einführung Warum IT-Security? Falsche oder nicht ausreichende IT Security ist nicht nur ein existenzbedrohendes Wettbewerbsrisiko, sondern kann unter Umständen auch finanzielle wie strafrechtliche Haftungsrisiken nach sich ziehen - bis hin zur persönlichen Haftung von Vorstand oder Geschäftsführung. Insbesondere deshalb kommt es für Unternehmen und Organisationen entscheidend darauf an, geeignete und angemessene Präventivmaßnahmen zu ergreifen, um die Verfügbarkeit, Vertraulichkeit und Integrität von Daten in einem sinnvoll definierten Umfang gewährleisten zu können. Ein heute als sicher geltendes System kann schon morgen gravierende Sicherheitslücken aufweisen. Die Praxis zeigt: IT- Systeme werden ständig komplexer. Damit steigt die Wahrscheinlichkeit, die Systeme nicht mehr bis ins Detail zu beherrschen. Immer mehr Komponenten innerhalb von IT-Infrastrukturen sind nicht ausreichend sicher konfiguriert. Das Wissen und die Möglichkeiten potentieller Angreifer wachsen stetig. Immer neue Schwachstellen werden bekannt. Attacken erfolgen in der Regel umgehend. Simone Günther, CN 8 3

4 1. Sicherheitsmanagement mit ITIL 1.1 ITIL Allgemein 1.1.1Was ist ITIL? ITIL ist die Abkürzung für den durch die CCTA in Norwich (England) im Auftrage der britischen Regierung entwickelte Leitfaden IT Infrastructure Library. Für ihre Anwender bedeutet ITIL jedoch viel mehr als nur diese Bücher. Hinter ITIL verbergen sich heute eine Vielfalt von Produkten und Dienstleistungen aus den Bereichen Training Berufsqualifikation Beratung Software-Tools und Erfahrungsaustausch die in zahlreichen Ländern auf der ganzen Welt zur Weiterentwicklung und Unterstützung von IT Serviceorganisationen verwendet werden Weshalb wurde ITIL entwickelt? Die Feststellung, dass Unternehmen und die öffentliche Verwaltung heute in hohem Maß von der Verfügbarkeit von Informationssystemen abhängig sind, hat Ende der Achtziger Jahre zur Konzeption und Entwicklung von ITIL geführt. Initiator war die CCTA (Central Computer and Telecommunications Agency), eine IT Dienstleistungsorganisation der britischen Regierung. Die Anforderungen der untersuchten Unternehmen und Organisationen glichen sich, ungeachtet ob es sich um die öffentliche Hand oder die Privatwirtschaft handelte, ob groß oder klein, ob zentralisiert oder dezentralisiert. Kosten mussten reduziert und die Qualität der IT Dienstleistungen musste verbessert werden. Als das ITIL-Projekt begonnen wurde, gab es keine umfassende Grundlage für die wirtschaftliche und zweckmäßige Erbringung von IT Services. Heute sind die anerkannten Verfahrensweisen des IT Servicemanagement in ITIL dokumentiert. Zur Erarbeitung dieser "Best practice" sicherte sich die CCTA der Zusammenarbeit von Experten, Beratern und erfahrenen Berufsleuten. ITIL ist bis heute die einzige umfassende, nicht-proprietäre und öffentlich zugängliche Verfahrensbibliothek in diesem Bereich. Das macht sie zum einzigartigen und wertvollen Produkt für alle IT Professionals. Simone Günther, CN 8 4

5 1.1.3 Für wen wurde ITIL entwickelt? Die IT Infrastructure Library wurde in erster Linie für Leute geschrieben, die für die Planung, Überwachung und Steuerung von qualitativ hoch stehenden IT Services verantwortlich sind. Die Bücher beschreiben hauptsächlich was getan werden muss und weniger wie es getan werden soll. Die Bücher vermitteln jedoch insgesamt einen guten Überblick und ein gutes Verständnis der Zusammenhänge innerhalb einer IT Serviceorganisation. Die Anleitung ist für Organisationen jeder Größe, ob öffentliche Hand oder Privatwirtschaft, hilfreich und wird heute rund um den Erdball eingesetzt. ITIL beschreibt in erster Linie Prozesse und Rollen. Diese behalten ungeachtet der eingesetzten Technologie ihre Gültigkeit. Ob interne Dienstleister, externe Lieferanten, Manager, Mitarbeiter, Softwareentwickler, Wartungsverantwortliche oder Testspezialisten: sie alle müssen die Anforderungen des IT Service Management kennen, damit sie den von ihnen erwarteten Beitrag leisten können Der Nutzen vom Einsatz von ITIL ITIL beschreibt ein systematisches, professionelles Vorgehen für das Management von IT Dienstleistungen. Die Library stellt nachdrücklich die Bedeutung der wirtschaftlichen Erfüllung der Unternehmens-Anforderungen in den Mittelpunkt. Die Arbeit nach den in ITIL beschriebenen "Best Practice" bringt der Organisation: IT Dienstleistungen, die den Anforderungen entsprechen. Höhere Kundenzufriedenheit. Weniger Aufwand bei der Entwicklung von Prozessen, Prozeduren und Arbeitsanweisungen. Höhere Produktivität und der gezielte Einsatz von Wissen und Erfahrung. Grundlage für eine QM-Systematik im IT Servicemanagement. Bessere Kommunikation und Information zwischen den IT Mitarbeitern und ihren Kunden. Höhere Mitarbeiterzufriedenheit und niedrigere Personalfluktuation. Simone Günther, CN 8 5

