IT-Compliance: Die praktische Umsetzung von Compliance-Anforderungen mit Hilfe von Best Practices

Größe: px
Ab Seite anzeigen:

Download "IT-Compliance: Die praktische Umsetzung von Compliance-Anforderungen mit Hilfe von Best Practices"

Transkript

1 IT-Compliance: Die praktische Umsetzung von Compliance-Anforderungen mit Hilfe von Best Practices Autoren: Alexander Meisel, Presales Consultant, iet Solutions Ralf Buchsein, Geschäftsführer, KESS DV-Beratung

2 Inhaltsverzeichnis Einleitung... 3 Was ist IT-Compliance?... 3 Welche Unternehmen unterliegen Compliance-Anforderungen?... 3 IT-Governance und IT-Compliance: Klärung der Begrifflichkeiten... 4 Der Nutzen von IT-Compliance für Unternehmen... 4 Risiko-Management ist keine Kür, sondern Pflicht... 5 IT-Compliance: Unterstützung durch ITIL, ISO und COBIT... 6 Über COBIT... 7 Über ITIL... 7 Über die ISO-Normen... 8 Die Zusammenführung der Best Practices... 8 Nutzenbeispiel: Configuration Management... 9 Erstellung von CMDB und Baseline...10 Identifikation und Wartung von Configuration Items und Überprüfung der Datenqualität...10 Wirtschaftlicher Nutzen für Unternehmen...11 Nutzenbeispiel: Change Management Wirtschaftlicher Nutzen für Unternehmen...13 Nutzenbeispiel: Service Level Management Wirtschaftlicher Nutzen für Unternehmen...14 Zusammenfassung: Maßnahmen zur Sicherstellung der IT-Compliance Anhang 1: Quellen Anhang 2: Einige Gesetze und Vorgaben zur IT Compliance , iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 2 von 17

3 Einleitung Die IT nimmt in den Kerngeschäftsprozessen einen hohen Stellenwert ein. Die Geschäftsprozessunterstützung der IT Services reicht von Vertriebsprozessen, über Buchhaltungs- und Logistikprozesse bis hin zum Betrieb von Fertigungsanlagen. Ein Ausfall der IT Services kann große Schäden verursachen und zum Beispiel die Produktion stilllegen oder sogar den Fortbestand des Unternehmens gefährden, falls die Störung länger andauert. Aus diesem Grund rät Gartner dringend dazu, eine Business Impact Analyse durchzuführen, um die Überlebensfähigkeit des Unternehmens im Krisenfall sicherzustellen. 28% der auf dem Business Continuity Management Summit 2007 von Gartner befragten Information Security und Risk Management Spezialisten berichteten, dass ihre letzte Disaster Recovery Übung die angestrebten Ziele erreichte. 61% der Befragten gaben jedoch an, dass es bei den Tests zu Problemen kam 1. Risiko-Management als Teil der Unternehmensführung wurde in den vergangenen Jahren vor allem im Zusammenhang mit spektakulären Pleiten und Korruptionsaffären diskutiert. Diese haben die Gesetzgeber dazu bewogen, den Umgang mit Unternehmensrisiken gesetzlich zu steuern. Aus einer Vielzahl dieser Gesetze wie zum Beispiel KonTraG 2, SOX, 8. EU-Richtlinie (auch als EuroSOX bezeichnet) und Branchen-Vorgaben wie zum Beispiel GxP leiten sich hohe Anforderungen an den IT-Bereich ab. Eine absolute Sicherheit für Unternehmen und IT kann und wird es nie geben durch ein vorbeugendes IT Service Management kann jedoch ein größtmögliches Maß an Sicherheit und Schadensvermeidung sichergestellt werden. Was ist IT-Compliance? Unter Compliance versteht man die Gesamtheit aller Maßnahmen, um das rechtlich und ethisch korrekte Verhalten von Firmen, Organen und Mitarbeitern zu gewährleisten. Darunter werden alle Handlungen zusammengefasst, welche die dauerhafte Einhaltung von Gesetzen, branchenspezifischen Richtlinien und Unternehmenskodizes für die Unternehmensführung beschreiben. Compliance soll das Untenehmen vor Fehlverhalten bewahren, welches zu Image-Schäden und dem Verfehlen von Unternehmenszielen führen kann. Sie soll außerdem die Interessen von Mitarbeitern, Kunden und Handelspartnern schützen. Welche Unternehmen unterliegen Compliance-Anforderungen? In erster Linie sind Aktiengesellschaften und GmbHs betroffen, da hier Geschäftsführer und Vorstände persönlich für die Einhaltung der gesetzlichen Regelungen haftbar gemacht werden können. 1 Quelle: Gartner Inc., 2007 BCM Survey Results 2 Alle in diesem Dokument genannten Gesetze und Richtlinien werden im Anhang 2 erläutert. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 3 von 17

4 Bei deren Missachtung drohen zivil- und strafrechtliche Sanktionen. So sieht das Bundesdatenschutzgesetz eine Freiheitsstrafe von bis zu zwei Jahren oder eine Geldstrafe bei Zuwiderhandlung vor. Durch Richtlinien wie Basel II zur Kreditvergabe oder die 8. EU-Richtlinie zur Regelung von Unternehmensabschlüssen besteht jedoch für nahezu jedes Unternehmen Handlungsbedarf in Sachen Compliance. Die Überprüfung der Einhaltung erfolgt durch interne Prüfungen wie Revisionen sowie durch externe Prüfungen durch Wirtschafts-/Abschlussprüfer, Börsenaufsicht etc. Ernst & Young identifizierte in seiner Studie Strategic Business Risk: 2008 The Top 10 Risks for Global Business regulatorische Anforderungen als eines der größten Risiken für Unternehmen. IT-Governance und IT-Compliance: Klärung der Begrifflichkeiten Aus den Compliance-Anforderungen an die Unternehmensführung leiten sich hohe Anforderungen an alle Unternehmensbereiche und vor allem auch an die IT ab. Diese Anforderungen an die IT werden unter dem Begriff der IT-Compliance zusammengefasst. Der Begriff IT-Compliance ist nicht normiert. Das IT-Governance Institute definiert IT-Compliance als Einhaltung und Umsetzung von regulatorischen Anforderungen im weitesten Sinne mit dem Ziel eines verantwortungsvollen Umgangs mit allen Aspekten der Informationstechnik. Im Rahmen der IT-Compliance werden neben technischen Faktoren auch alle relevanten Schnittstellen der IT betrachtet wie zum Beispiel die Beziehungen zu externen Lieferanten. IT-Compliance hat die Einhaltung der übergeordneten Compliance-Anforderungen an das Unternehmen IT-seitig zu gewährleisten. Sie ist ein Teilbereich der IT-Governance, welche alle Maßnahmen zur Organisation, Steuerung und Kontrolle der IT-Systeme beschreibt. Welchen Stellenwert IT-Governance und Compliance heute innehaben belegt die Studie "IT-Governance Global Status Report 2008". Für diese Studie befragte das IT-Governance Institute (ITGI) 750 C-Level Manager aus 23 Ländern zu IT-Governance. 34% der Befragten sind derzeit dabei, Prozesse und Abläufe zur IT-Governance zu implementieren. Das sind gut 50% mehr als noch zwei Jahre zuvor. Der Nutzen von IT-Compliance für Unternehmen An der Einhaltung von Gesetzen und Richtlinien führt kein Weg vorbei; IT-Compliance bietet aber auch Chancen. Eine sichere IT-Umgebung bewirkt wirtschaftliche Vorteile und sichert den Fortbestand des Unternehmens durch die Reduzierung von Risiken. Untersuchungen zufolge geben Firmen ohne ein effizientes Lizenz Management bis zu 60% zu viel für ihre Software aus und ca. 80% des IT-Budgets fließen in die Wartung der IT-Infrastruktur. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 4 von 17

5 Mit der Etablierung von Prozessen, Kontrollen und Steuerungsmechanismen zur IT-Compliance können Firmen wirtschaftlichen Nutzen realisieren wie zum Beispiel: 1. Kosteneinsparungen, durch: Erkennen von Überlizenzierung und ein umsichtigeres Lizenz-Management Ermitteln nicht genutzter Soft- und Hardware und deren Umverteilung oder Kündigung Reduzierung von Ausfällen in den Kerngeschäftsprozessen durch Ausrichtung der Service Level an den Prozessen 2. Steigerung der Produktivität, durch: optimierte Ausrichtung der IT Services an den Geschäftsanforderungen Risiko-Management ist keine Kür, sondern Pflicht Hintergrund vieler Compliance-Anforderungen ist die Reduzierung von Risiken. Eines der wichtigsten Gesetze in diesem Zusammenhang ist der Sarbanes-Oxley-Act (SOX). Mit diesem Gesetz reagierte die amerikanische Regierung auf eine Reihe von Bilanzskandalen wie zum Beispiel WorldCom, der größten Firmenpleite innerhalb der USA. Für das Risiko-Management im Unternehmen ist ein internes Kontrollsystem (IKS) die Basis zur Unternehmenslenkung. Abschlussprüfer kontrollieren die vorhandenen Überwachungssysteme inklusive der etablierten Risiko-Management-Prozesse sowie den zugehörigen Risiko-Früherkennungssystemen. Im Mai 2006 erließ die EU die 8. EU-Richtlinie über Abschlussprüfungen von Jahresabschlüssen und konsolidierten Abschlüssen. Mit der 8. EU-Richtlinie werden neue und erweiterte Regelungen für Wirtschaftsprüfer in ihrer Rolle als Abschlussprüfer in Kraft gesetzt. Die Anforderungen von EuroSOX haben auch Konsequenzen für den IT-Bereich. So muss die IT die Steuerung der Infrastruktur, der Applikationsentwicklung und der -pflege sicherstellen, alle relevanten Daten und Dokumente archivieren sowie die Kontrolle und Sicherheit des Berichtswesens gewährleisten. Die 8. EU-Richtlinie ist bis spätestens 29. Juli 2008 in nationales Recht umzuwandeln und relevant für alle Kapitalgesellschaften und Unternehmen von so genannter öffentlicher Bedeutung. Ein Artikel der Computerwoche vom 11. Juni 2008 tituliert IT-Chefs nehmen EuroSOX auf die leichte Schulter. Der Bericht macht deutlich, dass sich über 50% der befragten Unternehmen der Anforderungen, die mit EuroSOX auf sie zukommen, nicht bewusst sind. Doch nicht alle Anforderungen, die hier definiert werden, sind gänzlich neu. So fordert bereits das KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) eine umfassende IT- und TK-Dokumentation und das HGB die Einhaltung der Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), mit der Erstellung einer Verfahrensdokumentation für jedes IT-System. Letztendlich führen alle Anforderungen zum Aufbau eines internen Kontrollsystems bestehend aus systematisch gestalteten organisatorischen Maßnahmen und 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 5 von 17

6 Kontrollen. Diese dienen der Einhaltung von Richtlinien und zur Abwehr von Schäden, die durch Mitarbeiter oder Dritte verursacht werden können. Alle Maßnahmen und Kontrollen können sowohl technischer als auch organisatorischer Art sein. IT-Compliance: Unterstützung durch ITIL, ISO und COBIT Für den "IT-Governance Global Status Report 2008" des ITGI wurde das Management zu seinen Prioritäten und Aktivitäten hinsichtlich der IT-Governance, sowie zur Notwendigkeit unterstützender Tools und Services befragt. 24% der Befragten gaben an, die IT Infrastructure Library (ITIL) und die ISO zur Umsetzung der IT-Governance zu nutzen. Die Kenntnis des COBIT-Frameworks hat die 50%-Marke überschritten und sich seit 2005 fast verdoppelt. Die Verwendung von COBIT hat sich von 8% im Jahr 2005 auf 16% verdoppelt. Dieses Ergebnis legt nahe, dass ein Großteil der Unternehmen auf mehr als einen Best Practice Ansatz setzt, um IT-Governance umzusetzen. Zum selben Ergebnis kommt eine Umfrage der Enterprise Strategy Group (ESG) aus dem Jahr Die ESG befragte Unternehmen aus den USA mit mehr als 1000 Mitarbeitern zur Nutzung von Best Practices und den Gründen. Die am häufigsten genannten Best Practices waren ITIL, ISO/IEC und COBIT. Interessantes Resultat der ESG-Umfrage: Für 76% der Unternehmen, die sich an allen drei Richtlinien orientieren, waren hohe regulatorische Anforderungen der Grund für die Projekte und Investitionen. Im Gegensatz dazu gaben nur 44% der Unternehmen, die sich ausschließlich nach ITIL richten, an, diese wegen regulatorischer Anforderungen umzusetzen. Bei der Ausrichtung an Best Practices gilt es also, die eigenen Ziele und Anforderungen genau zu prüfen, um dann die geeigneten Steuerungssysteme und Prozesse zu implementieren. ITIL stellt hierzu heraus: Ein wirkungsvolles IT Service Management entsteht durch die Nutzung von Best Practices (Standards) und deren Ausrichtung an den spezifischen Fähigkeiten der eigenen Organisation. Abbildung 1: Überschneidung von ITIL, COBIT, ISO und COSO, ISACA 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 6 von 17

7 Über COBIT COBIT ist ein international anerkannter Standard für Sicherheit, Qualität und Ordnungsmäßigkeit in der Informationstechnologie. High-Level Control Objectives dokumentieren das Ziel eines Prozesses und definieren die zu erreichende Mindestanforderung. Zusätzlich sind detaillierte Control Objectives beschrieben, welche als Best Practices für das Management des jeweiligen Prozesses angesehen werden. Beispiel für den Prozess Manage Changes (COBIT, A16 Manage Changes) Die High-Level Control Objectives fordern als Zielsetzung, dass sämtliche Changes an der Infrastruktur und den Applikationen in der produktiven Umgebung nach standardisierten Methoden und Verfahren vorgenommen werden. Dazu zählen auch Notfall- Changes und Patches. Jeder Change muss vor der Implementierung aufgezeichnet, bewertet und autorisiert sowie nach der Implementierung anhand der geplanten Ergebnisse überprüft werden. Diese Aktivitäten schließen Changes an Verfahren, Prozessen, Systemen und Services ein. Durch diese Aktivitäten sollen Risiken minimiert Abbildung 2: Kernbereiche der ITwerden, wie zum Beispiel negative Auswirkungen auf Governance, A16, COBIT 4.1 die Stabilität und Integrität der Produktivumgebung. COBIT definiert für den Prozess Manage Changes insgesamt sechs detaillierte Control Objectives. Eines der detaillierten Control Objectives lautet Notfall Changes (A16.3: Emergency Changes). Dieses Control Objective fordert, einen Prozess für die Definition, Aufnahme, Beurteilung und Genehmigung von Notfall-Changes zu erstellen. Dokumentationen und Tests können unter Umständen auch nach der Implementierung erfolgen. Die COBIT Control Objectives stellen für Auditoren wesentliche Kriterien für die Überprüfung und Beurteilung der implementierten IT-Prozesse dar. Über ITIL Auch wenn ITIL gern als Standard bezeichnet wird, so ist ITIL nur ein Satz an Best Practice Leitlinien für das IT Service Management. ITIL umfasst Richtlinien zur Bereitstellung qualitätsbasierter IT Services sowie zu den unterstützenden Prozessen und Maßnahmen. In ITIL V3 wird erstmals der gesamte Service Lifecycle von IT Services beschrieben. Dies schließt bewährte Methoden und notwendige Aufgaben wie das Risiko-Management ein. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 7 von 17

8 Mit der Version 3 gehen die ITIL Best Practices einen Schritt weiter als bisher: So wird nicht mehr eine bessere Ausrichtung der IT-Organisation an den Geschäftsprozessen und Kundenanforderungen angestrebt, sondern die Integration von IT und Business. Diese Integration ist vor allem in der zentralen Publikation Service Strategy beschrieben, die sich u.a. mit dem Thema der IT-Governance auseinandersetzt. Die Unterstützung eines Geschäftsprozesses wird in ITIL als Service bezeichnet. In der Definition für den Service findet sich die angestrebte Business-Integration wieder: Eine Möglichkeit, einen Mehrwert für Kunden zu erbringen, indem das Erreichen der von den Kunden angestrebten Ergebnisse erleichtert oder gefördert wird. Dabei müssen die Kunden selbst keine Verantwortung für bestimmte Kosten und Risiken tragen. In dieser Definition werden die Erbringung eines Mehrwertes für den Kunden und die angestrebten Ergebnisse herausgestellt. Konkretisiert für den Bereich der IT definiert ITIL IT Services wie folgt: Ein Service, der für einen oder mehrere Kunden von einem IT Service Provider bereitgestellt wird. Ein IT Service basiert auf dem Einsatz der Informationstechnologie und unterstützt die Business-Prozesse des Kunden. Ein IT Service besteht aus einer Kombination von Personen, Prozessen und Technologie und sollte in einem Service Level Agreement definiert werden. Über die ISO-Normen Eine Reihe von ISO-Normen ist komplementär zu ITIL zu betrachten und liefert messbare und zertifizierbare Qualitätskriterien für IT Service Management und IT-Sicherheit. Dazu gehören die ISO sowie die ISO Die ISO beschreibt Kontrollmechanismen für die Informationssicherheit während die ISO als messbarer Qualitätsstandard für das IT Service Management dient. Dazu werden in der ISO Mindestanforderungen an Prozesse spezifiziert, um IT Services in definierter Qualität bereitstellen zu können. Neu hinzugekommen ist die ISO/IEC (1) für "Corporate Governance in Information Technology". Diese ISO-Normen stehen nicht in Wettbewerb zu Best Practices wie zum Beispiel ITIL. ITIL definiert Leitlinien für das IT Service Management, enthält aber keine Mindestanforderungen. Deshalb kann auf Basis von ITIL keine Zertifizierung des IT Service Managements vorgenommen werden. Diese ermöglichen nur die ISO-Normen. So ergänzen sich Best Practices und ISO-Normen. Die Zusammenführung der Best Practices Allen Gesetzen und Richtlinien gemeinsam ist die Forderung nach dem Aufbau eines internen Kontrollsystems und eines Risiko-Managements. Als Best Practices unterstützen hierbei die ITIL Best Practices ebenso wie die ISO/IEC und oder das COBIT Framework. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 8 von 17

9 Ob Unternehmen sich an einer Richtlinie orientieren oder eine Mischform aus mehreren Best Practices wählen - für die Sicherstellung der IT-Compliance sind folgende Prozesse vorrangig, die sowohl in COBIT, als auch in ITIL und den ISO- Normen beschrieben sind: Configuration Management: Dokumentation der IT Services und deren Komponenten Change Management: Bewertung von Auswirkungen und Steuerung von Änderungen IT Service Continuity Management: Auswirkung auf die Geschäftsprozesse bei Ausfällen und Notfällen Service Level Management: Definition der IT Services und der Anforderungen der Geschäftsprozesse Availability Management: Gewährleistung eines kosteneffektiven und definierten Verfügbarkeitsniveaus für die IT Services Nutzenbeispiel: Configuration Management Das Configuration Management beschreibt den Prozess, der die Anforderungen des Unternehmens an die IT bezüglich der Maintenance und Optimierung von IT-Infrastruktur, Ressourcen und des Leistungsnachweises der IT-Anlagen erfüllt. Dies wird sichergestellt durch die Etablierung und Aufrechterhaltung eines Repository (COBIT) bzw. laut ITIL eines Configuration Management Systems (CMS), das aus mehreren Configuration Management Databases (CMDB) bestehen kann. Im CMS liegen Informationen, Konfigurationsdaten und Relationen der IT-Infrastruktur vor. Ziel des Configuration Management ist es: ein CMS zu etablieren Configuration Items (CIs) zu identifizieren und aktuell und korrekt zu halten die Datenqualität zu prüfen einen entsprechenden Prozess und Verantwortlichkeiten festzulegen und zu leben Mit der Lösung iet CMDB Discovery & Intelligence bietet iet Solutions eine Tool- Unterstützung zur Umsetzung der in COBIT definierten Control Objectives an, die sich auch in ITIL finden: Erstellung des zentralen Repositories/der CMDB und der Baseline Identifikation und Wartung von Configuration Items Überprüfung der Datenqualität 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 9 von 17

10 Erstellung von CMDB und Baseline Mit der Lösung iet CMDB Discovery erfassen IT-Verantwortliche den gesamten IT-Bestand - schnell und vollständig. Diese Lösung arbeitet agentenlos und ermittelt umfassende Informationen über das gesamte IT-Inventar inklusive Konfigurationsdaten, installierter Software, Hardware-Komponenten sowie Relationen zwischen Hardware-Komponenten. Die Praxis zeigt, dass es nicht sinnvoll ist, die CMDB initial mit allen vom Discovery-System gefundenen Daten zu füllen, sondern nach IT Services getrennt vorzugehen und die CMDB sukzessive zu erweitern (siehe iet Solutions Whitepaper CMDB in 5 Schritten ). Identifikation und Wartung von Configuration Items und Überprüfung der Datenqualität iet CMDB Intelligence ist eine intelligente Schnittstelle zwischen tatsächlicher IT-Infrastruktur und Configuration Management Database. Nach der Ermittlung des IT-Bestands über iet CMDB Discovery oder bereits im Unternehmen vorhandene Discovery-Lösungen werden die ermittelten Daten über einen Import-Server in eine IST-Datenbank, die sogenannte Inventory Staging Area geschrieben. Über Filter kann die Menge der in die CMDB zu importierenden Informationen beschränkt und zum Beispiel Daten wie detaillierte BIOS- Informationen vom Import ausgenommen werden. Abbildung 3: Die Lösung iet CMDB Discovery & Intelligence ermöglicht die Erstellung und Wartung einer korrekten und aktuellen CMDB. iet CMDB Intelligence zeigt beim Import der Daten in die CMDB Unterschiede zwischen tatsächlich ermittelten Assets und Konfigurationsdaten und bereits in der CMDB erfassten Informationen auf. Durch diesen Soll-/Ist-Vergleich werden Unterschiede sofort ersichtlich. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 10 von 17

11 Abbildung 4: iet CMDB Intelligence stellt die CMDB grafisch dar und kennzeichnet Unterschiede zwischen tatsächlicher Infrastruktur und CMDB. Wirtschaftlicher Nutzen für Unternehmen Mit der Einführung von Configuration Management kann wirtschaftlicher Nutzen für das Unternehmen realisiert werden durch erhöhte Transparenz und Nachvollziehbarkeit von Änderungen an der IT-Infrastruktur, die zu verbesserter Qualität und Minderung von Risiken und Störungen beitragen. Des Weiteren wirkt sich ein effizienter Prozess in einem reduzierten zeitlichen und finanziellen Aufwand für externe und interne Audits aus. Mit iet CMDB Discovery & Intelligence können Unternehmen die in COBIT definierten Leistungs- und Ziel-Indikatoren für das Configuration Management messen und damit den Anforderungen externer und interner Revisoren nachkommen. Nutzenbeispiel: Change Management Die Notwendigkeit, IT Services kontinuierlich anzubieten, erfordert die Entwicklung und Aufrechterhaltung von IT Service Continuity Plänen, die ausgelagerte Aufbewahrung von Sicherungskopien und das regelmäßige Testen von Notfallplänen. Ein wirksamer IT Service Continuity Management Prozess minimiert die Auswirkungen von Unterbrechungen auf die IT Services sowie die mögliche Beeinträchtigung der Geschäftsprozesse im Fall einer Störung. Notfallpläne müssen regelmäßig durch die Simulation eines Ernstfalls getestet und gegebenenfalls überarbeitet werden. Des Weiteren muss bei jedem Change geprüft werden, ob er sich auf den Notfallplan auswirkt. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 11 von 17

12 Die ISO sagt aus, dass sämtliche Informationen zur Verfügbarkeit und Service-Kontinuität mit den Verfügbarkeits- und Service-Kontinuitätsplänen verknüpft sein und mit dem Change Management interagieren müssen. Durch die Hinterlegung von IT Service Continuity Plänen in der CMDB kann im IT Service Management System die Verlinkung zu den IT Services hergestellt werden. Im Rahmen des Change-Prozesses ist damit auch sichergestellt, dass die Aktualisierung der Notfallpläne nach der Durchführung von Changes nicht vergessen wird. Das Change Management stellt sicher, dass Änderungen in einer kontrollierten Weise registriert, bewertet, autorisiert, priorisiert, geplant, geprüft, durchgeführt, dokumentiert und nach der Durchführung überprüft werden. Dies wird erreicht durch die Festlegung und Kommunikation von Verfahren für Änderungen an IT Services und Configuration Items. Vor allem die revisionssichere Dokumentation von Changes ist eine wesentliche Compliance-Anforderung. Mit iet ITSM Change Management verfügen Unternehmen über einen revisionssicheren Nachweis darüber, wann welche Komponente geändert wurde, wer diese Änderung durchgeführt hat, ob es zu dieser Änderung einen autorisierten Change gibt und von wem dieser autorisiert wurde. In der Configuration Management Database von iet ITSM können Notfallpläne als Configuration Items hinterlegt werden und durchlaufen damit den Change-Prozess. Abbildung 5: Change Management Modul in iet ITSM, iet Solutions Abbildung 6: Darstellung des Notfallplanes in der grafischen CMDB von iet ITSM, iet Solutions 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 12 von 17

13 Wirtschaftlicher Nutzen für Unternehmen Mit einem strukturierten Change Management vermeiden Unternehmen negative Auswirkungen auf ihre IT Services durch ein verbessertes Risiko-Management. Kosten können im Vorfeld genauer abgeschätzt und Ressourcen wirtschaftlicher eingesetzt werden. Unternehmen erhöhen die Qualität ihrer IT Services durch Verminderung nicht autorisierter oder fehlerhafter Changes sowie durch die Reduzierung von Incidents infolge eines schlecht analysierten Changes. Dies kann zu einer erheblich höheren Verfügbarkeit des IT Services für das Business und zu Zeiteinsparungen im Support führen. Nutzenbeispiel: Service Level und Availability Management Über den Prozess Service Level Management wird sichergestellt, dass das Serviceangebot der IT mit den Serviceanforderungen des Kunden in Einklang gebracht wird. Die vertragliche Vereinbarung der Serviceleistungen in Form von Service Level Agreements definiert die gewünschten und zu erreichenden Service Levels. Das Service Level Management enthält auch die Überwachung von Service Levels sowie die zeitnahe Berichterstattung über deren Erreichung. Die Zielerreichung wird unter anderem gemessen anhand: des Zufriedenheitsgrads der Kunden in puncto Erreichung der Service Level Ziele der Anzahl geleisteter Services, die nicht im Service Katalog enthalten sind der Anzahl formeller Überprüfungen der Service Level Agreements mit der Unternehmensleitung Um die vereinbarten Ziele bei der Bereitstellung der IT Services zu erreichen, werden häufig externe Leistungen wie zum Beispiel die Bereitstellung eines WAN (Wide Area Network) benötigt. Hierfür werden in der Regel Verträge mit externen Lieferanten (sogenannte Underpinning Contracts) abgeschlossen. Im Rahmen der Abschlussprüfungen sind diese Beziehungen zu externen Lieferanten darzustellen. Insbesondere im Rahmen des Risiko-Managements sind externe Lieferanten zu bewerten und es ist zu prüfen, welche Auswirkungen sich auf IT Services ergeben, wenn ein extern bezogener Service ausfällt bzw. nicht mehr in der geforderten Leistung oder Qualität bereitgestellt wird. In engem Zusammenhang mit dem Service Level Management steht das Availability Management. Das Availability Management stellt die benötigte Kapazität und Performance zur Erbringung der IT Services bereit und prüft, ob diese ausreichen, um die Leistungen entsprechend der Service Level Agreements zu erbringen. Performance und Kapazität von IT-Ressourcen müssen geplant werden, um sicherzustellen, dass kostenmäßig begründbare Kapazität und Performance verfügbar ist, um den in den Service Level Agreements festgelegten Workload zu bewältigen. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 13 von 17

14 Kapazitäts- und Performance-Pläne sollten geeignete Modellierungstechniken anwenden, um ein Modell der derzeitigen und künftigen Performance, Kapazität und des Durchsatzes der IT-Ressourcen zu erhalten. Mit iet ITSM Service Level Management und iet ITSM Availability Management können Unternehmen: Service Level Agreements inklusive Preisvereinbarungen verwalten und deren Einhaltung kontrollieren Operational Level Agreements und Underpinning Contracts inklusive Preisvereinbarungen verwalten Verfügbarkeiten messen, Downtimes berechnen sowie mean time to repair (MTTR) und mean time between failure (MTBF) auswerten Ziel-Abweichungen identifizieren Abbildung 7: Abweichung vom Service Level in iet ITSM, iet Solutions Wirtschaftlicher Nutzen für Unternehmen Die Einführung von Service Level Management stellt sicher, dass die vereinbarten Services mit transparenten Kosten und Leistungen wirtschaftlich erbracht werden können. Firmen gewährleisten damit, dass ihr Service-Katalog mit den Markt- bzw. Kundenanforderungen in Einklang ist. Die Einhaltung der Servicequalität und deren Berichterstattung ist zu jedem Zeitpunkt gewährleistet und Unternehmen haben ihre Dienstleistungsvereinbarungen stets unter Kontrolle. 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 14 von 17

15 Zusammenfassung: Maßnahmen zur Sicherstellung der IT-Compliance 1. Risiko-Bewertung durchführen Identifikation und Analyse der Risiken: technisch, menschlich, rechtlich anhand gesetzlicher Rahmenbedingungen und Richtlinien Risikoquellen strukturieren - Grad der Gefährdung in Relation zu den Kosten setzen, die durch die Gefahrenvermeidung entstehen 2. Management-Systeme und Prozesse zur Kontrolle und Steuerung von Risiken etablieren strategische Maßnahmen treffen, zum Beispiel o Ernennung eines Chief Information Security Officer (CISO) oder Compliance Managers o Erlass, Entwicklung und Verbesserung verbindlicher Unternehmensrichtlinien wichtige Bestandteile aller Maßnahmen: o Etablierung der Prozesse Configuration Management, Change Management, IT Service Continuity Management, Service Level Management, Availability Management o vertragliche Absicherung der Verfügbarkeit durch Service Level Agreements o wirksame Fall-Back-Strategie für Systemausfälle, zum Beispiel redundante Vorhaltung von Servern ständige Überwachung, um schnell und flexibel auf eventuell entstehende Sicherheitslücken reagieren zu können Entwicklung von Kontrollverfahren und Kommunikationsabläufen für IT- Sicherheit und getroffene Maßnahmen operative Maßnahmen treffen: Einrichtung von Virenschutz, Firewall, Content-Filter, Verschlüsselungen und Zugangsregelungen zu Systemen und Räumen geeignete Systeme und Tools etablieren 3. Schulung der Mitarbeiter 4. Testen, Testen, Testen Überprüfen der Sicherheitsmaßnahmen und Notfallpläne unter realen Bedingungen (Ernstfall simulieren) 5. Kontinuierliche Verbesserung fortwährende Anpassung der Sicherheitsmaßnahmen an veränderte Rahmenbedingungen 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 15 von 17

16 Anhang 1: Quellen Studie "IT-Governance Global Status Report 2008", IT-Governance Institute (ITGI) Strategic Business Risk: The Top 10 Risks for Global Business, Ernst & Young, 2007 COBIT 4.0, IT-Governance Institute, deutsche Übersetzung von KPMG Austria, 2005 IT-Management mit ITIL V3. Strategien, Kennzahlen, Umsetzung, 2. Auflage 2008, ISBN-13: learnitil v3, Pocket Book, Serview GmbH, 2008 SC Magazine US, Artikel ISO, ITIL and COBIT triple play fosters optimal security management execution, Umfrage zu Business Continuity Management (BCM) and Disaster Recovery (DR), 2007, Gartner Inc. IT-Chefs nehmen EuroSOX auf die leichte Schulter, , Anhang 2: Einige Gesetze und Vorgaben zur IT Compliance (in alphabetischer Reihenfolge) Basel II - europäische Banken- und Kapitaladäquanzrichtlinie: sieht vor, dass Banken vor einer Entscheidung über die Kreditvergabe an ein Unternehmen eine umfassende Bonitätsbewertung vornehmen müssen / Bei diesem Rating bewertet die Bank unter anderem die operationellen Risiken, dazu gehören auch die IT-Risiken. BDSG Bundesdatenschutzgesetz: regelt den Umgang mit personenbezogenen Daten, die insbesondere in EDV-Systemen verarbeitet werden / Paragraf 9 des BDSG verpflichtet die Wirtschaft, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. EuroSOX: wird häufig als Begriff für die 8. EU-Richtlinie verwendet, siehe 8. EU-Richtlinie GxP: bezeichnet alle Richtlinien für "gute Arbeitspraxis", welche insbesondere in der Medizin, der Pharmazie und der pharmazeutischen Chemie Bedeutung haben / Die Food and Drug Administration (FDA) kontrolliert zum Schutz der Verbraucher Herstellung, Lagerung und Verkauf von Produkten der Pharma- und Nahrungsmittelindustrie; betrifft Unternehmen in den USA, Töchter US-amerikanischer Firmen und Unternehmen, die ihre Produkte auf dem US-Markt vertreiben. GDPdU - Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen: Gesetzgebung rund um digitale Steuerprüfung, revisionssichere Langzeitarchivierung von Geschäftsdaten nach HGB/AO und GDPdU, Aufbewahrungsvorschriften nach Abgabenordnung und GDPdU GmbH-Gesetz: Geschäftsführern einer GmbH wird im GmbH-Gesetz die Sorgfalt eines ordentlichen Geschäftsmannes auferlegt ( 43 Abs. 1 GmbHG). GOB - Gesetz zur ordnungsgemäßen Buchführung: Regeln zur Buchführung und Bilanzierung, die sich auf Richtigkeit, Klarheit, und Vollständigkeit beziehen 2008, iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 16 von 17

17 IT-Grundschutzhandbuch des Bundesamts für die Sicherheit in der Informationstechnik: regelt die Einhaltung bestimmter Sicherheitsstandards, welche die Verfügbarkeit, Vertraulichkeit und Integrität von Informationen durch Sicherheitsvorkehrungen in beziehungsweise bei der Anwendung von informationstechnischen Systemen oder Komponenten betreffen KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich / Der Vorstand einer Aktiengesellschaft muss "insbesondere ein Überwachungssystem einrichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden", so Paragraf 91 Absatz 2 des Aktiengesetzes. Diese Vorschrift gilt nicht nur für Aktien-, sondern auch für andere Kapitalgesellschaften, also auch und insbesondere für die GmbH. SigG - Signaturgesetz: bestimmt den Einsatz der elektronischen (digitalen) Signatur zum Beispiel beim Erstellen und Versenden digitaler Rechnungen SOX Sarbanes-Oxley-Act (USA): US-Gesetz zur verbindlichen Regelung der Unternehmensberichterstattung; betrifft Unternehmen in den USA sowie Töchter US-amerikanischer Firmen TKG: Telekommunikationsgesetz beim Bundesministerium der Justiz TMG - Telemediengesetz: regelt die rechtlichen Rahmenbedingungen für sogenannte Telemedien in Deutschland / Zu den Telemedien gehören nahezu alle Angebote im Internet wie Webshops, Online-Auktionshäuser, Suchmaschinen, Webmail-Dienste, Informationsdienste, Podcasts, Chatrooms, Communities und Webportale. Auch private Websites und Blogs gelten als Telemedien. 8. EU Richtlinie: Richtlinien der Europäischen Kommission, die an die US-amerikanische SOX-Gesetzgebung angelehnt sind / Dabei geht es um Vorgaben für nationale Gesetze über Aktionärssicherheit sowie unabhängige Rechnungs- und Abschlussprüfung von Unternehmen bestimmter Rechtsformen (insbesondere in den öffentlich gehandelten Aktiengesellschaften). Die 8. EU-Richtlinie fordert ein wirksames internes Kontrollsystem und damit auch Risiko-Management von den Unternehmen. iet Solutions GmbH Boschetsrieder Str München Deutschland Tel.: +49/89/ Fax: +49/89/ Copyright iet Solutions, Alle Rechte vorbehalten. ietsolutions, iet und das iet Logo sind eingetragene Warenzeichen von iet Solutions, LLC in den USA und/oder anderen Ländern. Sonstige Produkte, Marken und Warenzeichen sind Eigentum der jeweiligen Eigentümer/Unternehmen. ITIL is a Registered Trade Mark, and a Registered Community Trade Mark of the Office of Government Commerce, and is Registered in the U.S. Patent and Trademark Office KESS DV-Beratung GmbH Josef-Dietzgen-Straße Hennef Tel.: +49/2242/ Fax: +49/2242/ , iet Solutions in Zusammenarbeit mit KESS DV-Beratung Seite 17 von 17

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Der gläserne Unternehmer im Fokus des Staates

Der gläserne Unternehmer im Fokus des Staates IT_kom am 18. September 2008 in Mainz Sven Liebeck, dubois it-consulting gmbh Produktion Vertrieb IT- / TK- Systeme Einkauf Verwaltung Informationssicherheit Informationssicherheit gehört zu den wichtigsten

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Der Blindflug in der IT - IT-Prozesse messen und steuern -

Der Blindflug in der IT - IT-Prozesse messen und steuern - Der Blindflug in der IT - IT-Prozesse messen und steuern - Ralf Buchsein KESS DV-Beratung GmbH Seite 1 Agenda Definition der IT Prozesse Ziel der Prozessmessung Definition von Prozesskennzahlen KPI und

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Vorlesung Hochschule Esslingen IT-Winter School 2013

Vorlesung Hochschule Esslingen IT-Winter School 2013 Service - ITIL V3 Leitfaden für Vorlesung für Vorlesung Vorlesung Hochschule Esslingen IT-Winter School 2013 Einführung in die IT Infrastructure Library (ITIL) Agenda 1 Was ist ITIL? 2 Wieso ITIL, mit

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Michael Grünschloß - Geschäftsführer der Teraport GmbH -

Michael Grünschloß - Geschäftsführer der Teraport GmbH - IT-Betriebsverantwortung durch externe Spezialisten Wie Managed Services dem Mittelstand helfen, die eigenen Strategien umzusetzen Michael Grünschloß - Geschäftsführer der Teraport GmbH - Regulatorische

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Planung und Umsetzung von IT-Compliance in Unternehmen

Planung und Umsetzung von IT-Compliance in Unternehmen Planung und Umsetzung von IT-Compliance in Unternehmen Ein kurzer Überblick über die wichtigsten Regelungen. Zu meiner Person Dipl. Informatiker (IANAL) Seit mehr als 15 Jahren unterstütze ich Unternehmen

Mehr

Modul 5: Service Transition Teil 1

Modul 5: Service Transition Teil 1 Modul 5: Service Transition Teil 1 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung

Mehr

GRC-Modell für die IT Modul GRC-Self Assessment 1

GRC-Modell für die IT Modul GRC-Self Assessment 1 GRC-Modell für die IT Modul GRC-Self Assessment 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt ()

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System 7. INFORMATION-SECURITY-SYMPOSIUM, WIEN 2011 DI Markus Hefler, BSc, Florian Hausleitner 1 Agenda 1. Kurze Vorstellung

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert

Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert ? organisiert Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation ist? Sie müssen ein QM-System: aufbauen, dokumentieren, verwirklichen, aufrechterhalten und dessen Wirksamkeit ständig

Mehr

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13 Service Transition Martin Beims WKV SS13 Karsten Nolte Inhalt Einführung & Ziele Transition Planning & Support Change Management Service Asset & Configuration Management Release & Deployment Management

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr

IT-Governance und COBIT. DI Eberhard Binder

IT-Governance und COBIT. DI Eberhard Binder IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June Software EMEA Performance Tour 2013 Berlin, Germany 17-19 June Change & Config Management in der Praxis Daniel Barbi, Solution Architect 18.06.2013 Einführung Einführung Wer bin ich? Daniel Barbi Seit

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Energieeffiziente IT

Energieeffiziente IT EnergiEEffiziente IT - Dienstleistungen Audit Revision Beratung Wir bieten eine energieeffiziente IT Infrastruktur und die Sicherheit ihrer Daten. Wir unterstützen sie bei der UmsetZUng, der Revision

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation Inhaltsverzeichnis zu Praxisbuch IT-Dokumentation von Georg und Manuela Reiss ISBN (Buch): 978-3-446-43780-7 ISBN (E-Book): 978-3-446-43833-0 Weitere Informationen und Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-43780-7

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE CHANGE PROCESS DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE I CHANGE PROCESS

Mehr

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL Orientierung organisiertes IT Management in der BWI IT auf Basis ITIL 97. AFCEA-Fachveranstaltung Diensteorientierung aber mit Management Heiko Maneth, BWI IT Delivery, Leitung Prozessarchitektur und -management

Mehr

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

COBIT 5/ITIL-Convergence?

COBIT 5/ITIL-Convergence? IT-Tagung 2012 COBIT 5/ITIL-Convergence? Massood Salehi 1 Agenda Ursachen für den fehlenden Gorvernance in den Unternehmen Die Stellung von COBIT im Unternehmen ITIL Sicht im Betrieb Parallelen und Unterschiede

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

Aktuelle Themen der Informatik

Aktuelle Themen der Informatik Aktuelle Themen der Informatik Change Management Michael Epple AI 8 Inhalt: 1. Einführung 2. Begriffsbestimmungen 3. Ablauf des Change Management Prozesses 4. Zusammenhang zwischen Change Management, Configuration

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

EFFIZIENTES ENTERPRISE SERVICE MANAGEMENT: FLEXIBEL, ITIL-KONFORM UND OUT OF THE BOX

EFFIZIENTES ENTERPRISE SERVICE MANAGEMENT: FLEXIBEL, ITIL-KONFORM UND OUT OF THE BOX THEGUARD! SERVICEDESK EFFIZIENTES ENTERPRISE SERVICE : FLEXIBEL, ITIL-KONFORM UND OUT OF THE BOX EFFIZIENTES ENTERPRISE SERVICE : FLEXIBEL, ITIL-KONFORM UND OUT OF THE BOX THEGUARD! SERVICEDESK Im Fokus

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Dr. Stefan Schlawien Rechtsanwalt stefan.schlawien@snp-online.de Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Das Thema der Korruption betrifft nicht nur!großunternehmen"

Mehr

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr.

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Holger Sörensen Die Aufgaben des Prüfungsausschusses: Agenda Gesetzestexte Organisatorische

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

Managementsystems (IMS) (Schwerpunkte der DQS-Auditierung) DQS GmbH DQS GmbH

Managementsystems (IMS) (Schwerpunkte der DQS-Auditierung) DQS GmbH DQS GmbH Dokumentation eines integrierten Managementsystems (IMS) (Schwerpunkte der DQS-Auditierung) DQS Forum 4. November 2010, Dortmund Umfang der Dokumentation ISO 14001: "Das übergeordnete Ziel dieser Inter-

Mehr

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen Erfolg des Risk- und Notfall-Managements in Ihrem Unternehmen 1 Inhalt Das Zusammenspiel zwischen externem Partner und internen Funktionen Notfallhandbuch von der Stange oder doch als Maßanfertigung Ansätze

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN

IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN IKS PRAKTISCHE UMSETZUNG BEI GEMEINDEN Verband der Verantwortlichen für Gemeindefinanzen und Gemeindesteuern des Kantons Basel-Landschaft (VGFS-BL) PIRMIN MARBACHER 26. NOVEMBER 2010 AGENDA Ausgangslage

Mehr

Praxisbuch IT-Dokumentation

Praxisbuch IT-Dokumentation Manuela Reiss Georg Reiss Praxisbuch IT-Dokumentation Betriebshandbuch, Systemdokumentation und Notfallhandbuch im Griff HANSER Vorwort XI 1 Anforderungen an die IT-Dokumentation 1 1.1 Was heißt Compliance?

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

Gemeinsamkeiten, Unterschiede, Nutzen. Referent: Klaus P. Steinbrecher. 2010 KPS Consulting LLC, Angel Fire, NM, 87710 USA

Gemeinsamkeiten, Unterschiede, Nutzen. Referent: Klaus P. Steinbrecher. 2010 KPS Consulting LLC, Angel Fire, NM, 87710 USA Gemeinsamkeiten, Unterschiede, Nutzen Referent: Klaus P. Steinbrecher, Angel Fire, NM, 87710 USA 1 Was ist ITIL? Kurze Historie, Zielvorstellung Vorschrift oder Empfehlung? Unterschied zwischen V2 und

Mehr

Modul 2: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung)

Modul 2: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung) Modul 2: Geschäftsprozesse, SLA, ITIL und CMDB (Fortsetzung) M. Leischner Netzmanagement Folie 1 Was haben wir letzte Stunde gelernt? - Wiederholung Erklären Sie folgende Begriffe: Grundidee Netz als Fabrik

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Universität Zürich Prorektorat Rechts- und Künstlergasse 15 CH-8001 Zürich Telefon +41 44 634 57 44 www.rww.uzh.ch IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Version vom 6. Juni 2014

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen Peter T.Köhler 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. ITIL Das IT-Servicemanagement Framework Mit 209 Abbildungen

Mehr

Modul 3: Service Transition Teil 2

Modul 3: Service Transition Teil 2 Modul 3: Service Transition Teil 2 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management) Bestimmungen zur Kontrolle externer Lieferanten BCM (Business Continuity Management) BCM- Bestimmungen Beschreibung BCM-Tiers Recovery Time Objective Über die Bedeutung 1. Business- Continuity- Management-

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Enterprise Information Management

Enterprise Information Management Enterprise Information Management Risikominimierung durch Compliance Excellence Stefan Schiller Compliance Consultant Ganz klar persönlich. Überblick Vorstellung The Quality Group Status Quo und Herausforderungen

Mehr

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger.

I T I L. ITIL ein systematisches und professionelles Vorgehen für. das Management von IT Dienstleistungen. Andreas Henniger. I T I L ITIL ein systematisches und professionelles Vorgehen für das Management von IT Dienstleistungen. 1 ITIL Was ist ITIL? ITIL wurde von der Central Computing and Telecommunications Agency (CCTA) entwickelt,

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

ITSM (BOX & CONSULTING) Christian Hager, MSc

ITSM (BOX & CONSULTING) Christian Hager, MSc ITSM (BOX & CONSULTING) Christian Hager, MSc INHALT Ausgangssituation ITSM Consulting ITSM Box Zentrales Anforderungsmanagement Beispielhafter Zeitplan Nutzen von ITSM Projekten mit R-IT Zusammenfassung

Mehr

Risiko- und Compliancemanagement mit

Risiko- und Compliancemanagement mit Risiko- und Compliancemanagement mit avedos a Mag. Samuel Brandstaetter Geschäftsführer, CEO avedos business solutions gmbh Mobil: +43 664 21 55 405 samuel.brandstaetter@avedos.com avedos - Zielsetzung

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Joel Hencks Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Joel Hencks AeroEx 2012 1 1 Agenda Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management Management System

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

IT-Service-Management mit ITIL 2011 Edition

IT-Service-Management mit ITIL 2011 Edition Roland Böttcher IT-Service-Management mit ITIL 2011 Edition Einführung, Zusammenfassung und Übersicht der elementaren Empfehlungen 3., aktualisierte Auflage Heise Prof. Dr. Roland Böttcher roland.boettcher@hs-bochum.de

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl Cloud-Computing - rechtliche Aspekte Forum 7-it RA Rainer Friedl München, 16. November 2015 Verpflichtung zur IT-Compliance: Haftung des Vorstands/Geschäftsführer für IT-Risiken» Vorstandspflicht bei AGs

Mehr

ITIL Foundation 2011 Eine Zusammenfassung von Markus Coerdt

ITIL Foundation 2011 Eine Zusammenfassung von Markus Coerdt Service Strategy ITIL Foundation 2011 Service Strategy ist der Entwurf einer umfassenden Strategie für IT Services und IT Service Management. Komponenten der Wertschöpfung Geschäfts- Ergebnisse WERT Präferenzen

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin INFORA GmbH Martin Krause Cicerostraße 21 10709 Berlin Tel.: 030 893658-0 Fax: 030 89093326 Mail: info@infora.de www.infora.de Agenda Die Ausgangssituation

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Das Oracle Release- und Patch- Management unter ITIL in der Praxis

Das Oracle Release- und Patch- Management unter ITIL in der Praxis Das Oracle Release- und Patch- Management unter ITIL in der Praxis Kunde: DOAG Ort: Stuttgart Datum: 03.06.2008 Reiner Wolf, Trivadis AG Reiner.Wolf@trivadis.com Basel Baden Bern Lausanne Zürich Düsseldorf

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr