Diplomarbeit zur Erlangung des Grades Diplom Informatiker

Größe: px
Ab Seite anzeigen:

Download "Diplomarbeit zur Erlangung des Grades Diplom Informatiker"

Transkript

1 Diplomarbeit zur Erlangung des Grades Diplom Informatiker Studie zur Kompatibilität und Interoperabilität von Informationssicherheitsmanagementsystemen Erstprüfer: Prof. Dr. Stefan Karsch Zweitprüfer: Prof. Dr. Hans Ludwig Stahl Autor: Daniel Jedecke Luisenweg 6 D Weilerswist Matrikelnr.: Referenz: Diplomarbeit.tex Version: v1.0 Datum: 12. August 2006 c 2006, Daniel Jedecke

2 Vorwort Ich möchte mich bei allen Personen bedanken, die mich in der Zeit der Erstellung dieser Arbeit so tatkräftig unterstützt und mir den Rücken freigehalten haben. Danke an Prof. Dr. Karsch für die Unterstützung und Betreuung dieser Diplomarbeit. Danke auch an Prof. Dr. Stahl für die hilfreichen Kommentare. Ein besonderer Dank gebührt auch Randolf Skerka, Holger von Rhein und Manuel Atug, die mir in vielerlei Hinsicht sehr geholfen haben. Für die Bereitstellung des GSTOOL möchte ich dem Bundesamt für Sicherheit in der Informationstechnik danken. Zudem danke ich der Firma SRC Security Research & Consulting GmbH für die Einblicke in das interessante Umfeld von Informationssicherheitsmanagementsystemen. Mein Dank gebührt vor allem Inga Danke für Deine Unterstützung und den einen oder anderen kritischen Kommentar. 12. August 2006 c 2006, Daniel Jedecke Seite 2

3 INHALTSVERZEICHNIS Inhaltsverzeichnis 1 Einführung Einleitung Über diese Arbeit Analyse der Aufgabenstellung Aufgabenstellung Zielsetzung Grundlagen Informationssicherheitsmanagementsysteme Beschreibung existierender ISMS IT-Grundschutz Einführung Entstehung Aufbau Zielgruppe Umsetzung und Zertifizierung Besonderheiten Payment Card Industry - Data Security Standard (PCI DSS) Einführung Entstehung Aufbau August 2006 c 2006, Daniel Jedecke Seite 3

4 INHALTSVERZEICHNIS Zielgruppe Umsetzung und Zertifizierung ISO / ISO Einführung Entstehung Aufbau Zielgruppe Umsetzung und Zertifizierung Kleinere ISMS ISO IT Infrastructure Library Cobit Eingrenzung der ISMS für diese Arbeit Analyse verschiedener ISMS Gemeinsamkeiten der verschiedenen Systeme Möglichkeiten der Kombination von ISMS Top-down Ansatz Bottom-up Ansatz Vor - und Nachteile Vorgehen zur Kombination verschiedener ISMS Maßnahme kann übernommen werden Maßnahme muss erweitert werden Richtlinie/Maßnahme steht im Konflikt Rechtlicher Konflikt Organisatorischer Konflikt Technischer Konflikt Richtlinie/Maßnahme ist nicht vorhanden August 2006 c 2006, Daniel Jedecke Seite 4

5 INHALTSVERZEICHNIS 6 Exemplarische Umsetzung der Kombination von PCI DSS und dem IT-Grundschutz Vorgehen zur Umsetzung Nötige Anpassungen am IT-Verbund Gebäude Raum IT-System Netz Anwendung Mitarbeiter Erstellung neuer Bausteine Baustein bb Baustein bb Baustein bb Baustein bb Ausblick Integration weiterer ISMS Ansätze für die Integration des ISO Ansätze für die Integration anderer Sicherheitsmanagementsysteme Schlussfolgerung Fazit 80 A Detailierte Änderungen am mittleren Profil 81 B Beschreibung neuer Bausteine im Rahmen der Beispielumsetzung 110 B.1 Baustein bb B.2 Baustein bb B.3 Baustein bb B.4 Baustein bb August 2006 c 2006, Daniel Jedecke Seite 5

6 INHALTSVERZEICHNIS C Beschreibung neuer Maßnahmen im Rahmen der Beispielumsetzung 126 C.1 Maßnahme bm C.2 Maßnahme bm C.3 Maßnahme bm C.4 Maßnahme bm C.5 Maßnahme bm C.6 Maßnahme bm C.7 Maßnahme bm C.8 Maßnahme bm D Literaturverzeichnis August 2006 c 2006, Daniel Jedecke Seite 6

7 TABELLENVERZEICHNIS Tabellenverzeichnis 3.1 Einstufung Händler Vor- und Nachteile beim Top-down Ansatz Vor- und Nachteile beim Bottom-up Ansatz Räume IT-Systeme Netze Anwendungen August 2006 c 2006, Daniel Jedecke Seite 7

8 ABBILDUNGSVERZEICHNIS Abbildungsverzeichnis 3.1 Managementsystem Regelkreis (vgl. [NACH-MS]) Bestandteile eines ISMS (vgl. [BSI-100-1]) PDCA Model nach Deming [DEMING] Kleines Profil - Quelle: BSI[KLEINES] Mittleres Profil - Quelle: BSI[MITTLERES] Grosses Profil - Quelle: BSI[GROSSES] Prüfschema PCI DSS Einordnung verschiedener ISMS Vergleich Top-down und Bottom-up Ansatz Übersicht über verschiedene Übereinstimmungsvarianten Vorgehensweise zur Kombination von Maßnahmen Mittleres Profil nach Änderungen August 2006 c 2006, Daniel Jedecke Seite 8

9 Kapitel 1 Einführung In diesem Kapitel: Grundsätzliches über diese Diplomarbeit. 1.1 Einleitung In der heutigen Zeit nutzen immer mehr Unternehmen IT-Systeme und die aus der tiefen Einbindung in existierende Unternehmensprozesse entstehenden Vorteile und Chancen. Der Informations- und Kommunikationstechnologie wird von Unternehmensseite zunehmend eine hohe bis sehr hohe Bedeutung für die eigene Tätigkeit zugeschrieben 1. Unternehmerische Tätigkeiten, die von IT-Systemen unterstützt werden, müssen mannigfaltigen Sicherheitskriterien gerecht werden. Ein Ausfall oder eine Fehlfunktion eines IT- Systems kann diese Sicherheitsziele verletzen. Die Auswirkungen eines solchen Störfalls werden mit dem Begriff Risiko bezeichnet. Risiken sind die aus der Unvorhersehbarkeit der Zukunft resultierenden, durch zufällige Störungen verursachten Möglichkeiten, andere Werte als die geplanten Zielwerte zu erreichen. 2 Das um Prävention und Krisenbewältigung bemühte Risikomanagement muss auf viele Dinge bestmöglich vorbereitet 1 vgl. [BB-IKT], Seite 12 2 [RISK-MITTEL], Seite August 2006 c 2006, Daniel Jedecke Seite 9

10 1.1 Einleitung sein, um auf schwierige Fragen immer bessere Antworten zu finden 3. Sicherheitsziele entstehen durch gesetzliche Anforderungen oder durch den Charakter der unternehmerischen Tätigkeit. In der Folge bedeutet dies, daß es darum geht, Risiken durch Maßnahmen zu minimieren. Ein wichtiger Aspekt in der Planung von risikomindernden Maßnahmen ist es, darauf zu achten, daß die Maßnahmen für das jeweilige Risiko angemessen sind. Gerade wenig spektakuläre Maßnahmen wie Prozessoptimierung, Ausbildung und Motivation von Mitarbeitern oder das Anfertigen von verständlichen Dokumentationen verbessern das Sicherheitsniveau in der Praxis sehr deutlich. 4 Das Spektrum von Risiken ist enorm. Die möglichen Gegenmaßnahmen sind ebenfalls zahlreich. Beide lassen sich jedoch nicht in einem 1:1-Verhältnis aufeinander abbilden. Meist mindert eine einzelne Maßnahme mehrere Risiken. Den Risiken kann hierbei durch ein Zusammenspiel von technischen und organisatorischen Maßnahmen 5 begegnet werden. Sicherheit ist kein unveränderbarer Zustand, der einmal erreicht wird und sich niemals wieder ändert. 6. Vielmehr müssen durch technische oder organisatorische Veränderungen ständig neue Maßnahmen entwickelt werden, um neuen Risiken zu begegnen. Dies macht eine kontinuierliche Fortschreibung des Maßnahmenkataloges erforderlich. Als Ergebnis dieser Erkenntnisse erhalten wir zwei komplexe Aufgaben: Entwicklung von Maßnahmen an gegebenen Unternehmensprozessen Fortschreibung des Maßnahmenkataloges 3 vgl. [SZENARIO-RISK], Seite 5 4 vgl. [BSI-100-1], Seite 16 5 vgl. [BSI-100-1], Seite 17 6 vgl. [BSI-100-1], Seite August 2006 c 2006, Daniel Jedecke Seite 10

11 1.2 Über diese Arbeit Diese beiden Aufgaben vereinen sich im Sicherheitsmanagement 7. Im Kontext von Informations- und Kommunikationstechnologien finden sie sich im Informationssicherheitsmanagementsystem (ISMS) wieder. Das Angebot an ISMS ist groß. Eine Vielzahl verschiedener Systeme bieten unterschiedliche Lösungsansätze, basierend auf divergenten Annahmen und Voraussetzungen bezüglich der Unternehmensprozesse und der vorhandenen Risiken. So unterscheidet sich zum Beispiel der Payment Card Industry Data Security Standard (PCI DSS) [PCIDSS] von anderen ISMS durch die Voraussetzung, daß das Unternehmen Kreditkartendaten verarbeitet, speichert oder weiterleitet. IT-Grundschutz [BSI-100-2] des Bundesamts für Sicherheit in der Informationstechnik (BSI) hingegen ist ein sehr umfassendes ISMS, welches keine konkreten Annahmen oder Voraussetzungen definiert. Ebenso wenig formuliert auch der International Standards Organisation (ISO) Standard 27001:2005 [27001] ausdrückliche Vorraussetzungen. Im Unterschied zum PCI DSS oder zum IT-Grundschutz definiert dieser Standard auch keine grundlegenden Risiken. Vielmehr müssen diese durch eine umfassende Risikoanalyse definiert werden Über diese Arbeit Die Motivation zur Wahl dieses Themengebietes liegt in meiner fachlichen Ausrichtung. Berufsbedingt habe ich mich neben meinem Studium viel mit dem ISMS Payment Card Industry Data Security Standard (PCI DSS)[PCIDSS] beschäftigt und auch einige Erfahrungen mit dem IT-Grundschutz [BSI-100-2] des Bundesamts für Sicherheit in der Informationstechnik (BSI) sammeln können. Da ich mich auf den Bereich des Sicherheitsmanagements spezialisieren möchte und dort auch mit beiden Systemen arbeiten werde, lag für mich diese Studie über die Kombinationsmöglichkeiten nahe. 7 siehe auch [SICHERHEITSMAN] 8 siehe auch [BSI-100-3] 12. August 2006 c 2006, Daniel Jedecke Seite 11

12 1.2 Über diese Arbeit Der IT-Grundschutz ist ein in Deutschland anerkannter IT-Sicherheitsmanagement-Standard, welcher in Kapitel näher erläutert wird. Der PCI DSS ist ein primär von den Kreditkartenanbietern MasterCard und Visa entwickelter Standard und richtet sich an die Sicherheit von kreditkartendatenverarbeitenden Unternehmen. Im Gegensatz zu anderen Standards definiert hierbei der Kreditkartenanbieter das zu erwartende Risiko, was eine unternehmensspezifische Risikoanalyse obsolet macht. Die Entstehungsgeschichte und den Aufbau dieses Standards kann in Kapitel nachlesen werden. In Hinblick auf die Migration von IT-Grundschutz und International Standards Organisation (ISO) Standard 27001:2005 [27001] wird dieses Arbeitsumfeld immer interessanter. 12. August 2006 c 2006, Daniel Jedecke Seite 12

13 Kapitel 2 Analyse der Aufgabenstellung In diesem Kapitel: Aufgabenstellung und Zielsetzung. 2.1 Aufgabenstellung Die Kombination verschiedener ISMS gewinnt in der heutigen Zeit, gerade bei international tätigen Unternehmen, immer mehr an Bedeutung. Beispielsweise wird die Auftragsvergabe oft an das Vorhandensein eines bestimmten ISMS gekoppelt. So ist es in Deutschland häufig der Fall, daß Unternehmen, welche für Bundesbehörden arbeiten, nach IT-Grundschutz [BSI-100-2] zertifiziert sein müssen. International tätige Unternehmen unterhalten oftmals schon ein funktionierendes ISMS nach ISO [27001]. In diesem Fall ist es sehr interessant, die Übereinstimmungen verschiedener Systeme sowie auch ihre Konflikte zu kennen. Diese Konflikte treten in Zusammenhang mit Maßnahmen auf, die durch das ISMS gefordert werden, jedoch nationalen Gesetzen widersprechen. Bei großen, weltweit operierenden Unternehmen treten solche rechtlichen Probleme auf, wenn ein länderübergreifendes ISMS eingesetzt werden soll, jedes Land jedoch eigene Gesetze hat, welche im gewählten Managementsystem berücksichtigt werden müssen. Aus diesem Grund muss die Maßnahmenebene sehr ge- 12. August 2006 c 2006, Daniel Jedecke Seite 13

14 2.2 Zielsetzung nau betrachtet werden und gegebenenfalls entsprechend den gesetzlichen Vorgaben des Landes angepasst werden. Im Rahmen dieser Arbeit soll die Kompatibilität und Interoperabilität verschiedener ISMS evaluiert werden. Hierbei geht es speziell um den IT-Grundschutz des BSI, den ISO Standard 27001:2005 und 17799:2005 [17799] sowie den PCI DSS [PCIDSS]. Diese Systeme haben bereits eine große Schnittmenge in ihren Vorgehensweisen, jedoch tauchen in einigen Bereichen Konflikte auf, welche teils einfach, teils durch weitergehende Maßnahmen aufgelöst werden können. Speziell für Unternehmen, welche Kreditkarten verarbeiten, gibt der PCI DSS neue Richtlinien vor, die teilweise im deutschen Recht nicht umsetzbar sind, oder in Konflikt zu bereits existierenden ISMS stehen Zielsetzung An diesem Punkt setzt diese Arbeit an und versucht Konflikte bei der Kombination verschiedener ISMS herauszuarbeiten und Lösungsansätze aufzuzeigen. Speziell sollen die Möglichkeiten der Interoperabilität und Kompatibilität zwischen PCI DSS und IT- Grundschutz getestet werden. Ziel der Arbeit ist, eine Übersicht über die bei der Kombination auftretenden Probleme zu liefern, und entsprechende Lösungsansätze zu bieten. Dabei werden im Rahmen einer exemplarischen Kombination der Maßnahmen der IT-Grundschutz-Kataloge [GSHB] mit den Maßnahmen PCI DSS Probleme beschrieben sowie konkrete Lösungsvorschläge bereitgestellt. Hierzu bediene ich mich des mittleren Profils [MITTLERES], welches eine beispielhafte Umsetzung von IT-Grundschutz in einem mittelständischen Unternehmen aufzeigt. Das Profil wird im Rahmen dieser Arbeit zu einem Unternehmen erweitert, das Kreditkartendaten verarbeitet. An diesem neuen Profil soll dann die exemplarische Kombination vorgenommen werden. 1 vgl. [PCIAUDIT], Requirement 12.7 und Bundesdatenschutzgesetz[BDSG] 12. August 2006 c 2006, Daniel Jedecke Seite 14

15 2.2 Zielsetzung Im Rahmen dieser Kombination werden neue Bausteine nach Vorlage der IT-Grundschutz-Kataloge erstellt, welche das Vorgehen zur Kombination verdeutlichen. Aufgrund der Menge an Anforderungen seitens des PCI DSS werden nicht alle Anforderungen in Bausteine abgebildet. Vielmehr dienen die hier betrachteten Bausteine als Vorlage für eine weitere Umsetzung, welche jedoch nicht Bestandteil dieser Arbeit ist. Die Erstellung der Bausteine wird komplett mit dem Programm GSTOOL 2 in der Version 4.0 des BSI durchgeführt. Bevor jedoch die Kombination der ISMS durchgeführt wird, werden in Kapitel 3 die Grundlagen dieser Arbeit näher erläutert. Dies schließt die Definition eines ISMS sowie der verschiedenen existierenden ISMS ein. In Kapitel 4 wird dann eine Analyse der verschiedenen ISMS durchgeführt, sowie erste Kombinationsmöglichkeiten erläutert. An dieses Kapitel schließt das Kapitel 5 an, in welchem das Vorgehen zur Kombination verschiedener ISMS beschrieben wird. Anschließend findet in Kapitel 6 eine exemplarische Kombination von vier Anforderungen des PCI DSS mit den Maßnahmen der IT-Grundschutz-Kataloge statt. In den beiden letzten Kapiteln 7 und 8 wird ein Ausblick auf weitere mögliche Projekte im Rahmen der Kombination von ISMS geben, sowie ein persönliches Fazit aus dieser Arbeit gegeben August 2006 c 2006, Daniel Jedecke Seite 15

16 Kapitel 3 Grundlagen In diesem Kapitel: Beschreibung der Grundlagen zu dieser Arbeit. 3.1 Informationssicherheitsmanagementsysteme Ein Managementsystem ist Führungs- und Organisationssystem zur optimalen Unternehmensführung im Rahmen der eigenen Unternehmenspolitik und der für einen bestimmten Bereich festgelegten, möglichst quantifizierten Unternehmenszielen 1. Hierzu wird ein Regelkreis genutzt, welcher in Abbildung 3.1 gezeigt wird. Er besteht aus den folgenden Komponenten 2 : Ist-Analyse der Organisation, der Technik, der Mitarbeiterkenntnisse, der Unternehmenskultur u.a. Unternehmenspolitik/-leitlinien/-philosophie festlegen Ziele festlegen Maßnahmenprogramm zur Erreichung der Ziele festlegen Ressourcen zur Durchführung des Programms bereitstellen 1 vgl. [NACH-MS], Seite 33 2 nach [NACH-MS] 12. August 2006 c 2006, Daniel Jedecke Seite 16

17 3.1 Informationssicherheitsmanagementsysteme die richtigen Maßnahmen durchführen Zielerreichung bzw. Zielabweichungen festestellen, ggf. Korrekturmaßnahmen definieren und durchführen Durchführung von Audits Bewertung der Auditergebnisse und Berücksichtigung neuer Erkenntnisse durch die Unternehmensleitung Festlegung neuer Ziele Ist-Analyse Neue Ziele vereinbaren Unternehmenspolitik festlegen Ergebnisse bewerten Ziele vereinbaren Audits durchführen Maßnahmen planen Zielerreichung, Abweichungen feststellen Ressourcen bereitstellen Maßnahmen durchführen Abbildung 3.1: Managementsystem Regelkreis (vgl. [NACH-MS]) Ein ISMS ist ein spezielles Managementsystem und umfasst Regeln für die Steuerung, Lenkung und Kontrolle von IT-Sicherheitsprozessen. Das ISMS legt fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt (plant, einsetzt, durchführt, überwacht und verbessert) 3. Zu den grundlegenden Komponenten zählen hierbei (siehe auch Abbildung 3.2): 3 vgl. [BSI-100-1] 12. August 2006 c 2006, Daniel Jedecke Seite 17

18 3.1 Informationssicherheitsmanagementsysteme die Managementprinzipien, welche die Steuerung, Lenkung und Kontrolle der Sicherheitsprozesse behandeln. die Ressourcen, welche finanzielle, personelle und zeitliche Ressourcen beinhalten. die Mitarbeiter, welche alle Mitarbeiter des Unternehmens umfassen. der IT-Sicherheitsstrategie, der im folgenden genauer beschrieben wird. IT-Sicherheitsstrategie Management- Prinzipien ISMS Ressourcen Mitarbeiter Abbildung 3.2: Bestandteile eines ISMS (vgl. [BSI-100-1]) Die zuvor genannte IT-Sicherheitsstrategie läßt sich wiederum in drei Unterpunkte gliedern: IT-Sicherheitsleitlinie In der Sicherheitsleitlinie werden Sicherheitsziele und Strategien zum Umsetzung von IT-Sicherheit definiert. IT-Sicherheitskonzept Das Sicherheitskonzept ist ein Hilfsmittel zur Umsetzung der Sicherheitsstrategie. Im Sicherheitskonzept werden zum Beispiel Maßnahmen, IT-Strukturen und Risiken beschrieben. 12. August 2006 c 2006, Daniel Jedecke Seite 18

19 3.1 Informationssicherheitsmanagementsysteme IT-Sicherheitsorganisation Wie auch das Sicherheitskonzept ist auch die Sicherheitsorganisation ein Hilfsmittel zur Umsetzung der Sicherheitsstrategie. Jedoch werden in der Sicherheitsorganisation beispielsweise Prozesse, Strukturen, Abläufe und Regeln beschrieben. Im Jahre 1995 wurde die erste Version des damals noch IT-Grundschutzhandbuch genannten ISMS im Bundesanzeiger 4 veröffentlicht. Zeitgleich wurde auch die erste Version von COBIT 5 herausgebracht. Im Laufe der Zeit entwickelten sich dann weitere ISMS, welche oft ähnliche Ansätze und gemeinsame Vorgehensweisen hatten. Bei näherer Betrachtung muss man jedoch feststellen, daß sich die verschiedenen Systeme nicht direkt kombinieren lassen. Es gibt Unterschiede im Umfang der Abdeckung, sowie in der Zielgruppe der Systeme. Einen Überblick über die verschiedenen ISMS findet sich in Kapitel 4. Wie das oben genannte allgemeine Managementsystem, ist auch das ISMS ein fortlaufender Prozess. Dieses wird jedoch bei ISMS vielfach vereinfacht und folgt in vielen Fällen dem PDCA Modell nach Deming 6. PDCA steht für Plan, Do, Check and Act und wird beispielsweise von ISO verwendet. Ziel von PDCA ist die Etablierung eines ständigen, das System verbessernden Prozesses. Das PDCA Modell lässt sich wie folgt beschreiben (siehe auch Abbildung 3.3): Plan: Planung eines Vorhabens Do: Umsetzung des geplanten Vorhabens Check: Kontrolle der Umsetzung Act: Optimierung und Verbesserung der erkannten Mängel 4 5 vgl. [COBIT] 6 vgl. [DEMING] und [BSI-100-1] 12. August 2006 c 2006, Daniel Jedecke Seite 19

20 3.2 Beschreibung existierender ISMS Plan Planung eines Vorhabens Act Optimierung und Verbesserung Do Umsetzung des geplanten Vorhabens Check Kontrolle der Umsetzung Abbildung 3.3: PDCA Model nach Deming [DEMING] 3.2 Beschreibung existierender ISMS IT-Grundschutz Einführung Der IT-Grundschutz des BSI ist das in Deutschland bekannteste ISMS. Es ist als Leitfaden zu verstehen und gibt dem Anwender eine Schritt-für-Schritt-Vorgehensweise an die Hand. IT-Grundschutz hat gerade für kleinere und mittlere Unternehmen den Vorteil, daß nicht für alle Systeme eine Risikoanalyse durchgeführt werden muss, da schon sehr viele Gefährdungen und entsprechende Maßnahmen vorgegeben sind. Bei einem höheren Schutzbedarf, oder bei nicht abgedeckten Systemen, wie einem Windows 2003 Server muss jedoch eine Risikoanalyse durchgeführt werden. Eine anerkannte Methode ist unter [BSI-100-3] genauer beschrieben. Prinzipiell kann jedoch jede Risikoanalyse angewandt werden. Der Leitfaden dient dazu, durch die Anwendung von organisatorischen, personellen, infrastrukturellen und technischen Standard-Sicherheitsmaßnahmen ein Sicherheitsniveau zu schaffen, welches für den normalen Schutzbedarf der IT-Systeme angemessen und ausreichend ist und als Basis für IT-Systeme mit höherem Schutzbedarf dient. Durch die 12. August 2006 c 2006, Daniel Jedecke Seite 20

21 3.2 Beschreibung existierender ISMS Anwendung des IT-Grundschutz lassen sich IT-Sicherheitskonzepte einfach und mit geringem Arbeitsaufwand erstellen. Es kann jedoch schon bei kleineren Unternehmen sechs Monate dauern, bis erste Ergebnisse sichtbar werden Entstehung Der IT-Grundschutz wurde bis zum Jahr 2005 IT-Grundschutzhandbuch genannt. Die erste Version des IT-Grundschutzhandbuches wurde 1995 in Bundesanzeiger veröffentlicht und bestand damals aus 18 Bausteinen, 200 Maßnahmen und war 150 Seiten lang. Der Umfang wuchs von Jahr zu Jahr, so daß allein die heutigen IT-Grundschutz-Kataloge über 3000 Seiten aufweisen. Der Aufbau von IT-Grundschutz hat sich im Laufe des letzen Jahres grundlegend verändert und wird im nächsten Kapitel genauer beschrieben Aufbau IT-Grundschutz teilt sich in drei Standards zum Thema IT-Sicherheit sowie den IT- Grundschutz-Katalogen. Die drei Standards sind wie folgt gegliedert: BSI-Standard 100-1: Managementsysteme für Informationssicherheit[BSI-100-1] Dieser Standard befasst sich mit dem Aufbau von ISMS und gibt eine Übersicht über die Prozesse zur Umsetzung von IT-Sicherheit BSI-Standard 100-2: Vorgehensweise nach IT-Grundschutz[BSI-100-2] Der Standard beschreibt das Vorgehen nach IT-Grundschutz und bezieht sich dabei auf die Initiierung des IT-Sicherheitsprozesses, die Erstellung einer IT-Sicherheitskonzeption sowie die Aufrechterhaltung der IT-Sicherheit BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz[BSI-100-3] Dieser Standard beschreibt die Vorgehensweise für eine Risikoanalyse auf der Basis von IT-Grundschutz. Durch die starke Anlehnung an IT-Grundschutz eignet er sich beson- 12. August 2006 c 2006, Daniel Jedecke Seite 21

22 3.2 Beschreibung existierender ISMS ders gut für die Umsetzung einer Risikoanalyse im Rahmen von IT-Grundschutz. Die IT-Grundschutz-Kataloge beginnen mit einer kurzen Einführung zum Thema IT- Grundschutz und fahren mit einer genaueren Beschreibung der Bausteine fort. Die einzelnen Bausteine spiegeln typische Bereiche des IT-Einsatzes wieder, wie beispielsweise Client-Server-Netze, bauliche Einrichtungen, Kommunikations- und Applikationskomponenten 7. Jeder Baustein wird in den IT-Grundschutz-Katalogen kurz erläutert und gibt daraufhin Verweise auf die Gefährdungen und Maßnahmen welche im Rahmen des Bausteins betrachtet werden. Die Bausteine sind in fünf Abschnitte eingeteilt: B 1: Übergeordnete Aspekte der IT-Sicherheit In diesem Kapitel wird auf übergreifende Bausteine wie Personal, IT-Sicherheitsmanagement oder ein Datensicherheitskonzept eingegangen. B 2: Sicherheit der Infrastruktur Dieser Abschnitt befasst sich unter anderen mit den Bausteinen Gebäude, Serverraum und häuslicher Arbeitsplatz. B 3: Sicherheit der IT-Systeme Für weit verbreitete IT-Systeme wie Unix-Systeme, tragbare PCs und TK-Anlagen gibt es in diesem Abschnitt Bausteine. B 4: Sicherheit im Netz Dieser Abschnitt befasst sich mit der Vernetzung von IT-Systemen sowie deren Sicherheitsmanagement. B 5: Sicherheit in Anwendungen Größere IT-Anwendungen wie , WWW-Server und Datenbanken werden in diesem 7 vgl. [GSHB] 12. August 2006 c 2006, Daniel Jedecke Seite 22

23 3.2 Beschreibung existierender ISMS Abschnitt beschrieben Zielgruppe Durch sein breites Spektrum richtet sich IT-Grundschutz an alle Unternehmen und hat für viele Gefährdungen passende Maßnahmen parat. Gerade bei kleinen und mittleren Unternehmen (KMU) empfiehlt sich aufgrund der Leitfäden und des klaren Vorgehens eine Umsetzung nach IT-Grundschutz Umsetzung und Zertifizierung Im Gegensatz zu einer traditionellen Risikoanalyse 8, welche teuer und aufwendig sein kann, wird beim IT-Grundschutz zuerst nur ein Basis-Sicherheitscheck zwischen den empfohlenen und den bereits realisierten Maßnahmen durchgeführt. Fehlende oder nicht vollständig umgesetzte Maßnahmen zeigen Sicherheitsdefizite auf, welche durch die empfohlenen Maßnahmen zu beheben sind. Die Vorgehensweise beim IT-Grundschutz lässt sich in vier Bereiche einteilen. 1. IT-Strukturanalyse: Durch die IT-Strukturanalyse werden Informationen über den betrachteten Bereich gewonnen. Dieser Bereich wird auch IT-Verbund genannt. In diesem Schritt werden Anwendungen, IT-Systeme oder IT-Räume zu einem Verbund zusammengefasst und deren Abhängigkeit zueinander dargestellt. Wichtig dabei ist, daß alle verbundenen Zielobjekte erfasst werden, was diesen Prozess zu einem der Schwierigsten im Rahmen von IT-Grundschutz macht. Eine genaue und vollständige Abgrenzung des IT-Verbundes ist der zentrale Schritt für die weitere Vorgehensweise. 2. Schutzbedarfsfeststellung: Die darauf folgende Schutzbedarfsfeststellung betrachtet die Gefährdungen, welche zu Beeinträchtigungen der Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit 9 innerhalb von IT-Anwendungen, IT-Systemen, Kom- 8 vgl. [RISK-MITTEL] 9 siehe auch Wahlpflichtfach IT-Sicherheit, Dozent: Prof. Dr. Karsch, FH Köln 12. August 2006 c 2006, Daniel Jedecke Seite 23

24 3.2 Beschreibung existierender ISMS munikationssystemen und Räumen führen könnten. Durch diesen Schritt lässt sich ein ausreichendes Schutzniveau mit möglichst geringen Kosten erreichen. 3. Modellierung: Einer der zentralen Schritte bei der Anwendung von IT-Grundschutz ist die Modellierung. Bei der Modellierung werden den existierenden Prozessen und Komponenten (Ziel-Objekte), welche im vorangegangenen Schritt definiert worden sind, Bausteine zugeordnet. Hierzu bietet IT-Grundschutz eine detaillierte Anleitung, wie mit Hilfe der vorhandenen Bausteine der IT-Verbund möglichst realistisch nachgebildet werden kann. Jeder Baustein beschreibt die relevanten Gefährdungen des konkreten Zielobjektes und bietet entsprechende Maßnahmen an. Durch die Modellierung entsteht daraus eine umfangreiche Liste mit allen umzusetzenden Maßnahmen. 4. Basis-Sicherheitscheck: Der letzte Schritt bezieht sich auf den ermittelten IT-Verbund. In diesem Schritt werden die Maßnahmen, welche in der Modellierung als erforderlich identifiziert worden sind, überprüft. Dabei sollen, zum Beispiel durch Interviews und stichprobenartige Kontrollen, Defizite herauskristalisiert werden. Der Basis-Sicherheitscheck ist ein Soll-Ist Vergleich, welcher den derzeitigen Stand mit dem geforderten Stand laut Modellierung vergleicht. Das BSI stellt unter [BSI-100-2] ein umfassendes Dokument zur Verfügung, indem die Vorgehensweise nach IT-Grundschutz beschrieben wird. Je nach Wunsch des Anwenders kann man einen IT-Verbund zertifizieren lassen. Dies muss beispielsweise geschehen, um an manchen Ausschreibungen öffentlicher Stellen teilnehmen zu können. Ein Schema zur Zertifizierung ist unter [27001-GS] beschrieben Besonderheiten Um eine praxisnahe Hilfestellung bei der Umsetzung nach IT-Grundschutz zu geben, hat das BSI drei exemplarische Umsetzungen ( Ein IT-Grundschutzprofil für eine kleine Insti- 12. August 2006 c 2006, Daniel Jedecke Seite 24

IT-Grundschutz für mittelständische Unternehmen

IT-Grundschutz für mittelständische Unternehmen IT-Grundschutz für mittelständische Unternehmen Randolf Skerka SRC Security Research & Consulting GmbH Bonn - Wiesbaden IT-Grundschutzhandbuch Agenda Ein wenig über SRC Das IT-Grundschutzhandbuch Umsetzung

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutz Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007 IT-Grundschutzhandbuch Agenda Ziel der IT-Sicherheit Das IT-Grundschutzhandbuch Umsetzung des IT-Grundschutzhandbuchs Ausbaustufen

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz IT-Grundschutz modellieren modellieren Dipl.-Inf. (FH) Thorsten Gerlach IT-Grundschutz / Überblick IT- Grundschutzhandbuch (GSHB) betrachtet im Allgemeinen folgende Merkmale: Infrastruktur

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

Sicherheit bei Internet- Kreditkartentransaktionen

Sicherheit bei Internet- Kreditkartentransaktionen Sicherheit bei Internet- Kreditkartentransaktionen MasterCard SDP / Visa AIS Randolf Skerka / Manuel Atug SRC Security Research & Consulting GmbH Bonn - Wiesbaden Übersicht Vorstellung SRC Vorstellung

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

IT-Grundschutz - der direkte Weg zur Informationssicherheit

IT-Grundschutz - der direkte Weg zur Informationssicherheit IT-Grundschutz - der direkte Weg zur Informationssicherheit Bundesamt für Sicherheit in der Informationstechnik Referat IT-Sicherheitsmanagement und IT-Grundschutz Security-Forum 08.10.2008 Überblick IT-Grundschutz-Methodik

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH

Sicherheit als strategische Herausforderung. Antonius Sommer Geschäftsführer. TÜV Informationstechnik GmbH TÜV Informationstechnik GmbH Langemarckstraße 20 45141 Essen, Germany Phone: +49-201-8999-401 Fax: +49-201-8999-888 Email: A.sommer@tuvit.de Web: www.tuvit.de Sicherheit als strategische Herausforderung

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

Praktizierter Grundschutz in einem mittelständigen Unternehmen

Praktizierter Grundschutz in einem mittelständigen Unternehmen Praktizierter Grundschutz in einem mittelständigen Unternehmen Adolf Brast, Leiter Informationsverarbeitung Bochum-Gelsenkirchener Straßenbahnen AG auf dem 4. Stuttgarter IT-Sicherheitstag, 16.02.06 Überblick

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2014 20.03.2014

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management

IT-Grundschutz-Novellierung 2015. Security Forum 2015. Hagenberger Kreis. Joern Maier, Director Information Security Management IT-Grundschutz-Novellierung 2015 Security Forum 2015 Hagenberger Kreis Joern Maier, Director Information Security Management 1 AGENDA 1 Ausgangslage 2 unbekannte Neuerungen 3 mögliche geplante Überarbeitungen

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz DECUS Symposium 8.-10. April 2003 Jürgen Bachinger Senior Consultant HP Services - Consulting & Integration BSI-Auditor: BSI-GSL-0001-2002

Mehr

Die Umsetzung von IT-Sicherheit in KMU

Die Umsetzung von IT-Sicherheit in KMU Informatik Patrick Düngel / A. Berenberg / R. Nowak / J. Paetzoldt Die Umsetzung von IT-Sicherheit in KMU Gemäß dem IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik Wissenschaftliche

Mehr

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik Dieter Börner Management-Service Am Bahnhof 12 96328 Küps Tel. 09264 91323 Fax 09264 91324 Das Informationssicherheits- Managementsystem nach ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an

Mehr

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand Cloud- und Informationssicherheit -praktisch umgesetzt in KMU- IHK München (27. Februar 2014)

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit und der IT-Sicherheit Musterlösung zur 5. Übung im SoSe 2010: Konzepte zur IT-Sicherheit 5.1 Sicherheitskonzept Aufgabe: Welche Aspekte sollten in einem Sicherheitskonzept, das den laufenden Betrieb der

Mehr

IT-Grundschutzhandbuch

IT-Grundschutzhandbuch IT-Grundschutzhandbuch Michael Mehrhoff Bundesamt für Sicherheit in der Informationstechnik DBUS-Jahrestagung, 12. Mai 2004 IT-Grundschutzhandbuch Prinzipien Gesamtsystem enthält typische Komponenten (Server,

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2013 09.10.2013 Agenda

Mehr

3 Juristische Grundlagen

3 Juristische Grundlagen beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Cloud Computing mit IT-Grundschutz

Cloud Computing mit IT-Grundschutz Cloud Computing mit IT-Grundschutz Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz BITKOM World am 08.03.2013 Agenda Einführung

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr

Informations-Sicherheit mit ISIS12

Informations-Sicherheit mit ISIS12 GPP Projekte gemeinsam zum Erfolg führen www.it-sicherheit-bayern.de Informations-Sicherheit mit ISIS12 GPP Service GmbH & Co. KG Kolpingring 18 a 82041 Oberhaching Tel.: +49 89 61304-1 Fax: +49 89 61304-294

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 1. IT-Grundschutz-Tag 2013 27.02.2013 Inhalte

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Tübingen Berlin Köln Zagreb Fort Collins. Tübingen Berlin Köln Zagreb Fort Collins. ISO 9001 / Glossar

Tübingen Berlin Köln Zagreb Fort Collins. Tübingen Berlin Köln Zagreb Fort Collins. ISO 9001 / Glossar Audit Überprüfung, ob alle Forderungen der zu prüfenden Norm tatsächlich erfüllt werden und ob die ergriffenen Maßnahmen wirksam sind. Siehe auch Verfahrensaudit, Internes Audit und Zertifizierungsaudit.

Mehr

Händlerinformation. Informationen und Hinweise für Händler zur Umsetzung des Programms. Payment Card Industry Data Security Standard (PCI DSS)

Händlerinformation. Informationen und Hinweise für Händler zur Umsetzung des Programms. Payment Card Industry Data Security Standard (PCI DSS) Postbank P.O.S. Transact GmbH (nun EVO Kartenakzeptanz GmbH) ist kürzlich von der EVO Payments International Group erworben worden Informationen und Hinweise für Händler zur Umsetzung des Programms Payment

Mehr

Musterprozesse für das Datenschutzmanagement

Musterprozesse für das Datenschutzmanagement Musterprozesse für das Datenschutzmanagement Dr. Martin Meints Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein ULD61@datenschutzzentrum.de Was kann modernes Datenschutzmanagement von Qualitätsmanagement,

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

Ergänzung zum BSI-Standard 100-3, Version 2.5

Ergänzung zum BSI-Standard 100-3, Version 2.5 Ergänzung zum BSI-Standard 100-3, Version 2.5 Verwendung der elementaren Gefährdungen aus den IT-Grundschutz-Katalogen zur Durchführung von Risikoanalysen Stand: 03. August 2011 Bundesamt für Sicherheit

Mehr

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen Marco Puschmann Agenda Kurzportrait HannIT (AöR) Das Personenstandswesen Daten Gesetzliche Rahmenbedingungen (PStV) technische

Mehr

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit

Mehr

Information. Produktcharakteristik. Payment Card Industry Data Security Standard. Stand: 07/2015 Postbank P.O.S. Transact GmbH

Information. Produktcharakteristik. Payment Card Industry Data Security Standard. Stand: 07/2015 Postbank P.O.S. Transact GmbH Postbank P.O.S. Transact GmbH (nun EVO Kartenakzeptanz GmbH) ist kürzlich von der EVO Payments International Group erworben worden Produktcharakteristik VISA und MasterCard haben unter dem Namen VISA-AIS

Mehr

BSI Technische Richtlinie

BSI Technische Richtlinie Seite 1 von 13 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: De-Mail Sicherheit Modulübergreifend Anwendungsbereich: Kürzel: BSI De-Mail TR 01201

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Der Payment Card Industry Data Security Standard (PCI DSS)

Der Payment Card Industry Data Security Standard (PCI DSS) Der Payment Card Industry Data Security Standard (PCI DSS) Wahlpflichtfach an der FH Brandenburg im Master-Studiengang Security Management WS 2014/2015 Dozent: Patrick Sauer, M.Sc. Agenda 1. Vorstellung

Mehr

Neues vom IT-Grundschutz: Ausblick und Diskussion

Neues vom IT-Grundschutz: Ausblick und Diskussion Neues vom IT-Grundschutz: Ausblick und Diskussion Holger Schildt Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 4. IT-Grundschutz-Tag 2014

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09.

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09. MITsec - Gelebte IT-Sicherheit in KMU - IT - Sicherheitsforum Erfurt 2015 23.09.2015 TÜV Thüringen Informationssicherheit Informationen sind das schützenswerte Gut ihres Unternehmens Definition: Eine Information

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Das IT-Verfahren TOOTSI

Das IT-Verfahren TOOTSI Das IT-Verfahren TOOTSI Toolunterstützung für IT- Sicherheit (TOOTSI) Motivation und Ziele der Nationale Plan (UP Bund) Herausforderungen Umsetzung in der Bundesfinanzverwaltung in der Bundesverwaltung

Mehr

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Neues aus dem IT-Grundschutz Ausblick und Diskussion Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2013 13.06.2013 Agenda

Mehr

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme Inhalt Zur Relevanz von ISMS für EVUs Übersicht Kritische Infrastrukturen 11 EnWG BSI-Standards 100-x Was ist ein ISMS? Unterstützung

Mehr

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1.

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1. Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Version 1.0 Bundesamt für Sicherheit in der Informationstechnik Postfach

Mehr

Test GmbH Test 123 20555 Hamburg Hamburg

Test GmbH Test 123 20555 Hamburg Hamburg Test GmbH Test 123 20555 Hamburg Hamburg 29.07.2015 Angaben zum Unternehmen Unternehmensdaten Unternehmen Test GmbH Adresse Test 123 20555 Hamburg Hamburg Internetadresse http://www.was-acuh-immer.de Tätigkeitsangaben

Mehr

Datenschutz und IT-Grundschutz für Museen

Datenschutz und IT-Grundschutz für Museen Datenschutz und IT-Grundschutz für Museen MusIS-Nutzertreffen Staatsgalerie Stuttgart 21.04.2009 2009 Volker Conradt, BSZ Definition: Datenschutz und IT-Grundschutz Datenschutz ( 1 Bundesdatenschutzgesetz

Mehr

der Informationssicherheit

der Informationssicherheit Alexander Wagner Prozessorientierte Gestaltung der Informationssicherheit im Krankenhaus Konzeptionierung und Implementierung einer prozessorientierten Methode zur Unterstützung der Risikoanalyse Verlag

Mehr

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI

Vorwort. Dr. Udo Helmbrecht, Präsident des BSI Vorwort Sarbanes-Oxley-Act, Basel II oder KonTraG immer mehr gesetzliche Rahmenbedingungen haben einen deutlichen Bezug zur IT-Sicherheit. Sie erhöhen den Druck auf die Verantwortlichen, die Sicherheit

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014 ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

1. Oktober 2013, Bonn

1. Oktober 2013, Bonn Zertifizierungen zur IT-Sicherheit Nutzen und Umsetzung Welchen Wert haben Zertifizierungen, welcher Aufwand ist zu berücksichtigen, wie werden Zertifizierungen nachhaltig umgesetzt? 1. Oktober 2013, Bonn

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN 1 Bayerischer IT-Sicherheitscluster e.v. 09.10.2015 REFERENT Claudia Pock Sales Managerin IT Security Applied Security

Mehr

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse

Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Arbeitshilfe zur Vertraulichkeits-/Integritätsanalyse und Kryptobedarfsanalyse Verfasser: BSI Ref. 113 Version: 1.0 Stand: 26. Januar 2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20

Mehr

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision

Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Kundeninformation DIN EN ISO 9001:2015 - die nächste große Normenrevision Einführung Die DIN EN ISO 9001 erfährt in regelmäßigen Abständen -etwa alle 7 Jahreeine Überarbeitung und Anpassung der Forderungen

Mehr