6 1.1.5 Weshalb ITIL einsetzen? Organisationen können auf folgende drei miteinander eng verbundene Arten vom Einsatz eines ITIL-basierten Ansatzes profitieren: Durch den Einsatz von zweckmäßigen und wirtschaftlichen Vorgehen, können die Leistungserstellungskosten reduziert werden. Auf die wirklichen Bedürfnisse der Kunden zugeschnittene gute Dienstleistungen führen zu zufriedenen Kunden. Durch die Anerkennung ihres beruflichen Wissens, im Speziellen durch die Trainings- und Qualifikationsmaßnahmen, werden die Mitarbeiter im Bereich des IT Service Management professionalisiert. Die Folge davon ist, dass sich in diesem Bereich die Zufriedenheit und die Motivation der betroffenen Mitarbeiter erheblich steigern Die wesentlichen Hauptgebiete Die neue ITIL Library hat folgende wesentliche Bücher: I) The Business Perspective (strategische Ebene) The Business Perspective will eine gemeinsame Basis zwischen dem Kunden (Business) und der seinen Geschäftsprozessen hinterlegten IT Infrastruktur schaffen. Dem Kunden soll für diese Zusammenhänge auch ein Verständnis von verbesserten Verfahren auf Basis von IT Service Management nahe gebracht werden: Business Continuity Management Partnerships and Outsourcing Surviving Changes Radical Change Transformations Simone Günther, CN 8 6

7 II) Applications Management (taktische Ebene) Das Application Management stellt ein Planungsmodell zur Verfügung. Es soll neue und bestehende Applikationen in einer produktiven IT Umgebung besser (weniger Fehler, wartungsfreundlicher) und im Hinblick auf kostengünstige Umsetzungen für künftige Anforderungen berücksichtigen. Es beschreibt umfassend das Management für den gesamten Lebenszyklus (life cycle) einer Applikation (Software, Anwendung). Der Zyklus beinhaltet sowohl die Applikationsentwicklung (Application Development) als auch deren Nutzung (Service Management). Ziel ist, in den beiden Phasen immer den gesamten Zyklus zu berücksichtigen. Nur so können sicher betreibbare, stabile und veränderbare IT Services aus den Applikationen generiert werden. III) Security Management (taktische Ebene) Das Security Management ist ein eigener Teil eines Rahmenkonzepts für Informationssicherheit. Ziel muss die Gewährleistung der Sicherheit von Informationen sein: Fundamentals of information security ITIL and Security Management Security Management measures Guidelines for implementing Security Management IV) Service Delivery (taktische Ebene) Aufgabe der planerischen und steuernden Prozesse ist die Anforderungen zwischen den Kunden und dem IT Bereich bestmöglich zu treffen, zu planen und zu überwachen. Zielsetzung ist eine bessere Kundenorientierung zu erreichen. Die zur Erfüllung notwendigen Aufwendungen sind wirtschaftlich zu erbringen und verursachergerecht zu verrechnen. Service Delivery besteht aus folgenden Modulen: Service Level Management Availability Management IT Service Continuity Management Capacity Management Financial Management for IT Services Simone Günther, CN 8 7

8 V) Service Support (operative Ebene) Service Support sorgt für den effizienten und störungsfreien Betrieb von IT Dienstleistungen. Die wirkungsvolle Betreuung dieser IT Services wird durch folgende Prozesse sichergestellt: Incident Management and Service Desk Problem Management Configuration Management Change Management Release Management VI) Infrastructure Management (operative Ebene) ICT Infrastructure Management (ICTIM) hat die Management-Disziplinen in 4 Prozesse gegliedert: Design & Plan Deployment Operations Technical Support Sie beschreiben die Entwicklung und Wartung von IT Strategien und Prozessen für den Aufbau und die Einführung der benötigten IT Infrastruktur Lösungen für ein Unternehmen: Koordination aller Aspekte IT Design und Planung einheitliche IT Planungs-Anlaufstelle für alle Geschäfts- und Serviceplaner Unterstützung bei der Erstellung von Policies und Standards Folgende Infrastruktur-Komponenten werden betrachtet: Network Service Management Operations Management Management of Local Processors Computer Installation and Acceptance Systems Management Simone Günther, CN 8 8

9 1.2 Security Management Allein der potentielle Schaden, der einem Unternehmen aufgrund von Datenverlust oder -diebstahl entstehen kann, lässt eine einfache Formel zur Notwendigkeit von IT Security zu: IT Security kostet Geld, keine IT Security kostet auch Geld. Quelle: CSI/FBI 2002 Computer Crime & Security Survey, Computer Security Institute Gründe für IT Security Dabei ist IT Security in der Regel kein eigenes unternehmerisches Ziel, sondern eine Unterstützung für die eigentlichen Geschäftsprozesse. Dass diese, bzw. deren Darstellung in der IT Infrastruktur geschützt sein sollten - etwa mit regelmäßigen Backups, oder Verschlüsselungstechnologien -, liegt schon im Interesse des Unternehmens. Aber neben dieser inneren Motivation gibt es auch externe Gründe, IT Security im Unternehmen einzuführen: Gesetzliche Vorgaben & Haftungsgründe Kreditwürdigkeit Versicherungsschutz Minimierung der Kosten Gesichtsverlust Eine Reihe von gesetzlichen Bestimmungen (u.a. KonTraG, BGB, AktG, BmbhG und HGB) nehmen die Unternehmen in die Pflicht, sorgsames Security Management zu betreiben, beispielsweise um persönliche Mitarbeiterdaten vor Missbrauch zu schützen. Wie ernst es dem Gesetzgeber mit diesen Vorschriften ist, zeigt sich daran, dass sowohl Unternehmer als auch Angestellte bei diesbezüglichen Versäumnissen die persönliche Haftung droht. Simone Günther, CN 8 9

10 Neben betriebswirtschaftlichen und haftungsmotivierten Risiken werden auch immer öfters IT-spezifische Aspekte als Grundlage zur Bewertung der Kreditwürdigkeit herangezogen. Basel II (Neuer Basler Akkord zur Eigenkapitalsicherung von Krediten) sieht als wesentliche Veränderung die Einführung eines nach der Ausfallwahrscheinlichkeit differenziertem Systems der Eigenkapitalsicherung vor. IT Security leistet auch einen Beitrag zur günstigeren Einstufung bei Versicherungen, deren Prämien immer öfters vor dem Hintergrund vorhandener IT Security Konzepte festgesetzt werden. Im Schadensfall kann eine mangelhafte IT Security auch als grob fahrlässig eingestuft werden und eigene Versicherungsansprüche gefährden Ziele des IT Security Managements Was sicher ist, was nicht und wie sicher "sicher" sein soll - das wird im IT Security Management Prozess definiert, etabliert und überwacht. Sollten Security Incidents das definierte Sicherheitsniveau gefährden, werden über den IT Security Management Prozess geplante Gegenmaßnahmen eingeleitet, um das System wirksam zu schützen Das Etablieren des IT Security Managements Prozesses IT Security Management ist Chefsache. Die Entscheidung ob, wie und zu welchen Kosten derartige Prozesse im Unternehmen eingeführt werden, setzen eine Abstimmung und Zustimmung mit bzw. durch die Geschäftsführung voraus. Die dazu ebenfalls notwendigen Managementrichtlinien zu Organisation und Verantwortlichkeiten, deren Umfang und Detaillierung, sowie weitere Rahmenbedingungen werden sodann in einer Sicherheitsstrategie (security policy) verbindlich festgeschrieben. Das notwendige Maß an IT Security wird anhand einer Risikoanalyse bestimmt, welche sowohl die Kundensicht (business perspective), als auch die technische Sicht (technical perspective) berücksichtigt. Aus ihr gehen schließlich der aktuelle Status und die Qualität der vorhandenen IT Security hervor. Alle Vorschläge für weitere Sicherheitsmaßnahmen werden dann aus der Risikoanalyse abgeleitet und das daraus resultierende Sicherheitsniveau in definierter Form im IT Security Plan festgeschrieben. IT Security Management Prozesse enden nicht an der Stelle der Implementierung bedarfsgerechter IT Security. Viel mehr folgt eine kontinuierliche Überwachung der Sicherheitsmaßnahmen, um deren Effektivität und Effizienz fortwährend zu bewerten und eine Grundlage für neuerliche Anpassungen und weitere Maßnahmen zu erhalten. Simone Günther, CN 8 10

11 1.2.4 Der Umfang des IT Security Management Prozesses Konkret müssen IT Security Management Prozesse den Anforderungen der inneren Sicherheit (internal security) und äußeren Sicherheit (external security) genügen. Das Fundament für die innere Sicherheit sind Sicherheitsansprüche aus einem Standardgrundschutz (standard security baseline; siehe auch: Bundesamt für Sicherheit in der Informationstechnik BSI), die dann durch individuelle Sicherheitsanforderungen erweitert werden. Auf diese Weise können diesbezügliche Sicherheitsanforderungen (security requirements) für die einzelnen Vertragsanforderungen (Service Level Agreements; SLAs) mit dem Provider festgeschrieben werden. Die Äußere Sicherheit wird durch die Sicherheitsanforderung an die verschiedenen SLAs ebenso beeinflusst, wie von zusätzlich gesetzlich vorgeschrieben Verpflichtungen Reporting Inwieweit definierte Sicherheitsanforderungen eingehalten werden konnten, oder nicht, wird in eigenen Berichten (reports) festgehalten, die dem Kunden, dem eigenen Management und den anderen Prozessen bereitgestellt werden Behandlung von Sicherheitszwischenfällen (security incident) Wie eingangs erwähnt zählt neben der Definition, Etablierung und Überwachung von IT Security auch die geplante Reaktion auf Sicherheitsvorfälle (security incident) mit dem Ziel diese künftig abzuwenden zu den Aufgaben des IT Security Manegment Prozesses. Die Voraussetzung dazu ist, dass im Rahmen der inneren und äußeren Sicherheit (im Standardgrundschutz bzw. den SLAs) genaue Anweisungen über die Einstufung von Vorfällen als sicherheitsrelevant hinterlegt und entsprechende Reaktionen und Eskalationswege vorgesehen sind. Diese schließen Informationsanweisungen an bestimmte Personen(-gruppen) ebenso ein, wie das Auslösen definierter Gegenmaßnahmen (Security Incident Control). Mögliche und tatsächliche Security Incidents laufen grundsätzlich beim Service Desk auf. In Ausnahmefällen sollten jedoch Security Manager direkt informiert werden, oder eine anonymisierte Anzeige von Zwischenfällen möglich sein (Security Incident Registration). Informationen und Reportings über Sicherheitsvorfälle sollten, wie auch jeder Sicherheitsvorfall selbst, vertraulich behandelt werden. Simone Günther, CN 8 11

12 2. Sicherheitsmanagement mit dem BSI-Grundschutz 2.1 Allgemeines zum BSI Ziel des IT-Grundschutzes Ziel des IT-Grundschutzes ist es, durch geeignete Anwendung von Standard- Sicherheitsmaßnahmen für die eingesetzten IT-Systeme ein Sicherheitsniveau zu erreichen, das für normalen Schutzbedarf angemessen ist. Darüber hinaus ist dieser Grundschutz auch eine Basis für weitere Sicherheitsmaßnahmen bei hochschutzbedürftigen IT-Anwendungen IT-Grundschutzkatalog Die IT-Grundschutz-Vorgehensweise unterstützt alle Arbeiten am IT-Sicherheitskonzept. In den IT-Grundschutz-Katalogen findet man mögliche Gefährdungen und Standard-Sicherheitsmaßnahmen für typische und weit verbreitete IT-Systeme, Netze und Anwendungen. I) Bausteine Die Bausteine der IT-Grundschutz-Kataloge enthalten jeweils eine Kurzbeschreibung für die betrachteten Komponenten, Vorgehensweisen und IT-Systeme sowie einen Überblick über die Gefährdungslage und die Maßnahmenempfehlungen. Die Bausteine sind nach dem IT-Grundschutz-Schichtenmodell in die folgenden Kataloge gruppiert: B 1: Übergeordnete Aspekte der IT-Sicherheit B 2: Sicherheit der Infrastruktur B 3: Sicherheit der IT-Systeme B 4: Sicherheit im Netz B 5: Sicherheit in Anwendungen Simone Günther, CN 8 12

13 Die Themen einer Schicht können organisatorische und technische Aspekte, also auch Zuständigkeiten und systemtypische Eigenschaften umfassen. Diesen Schichten sind typische IT-Komponenten, die so genannten IT-Grundschutz-Bausteine wie Datensicherungskonzept, Serverraum, Allgemeiner Server, Heterogene Netze oder zugeordnet. II) Gefährdungskataloge In den Gefährdungskatalogen sind mögliche Schadenszenarien für die Informationstechnik dargestellt. Die Gefährdungen sind in fünf Kataloge gruppiert: G 1: Höhere Gewalt G 2: Organisatorische Mängel G 3: Menschliche Fehlhandlungen G 4: Technisches Versagen G 5: Vorsätzliche Handlungen III) Maßnahmenkataloge In den Maßnahmenkatalogen sind die Empfehlungen für technische und organisatorische Sicherheitsmaßnahmen in die folgenden Bereiche gegliedert M 1: Infrastruktur Beispiele: Schutz vor Einbrechern, Brandschutzmaßnahmen, Energieversorgung M 2: Organisation Beispiele: Zuständigkeiten, Dokumentationen, Arbeitsanweisungen M 3: Personal Beispiele: Vertretungsregelungen, Schulung, Maßnahmen beim Ausscheiden von Mitarbeitern M 4: Hard- und Software Beispiele: Passwortgebrauch, Protokollierung, Vergabe von Berechtigungen M 5: Kommunikation Beispiele: Konfiguration, Datenübertragung, , SSL, Firewall M 6: Notfallvorsorge Beispiele: Notfallpläne, Datensicherung, Vorsorgemaßnahmen (z. B. redundante Systemauslegung) Die zentrale Rolle der IT-Grundschutz-Kataloge spielen die Bausteine, deren Aufbau im Prinzip gleich ist. Jeder Baustein beginnt mit einer kurzen Beschreibung der betrachteten Komponente, der Vorgehensweise bzw. des IT-Systems. Im Anschluss daran wird die Gefährdungslage dargestellt. Simone Günther, CN 8 13

14 Den wesentlichen Teil eines jeden Bausteins bilden die Maßnahmenempfehlungen, die sich an die Gefährdungslage anschließen. Zunächst erfolgen kurze Hinweise zum jeweiligen Maßnahmenbündel. So enthalten diese Ausführungen z. B. Hinweise zur folgerichtigen Reihenfolge bei der Realisierung der notwendigen Maßnahmen. In jedem Baustein wird für das betrachtete Themengebiet vor der Maßnahmen-Liste eine Übersicht in Form eines "Lebenszyklus" gegeben, welche Maßnahmen in welcher Phase der Bearbeitung zu welchem Zweck umgesetzt werden sollten. In der Regel können die folgenden Phasen identifiziert werden, wobei für jede dieser Phasen typische Arbeiten angegeben sind, die im Rahmen einzelner Maßnahmen durchgeführt werden. Phasenübergreifend wirken dabei das IT-Sicherheitsmanagement und die Revision, die den gesamten Lebenszyklus begleiten und kontrollieren. Da alle Geschäftsprozesse, IT-Systeme und Einsatzbedingungen sich ständig ändern und weiterentwickelt werden, müssen die Phasen erfahrungsgemäß immer wieder durchlaufen werden. Dies sicherzustellen ist Aufgabe des IT-Sicherheitsmanagements. Simone Günther, CN 8 14

15 2.1.3 BSI-Standards BSI-Standards enthalten Empfehlungen des BSI zu Methoden, Prozessen und Verfahren sowie Vorgehensweisen und Maßnahmen mit Bezug zur Informationssicherheit. Das BSI greift dabei Themenbereiche auf, die von grundsätzlicher Bedeutung für die Informationssicherheit in Behörden oder Unternehmen sind und für die sich national oder international sinnvolle und zweckmäßige Herangehensweisen etabliert haben. I) BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) Der vorliegende BSI-Standard definiert allgemeine Anforderungen an ein ISMS. Er ist vollständig kompatibel zum ISO-Standard und berücksichtigt weiterhin die Empfehlungen der ISO-Standards und II) BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise In diesem Standard ist die Vorgehensweise gemäß IT-Grundschutz als bewährte Methodik beschrieben. Sie bietet einen effizienten Weg, die allgemeinen Anforderungen des ISO- Standards zu konkretisieren und umzusetzen. Simone Günther, CN 8 15

16 III) BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Die IT-Grundschutz-Kataloge des BSI enthalten Standard-Sicherheitsmaßnahmen aus den Bereichen Organisation, Personal, Infrastruktur und Technik, die bei normalen Sicherheitsanforderungen in der Regel angemessen und ausreichend zur Absicherung von typischen IT-Landschaften sind. Viele Anwender, die bereits erfolgreich mit dem IT-Grundschutz-Ansatz arbeiten, stehen vor der Frage, wie sie mit Bereichen umgehen sollen, deren Sicherheitsanforderungen deutlich über das normale Maß hinausgehen. Wichtig ist dabei, dass die zugrundeliegende Methodik möglichst wenig zusätzlichen Aufwand mit sich bringt und möglichst viele Ergebnisse aus der IT-Grundschutz- Vorgehensweise wiederverwendet. Vor diesem Hintergrund hat das BSI einen Standard zur Risikoanalyse auf der Basis von IT-Grundschutz erarbeitet. Diese Vorgehensweise bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit den IT-Grundschutz-Maßnahmen arbeiten und möglichst nahtlos eine ergänzende Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten. Hierfür kann es verschiedene Gründe geben: Die Sicherheitsanforderungen des Unternehmens bzw. der Behörde gehen teilweise deutlich über das normale Maß hinaus (hoher oder sehr hoher Schutzbedarf). Die Institution betreibt wichtige Anwendungen oder Komponenten, die (noch) nicht in den IT-Grundschutz-Katalogen des BSI behandelt werden. Die Zielobjekte werden in Einsatzszenarien (Umgebung, Anwendung) betrieben, die im Rahmen des IT-Grundschutzes nicht vorgesehen sind. Die Vorgehensweise richtet sich sowohl an Anwender der Informationstechnik (IT- Sicherheitsverantwortliche und -beauftragte) als auch an Berater und Experten. Häufig ist es allerdings empfehlenswert, bei der Durchführung von Risikoanalysen auf Expertensachverstand zurückzugreifen. Simone Günther, CN 8 16

17 2.1.4 IT-Grundschutz-Vorgehensweise Simone Günther, CN 8 17

18 2.2 IT-Sicherheitsmanagement Aufgaben und Aktivitäten, mit denen für eine Organisation ein angemessenes IT-Sicherheitsniveau erreicht und erhalten werden soll, gehören zum Management der Informations- und IT-Sicherheit. Zuständig sind dafür Verantwortliche für die IT- Sicherheit und für den IT-Betrieb sowie von diesen intern und extern Beauftragte. Sie tragen zum IT-Sicherheitsmanagement bei, indem sie IT-Sicherheit organisieren sowie IT-Sicherheitsmaßnahmen planen, umsetzen und ihre Wirksamkeit kontrollieren. Die Initiative zum IT-Sicherheitsmanagement muss von der Leitung (des Unternehmens bzw. der Behörde) ausgehen. Sie trägt die volle Verantwortung dafür, dass im Unternehmen gesetzliche Anforderungen und Geschäftsbedingungen eingehalten und interne Regelungen beachtet werden. Bei Verstößen kann sie haftbar gemacht werden Managementaufgaben laut BSI-Standard Initiierung eines IT-Sicherheitsprozesses mit Übernahme von Verantwortung durch die Leitungsebene, Konzeption und Planung des IT- Sicherheitsprozesses mit Rahmenbedingungen, übergeordneten Zielen und IT-Strategie in einer IT- Sicherheitsleitlinie, Aufbau einer IT-Sicherheitsorganisation mit Bereitstellung von Ressourcen für die IT-Sicherheit, Erstellung einer IT-Sicherheitskonzeption inklusive Abwägen von Kosten und Nutzen, Umsetzung der IT-Sicherheitskonzeption durch Realisierung der IT- Sicherheitsmaßnahmen, Einbindung aller Mitarbeiter und Integration der erforderlichen Ressourcen in den IT-Sicherheitsprozess und seine Steuerung und Aufrechterhaltung der IT-Sicherheit und kontinuierliche Verbesserung. Simone Günther, CN 8 18

19 2.2.2 Wichtigen Maßnahmen zur Steuerung eines systematischen IT- Sicherheitsprozesses der Aufbau einer angemessenen Organisationsstruktur für IT-Sicherheit, die Formulierung der grundsätzlichen Vorgaben in einer IT-Sicherheitsleitlinie sowie die Entwicklung von dazu passenden IT-Sicherheitskonzepten IT-Sicherheitsstrategie Die Gewährleistung von IT-Sicherheit ist eine strategische Aufgabe des Managements, welche die Festlegung von Zielen, den Aufbau und die Entwicklung angemessener Organisationsstrukturen und Prozesse sowie die Auswahl konkreter Maßnahmen umfasst. Die getroffenen Entscheidungen müssen kontinuierlich überprüft und bei Bedarf an geänderte Bedingungen angepasst werden, wenn ein bestimmtes IT-Sicherheitsniveau gehalten werden soll. Veränderungen der inneren Strukturen einer Institution (Geschäftsprozesse, Fachaufgaben, organisatorische Gliederung) sind ebenso zu berücksichtigen wie solche in den äußeren Rahmenbedingungen (Gesetze, Verordnungen, Verträge), neuartige Bedrohungsszenarien ebenso wie Weiterentwicklungen der Sicherheitstechnik Managementmängel und Maßnahmen Beispiele für Gefährdungen fehlende persönliche Verantwortung, mangelnde Unterstützung durch die Leitungsebene, unzureichende strategische und konzeptionelle Vorgaben, unzureichende und fehlgeleitete Investitionen, unzureichende Durchsetzbarkeit von Maßnahmenkonzepten und fehlende Aktualisierung im IT-Sicherheitsprozess Solche organisatorische Mängel können vermieden werden, wenn das Management folgende Aufgaben und Pflichten erfüllt und in der Praxis bewährte Maßnahmen umsetzt: Die Leitung des Unternehmens bzw. der Behörde ist sich ihrer Gesamtverantwortung und Vorbildfunktion für die IT-Sicherheit bewusst, vertritt die Sicherheitsziele entschieden und beispielhaft, initiiert, steuert und kontrolliert einen kontinuierlichen Sicherheitsprozess und unterstützt alle delegierten Arbeiten für IT-Sicherheit. Im Unternehmen ist eine eigene Kompetenz für IT-Sicherheit aufzubauen und die Hauptverantwortung für IT-Sicherheitsfragen an eine Person zu delegieren, die auch für eine geeignete Organisationsstruktur für IT-Sicherheit und deren Aufrechterhaltung sorgt. Simone Günther, CN 8 19

20 Zum Unternehmen passende IT-Sicherheitsziele und -strategie sind in einer IT- Sicherheitsleitlinie festzuschreiben. Zur Umsetzung und Integration der angestrebten IT-Sicherheit sind die erforderlichen organisatorischen Strukturen aufzubauen, ein IT-Sicherheitskonzept zu erstellen, die Mitarbeiter einzubeziehen und die Ressourcen für IT-Sicherheit wirtschaftlich einzusetzen. Zur Aufrechterhaltung der IT-Sicherheit tragen zielgruppengerechte IT-Sicherheitsrichtlinien ebenso bei wie eine umfassende Dokumentation des IT-Sicherheitsprozesses sowie regelmäßige Statusberichte Rollen und Zuständigkeiten I) IT-Sicherheitsbeauftragte Zu den Aufgaben von IT-Sicherheitsbeauftragten gehört es, den IT-Sicherheitsprozess zu steuern und zu koordinieren, die Leitung bei der Erstellung der IT-Sicherheitsleitlinie zu unterstützen, die Erstellung des IT-Sicherheitskonzepts, des Notfallvorsorgekonzepts und anderer Teilkonzepte und System-Sicherheitsrichtlinien zu koordinieren sowie weitere Richtlinien und Regelungen zur IT-Sicherheit zu erlassen, den Realisierungsplan für IT-Sicherheitsmaßnahmen zu erstellen und ihre Umsetzung zu initiieren und zu überprüfen, dem IT-Sicherheitsmanagement-Team und der Leitungsebene über den Status der IT-Sicherheit zu berichten, sicherheitsrelevante Projekte zu koordinieren, sicherheitsrelevante Vorfälle zu untersuchen und Sensibilisierungs- und Schulungsmaßnahmen zur IT-Sicherheit zu initiieren und zu koordinieren. II) IT-Sicherheitsmanagement-Team In größeren Organisationen wird ein solches Team aus mehreren Zuständigen für IT- Sicherheit gebildet, um den IT-Sicherheitsbeauftragten zu unterstützen. Zuständig ist es für die Regelung sämtlicher übergreifenden Belange der IT-Sicherheit. Es koordiniert, berät und kontrolliert die zugehörigen Analysen, Pläne und Konzepte, Richtlinien, Vorgaben und Kontrollregelungen. Simone Günther, CN 8 20

21 Die Aufgaben des IT-Sicherheitsmanagement-Teams sind es, die IT-Sicherheitsziele und -strategien zu bestimmen sowie die IT- Sicherheitsleitlinie zu entwickeln, die Umsetzung der IT-Sicherheitsleitlinie zu überprüfen, den IT-Sicherheitsprozess zu initiieren, zu steuern und zu kontrollieren, bei der Erstellung des IT-Sicherheitskonzepts mitzuwirken, zu überprüfen, ob die im IT-Sicherheitskonzept geplanten IT- Sicherheitsmaßnahmen wie beabsichtigt funktionieren sowie geeignet und wirksam sind, Schulungs- und Sensibilisierungsprogramme für IT-Sicherheit zu konzipieren sowie den IT-Koordinierungsausschuss und die Leitung(sebene) in IT-Sicherheitsfragen zu beraten IT-Sicherheitsleitlinie Für ein zentral organisiertes und unternehmensweit gesteuertes IT-Sicherheitsmanagement ist eine IT-Sicherheitsleitlinie die wichtigste Positionierung der Unternehmensleitung zum Stellenwert der IT-Sicherheit, zum anzustrebenden Sicherheitsniveau und zu den verbindlichen Prinzipien der IT-Sicherheit. Deshalb muss die Entwicklung einer Leitlinie von der Geschäftsführung angestoßen und bis zum Ergebnis aktiv unterstützt werden. Möglichst viele Bereiche der Organisation sollten während der Erstellung einbezogen werden, damit die Mitarbeiter später die Vorgaben mittragen. Die IT-Sicherheitsleitlinie soll für alle Mitarbeiter die IT-Sicherheitsziele, die Strategie, die Organisation und die Mittel, mit denen die Ziele verwirklicht werden sollen, verständlich beschreiben. Es geht darum, Antworten auf folgende Fragen zu formulieren: Welche Geschäftsvorgänge, Arbeitsvorgänge können ohne funktionierende IT nicht oder nur mit großem Aufwand anders bearbeitet werden? Für welche Geschäftsvorgänge und Unternehmensdaten ist die Einhaltung der IT- Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit wichtig? Welche Informationen, die mittels IT bearbeitet werden, haben korrekt und aktuell zu sein und müssen deshalb besonders geschützt werden? Welche Bedeutung und Folgen könnten von innen oder außen verursachte Sicherheitsvorfälle haben? Was könnten Angriffe auf die IT oder fehlerhafter Umgang mit IT-Systemen und Anwendungen auslösen? Simone Günther, CN 8 21

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am 14.08.08 Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements von Stephanie Wilke am 14.08.08 Überblick Einleitung Was ist ITIL? Gegenüberstellung der Prozesse Neuer

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

IT Service Management

IT Service Management IT Service IT Service : Seminarvortrag von Annegret Schnell im Rahmen der Lehrveranstaltung Netzmanagement SS 2003, Prof. Dr. Leischner, FH-Bonn-Rhein-Sieg Annegret Schnell Seminar Netzmanagement 1 Vortrag

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert

7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert ITIL Merkmale ITIL ist konsequent und durchgängig prozessorientiert ITIL berücksichtigt aber auch in allen Prozessen funktionale und organisatorische Strukturen sowie kosten- und benutzerorientierte Aspekte

Mehr

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Die Umsetzung von IT-Sicherheit in KMU

Die Umsetzung von IT-Sicherheit in KMU Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

Prozessoptimierung. und. Prozessmanagement

Prozessoptimierung. und. Prozessmanagement Prozessoptimierung und Prozessmanagement Prozessmanagement & Prozessoptimierung Die Prozesslandschaft eines Unternehmens orientiert sich genau wie die Aufbauorganisation an den vorhandenen Aufgaben. Mit

Mehr

.. für Ihre Business-Lösung

.. für Ihre Business-Lösung .. für Ihre Business-Lösung Ist Ihre Informatik fit für die Zukunft? Flexibilität Das wirtschaftliche Umfeld ist stärker den je im Umbruch (z.b. Stichwort: Globalisierung). Daraus resultierenden Anforderungen,

Mehr

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung Kooperationsgruppe Informationssicherheit des IT-PLR Leitlinie für die Informationssicherheit in der öffentlichen Verwaltung - Umsetzungsplan - Stand 19.02.2013 Version 1.6 (10. IT-Planungsrat Beschluss

Mehr

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)

Mehr

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz www.tekit.de Geprüfter TÜV Zertifikat für Geprüften TÜV-zertifizierter Der Schutz von personenbezogenen Daten ist in der EU durch eine richtlinie geregelt. In Deutschland ist dies im Bundesdatenschutzgesetz

Mehr

Geyer & Weinig: Service Level Management in neuer Qualität.

Geyer & Weinig: Service Level Management in neuer Qualität. Geyer & Weinig: Service Level Management in neuer Qualität. Verantwortung statt Versprechen: Qualität permanent neu erarbeiten. Geyer & Weinig ist der erfahrene Spezialist für Service Level Management.

Mehr

Warum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität

Warum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität Warum sich das Management nicht für agile Softwareentwicklung interessieren sollte - aber für Agilität Marcus Winteroll oose GmbH Agenda I. Ziele und Zusammenarbeit II. Was wir vom agilen Vorgehen lernen

Mehr

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter IT OUTSOURCING Wie die IT durch Transparenz zum internen Dienstleister wird Herford, 13.09.2012, Steffen Müter Vorurteile gegenüber IT Abteilungen...ihr seid zu langsam...es gibt immer Ausreden, wenn etwas

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

TÜV SÜD Informatik und Consulting Services GmbH Bereich Consulting Marcus Giese und Alfons Huber itsm@tuev-sued.de

TÜV SÜD Informatik und Consulting Services GmbH Bereich Consulting Marcus Giese und Alfons Huber itsm@tuev-sued.de Normen und Standards TÜV SÜD Informatik und Consulting Services GmbH Bereich Consulting Marcus Giese und Alfons Huber itsm@tuev-sued.de (...ITSM 3 Assessment, ITIL-, ISO 20000-Know How, Trainer für itsmf

Mehr

----------------------------------------------------------------------------------------------------------------------------------------

---------------------------------------------------------------------------------------------------------------------------------------- 0 Seite 0 von 20 03.02.2015 1 Ergebnisse der BSO Studie: Trends und Innovationen im Business Performance Management (BPM) bessere Steuerung des Geschäfts durch BPM. Bei dieser BSO Studie wurden 175 CEOs,

Mehr

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Wir organisieren Ihre Sicherheit

Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Unternehmen Die VICCON GmbH versteht sich seit 1999 als eigentümergeführtes und neutrales Unternehmen für Management- und Sicherheitsberatung.

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank Turning visions into business Oktober 2010 Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank David Croome Warum Assessments? Ein strategisches Ziel des IT-Bereichs der Großbank

Mehr

Dieter Brunner ISO 27001 in der betrieblichen Praxis

Dieter Brunner ISO 27001 in der betrieblichen Praxis Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,

Mehr

Vorlesung Hochschule Esslingen IT-Winter School 2013

Vorlesung Hochschule Esslingen IT-Winter School 2013 Service - ITIL V3 Leitfaden für Vorlesung für Vorlesung Vorlesung Hochschule Esslingen IT-Winter School 2013 Einführung in die IT Infrastructure Library (ITIL) Agenda 1 Was ist ITIL? 2 Wieso ITIL, mit

Mehr

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems Name: Bruno Handler Funktion: Marketing/Vertrieb Organisation: AXAVIA Software GmbH Liebe Leserinnen und liebe Leser,

Mehr

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD KONFORMITÄTSBESTÄTIGUNG MUSTER-IT-SICHERHEITSKONZEPTE DER EKD Version 1.0 Datum: Mittwoch, 30.07.2014 Kunde: EVANGELISCHE KIRCHE IN DEUTSCHLAND (EKD) INHALTSVERZEICHNIS 1 ERGEBNISZUSAMMENFASSUNG 2 1.1

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Datenschutz-Management

Datenschutz-Management Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb

Mehr

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting

Mehr

Moderne Behandlung des Grauen Stars

Moderne Behandlung des Grauen Stars Katarakt Moderne Behandlung des Grauen Stars Sehr geehrte Patientin, sehr geehrter Patient, Bei Ihnen wurde eine Trübung der Augenlinse festgestellt, die umgangssprachlich auch Grauer Star genannt wird.

Mehr

SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht -

SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht - SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht - Christina Dreller Christina.Dreller@stuttgarter-volksbank.de Übersicht I. Theoretische Grundlagen II. ITIL bei der Stuttgarter Volksbank

Mehr

Outsourcing und Offshoring. Comelio und Offshoring/Outsourcing

Outsourcing und Offshoring. Comelio und Offshoring/Outsourcing Outsourcing und Offshoring Comelio und Offshoring/Outsourcing INHALT Outsourcing und Offshoring... 3 Comelio und Offshoring/Outsourcing... 4 Beauftragungsmodelle... 4 Projektleitung vor Ort und Software-Entwicklung

Mehr

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Datenschutz und IT-Sicherheit in Smart Meter Systemen Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA Smart, sicher und zertifiziert Das Energiekonzept der Bundesregierung sieht

Mehr

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL [Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL Was bedeutet Customer Service by KCS.net? Mit der Einführung von Microsoft Dynamics AX ist der erste wichtige Schritt für viele Unternehmen abgeschlossen.

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

DER SELBST-CHECK FÜR IHR PROJEKT

DER SELBST-CHECK FÜR IHR PROJEKT DER SELBST-CHECK FÜR IHR PROJEKT In 30 Fragen und 5 Tipps zum erfolgreichen Projekt! Beantworten Sie die wichtigsten Fragen rund um Ihr Projekt für Ihren Erfolg und für Ihre Unterstützer. IHR LEITFADEN

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Mitarbeiterbefragung als PE- und OE-Instrument

Mitarbeiterbefragung als PE- und OE-Instrument Mitarbeiterbefragung als PE- und OE-Instrument 1. Was nützt die Mitarbeiterbefragung? Eine Mitarbeiterbefragung hat den Sinn, die Sichtweisen der im Unternehmen tätigen Menschen zu erkennen und für die

Mehr

ITIL und Entwicklungsmodelle: Die zwei Kulturen

ITIL und Entwicklungsmodelle: Die zwei Kulturen Kombination von IT Service Management (ITIL) und Anwendungsentwicklung Kai Witte und Matthias Kaulke, München, den 30.03.2006 Rahmeninformationen Wo sind wir? Unternehmensdarstellung (1) Unabhängiges Beratungsunternehmen

Mehr

Das Handwerkszeug. Teil I

Das Handwerkszeug. Teil I Teil I Das Handwerkszeug Beratung in der IT 3 Beratung ist ein häufig gebrauchter und manchmal auch missbrauchter Begriff in der IT. Wir versuchen in diesem Einstieg etwas Licht und Klarheit in diese Begriffswelt

Mehr

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen

Mehr

Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000

Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Änderung der ISO/IEC 17025 Anpassung an ISO 9001: 2000 Dr. Martin Czaske Sitzung der DKD-FA HF & Optik, GS & NF am 11. bzw. 13. Mai 2004 Änderung der ISO/IEC 17025 Anpassung der ISO/IEC 17025 an ISO 9001:

Mehr

IT-Sicherheit im Rathaus Alles nach Plan?

IT-Sicherheit im Rathaus Alles nach Plan? IT-Sicherheit im Rathaus Alles nach Plan? Neues IT-Rahmensicherheitskonzept seit 2009: Muster-IT-Rahmensicherheitskonzept steht allen Verbandsmitgliedern des ZV ego-mv kostenfrei zur Verfügung wurde bisher

Mehr

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor SyroCon Consulting GmbH Bosch Software Innovations GmbH Managed Energy Services als neue Dienste von Carriern Die Entwicklungen im Energiesektor

Mehr

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen: Mündliche Ergänzungsprüfung bei gewerblich-technischen und kaufmännischen Ausbildungsordnungen bis zum 31.12.2006 und für alle Ausbildungsordnungen ab 01.01.2007 Am 13. Dezember 2006 verabschiedete der

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller

Mehr

Sicherheitsanalyse von Private Clouds

Sicherheitsanalyse von Private Clouds Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren Ziel der Anleitung Sie möchten ein modernes Firewallprogramm für Ihren Computer installieren, um gegen

Mehr

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter und Nutzung der Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter Neu erstellen!!! I3 - Gruppe IT-Sicherheit und Cyber Defence IT-Sicherheit in der Folie 1 und Nutzung in der Bundesamt

Mehr

Safety Management Systeme in der Luftfahrt. Joel Hencks. AeroEx 2012 1 12/09/2012

Safety Management Systeme in der Luftfahrt. Joel Hencks. AeroEx 2012 1 12/09/2012 Safety Management Systeme in der Luftfahrt Joel Hencks AeroEx 2012 1 Agenda Warum SMS? Definitionen Management System laut EASA SMS vs. CM SMS vs. Flugsicherheitsprogramme Schlüsselprozesse des SMS SMS

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept

Mehr

Modul 5: Service Transition Teil 1

Modul 5: Service Transition Teil 1 Modul 5: Service Transition Teil 1 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung

Mehr

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform

Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN sicher bedarfsgerecht gesetzeskonform Zielgruppe Unser Beratungskonzept ist für die Unternehmensleitungen kleiner und mittelständischer Unternehmen

Mehr

Was sind Jahres- und Zielvereinbarungsgespräche?

Was sind Jahres- und Zielvereinbarungsgespräche? 6 Was sind Jahres- und Zielvereinbarungsgespräche? Mit dem Jahresgespräch und der Zielvereinbarung stehen Ihnen zwei sehr wirkungsvolle Instrumente zur Verfügung, um Ihre Mitarbeiter zu führen und zu motivieren

Mehr

IT-Controlling in der Sparkasse Hildesheim

IT-Controlling in der Sparkasse Hildesheim 1 IT-Controlling in der der Steuerungsregelkreislauf für IT-Entwicklung und -Betrieb Auf Basis der IT-Strategie mit den dort definierten Zielen wurde das IT-Controlling eingeführt und ist verbindliche

Mehr

Führungsgrundsätze im Haus Graz

Führungsgrundsätze im Haus Graz ;) :) Führungsgrundsätze im Haus Graz 1.0 Präambel 2.0 Zweck und Verwendung Führungskräfte des Hauses Graz haben eine spezielle Verantwortung, weil ihre Arbeit und Entscheidungen wesentliche Rahmenbedingungen

Mehr

statuscheck im Unternehmen

statuscheck im Unternehmen Studentische Beratungsgesellschaft für Sicherheitsangelegenheiten an der HWR Berlin statuscheck im Unternehmen Mit unserem statuscheck analysieren wir für Sie Schwachstellen, Risiken sowie Kosten und Nutzen

Mehr

Wechselbäder bei der Einführung neuer Software in der Hochschulorganisation?

Wechselbäder bei der Einführung neuer Software in der Hochschulorganisation? Wechselbäder bei der Einführung neuer Software in der Hochschulorganisation? IT & Change in der Alltagspraxis Forum IT & Organisation in Hochschulen 2012 Hannover 04.04.2012 Jan Bührig (HIS), Birga Stender

Mehr

Checkliste zur qualitativen Nutzenbewertung

Checkliste zur qualitativen Nutzenbewertung Checkliste zur qualitativen Nutzenbewertung Herausgeber Pentadoc Consulting AG Messeturm Friedrich-Ebert-Anlage 49 60308 Frankfurt am Main Tel +49 (0)69 509 56-54 07 Fax +49 (0)69 509 56-55 73 E-Mail info@pentadoc.com

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr