AuditBasics Informationsunterlagen

Größe: px
Ab Seite anzeigen:

Download "AuditBasics Informationsunterlagen"

Transkript

1 AuditBasics Informationsunterlagen

2 Inhaltsverzeichnis 1. AuditBasics Flyer Die Software-Lösung für das systemübergreifende, dynamische Audit Seite 3 2. Flyer Einhaltung von Gesetzen und Richtlinien mit AuditBasics Seite 7 3. Überblick zu den IT-Sicherheits-Richtlinien und Gesetzen Seite Flyer AuditBasics-Einsatz im dynamischen Auditprozess auf Basis der IT-Grundschutzkataloge des BSI Seite AuditBasics-Policies Seite AuditBasics- Presseberichte Seite 51

3 1. AuditBasics Flyer Die Software-Lösung für das systemübergreifende, dynamische Audit

4 Die Software-Lösung für das systemübergreifende, dynamische IT-Audit Mit AuditBasics decken Sie kritische Zustände und Ereignisse in Ihren IT-Systemen auf und stellen eine kontinuierliche und dokumentierte Überwachung sicher. AuditBasics by DEMAL

5 Permanente Überwachung Ihrer IT-Sicherheit Die IT in ihrer Gesamtheit spielt in Unternehmen und Institutionen eine immer bedeutendere Rolle. Ausfälle und Störungen sind folgenreich. Entsprechend wichtig ist ein hohes Maß an Daten- und IT-Sicherheit. Datenflut bremst die IT-Sicherheit Pro Sekunde werden mehrere tausend Sicherheitsmeldungen durch die verschiedenen IT-Systeme protokolliert. Für die meisten IT-Abteilungen ist die Datenmenge jedoch viel zu groß, um sie sorgfältig sammeln, abgleichen, analysieren und Sicherheitsbedrohungen identifizie- ren zu können. Dabei liefert häufig erst der Überblick über alle Systeme die wichtigen Erkenntnisse. Gesetzliche Anforderungen nehmen zu Eine wachsende Zahl an nationalen und internationalen Gesetzen und Richtlinien stellt hohe Anforderungen an die IT-Sicherheit und das Berichtswesen. Gefordert werden unter anderem umfangreiche IT-Sicherheits-Audits. Bei Nichteinhaltung drohen persönliche Haftung (z.b. nach KonTraG), Marktzugangsbarrieren (z.b. nach SOX) oder auch Schwierigkeiten bei der Kreditaufnahme (z.b. wegen Basel II). AuditBasics Werkzeug für das dynamische IT-Audit aller Systeme AuditBasics ist eine systemübergreifende und plattformunabhängige Software-Lösung. Mit ihr werden strukturierte und unstrukturierte Daten der unterschiedlichsten Systeme permanent erfasst, überwacht und einheitlich ausgewertet. AuditBasics analysiert schnell und effizient Systeminformationen wie z.b. Event-Logs oder Config- Logs. Die Ergebnisse werden automatisch in Berichten aufbereitet und an die jeweils zuständigen Stellen versendet. AuditBasics ist somit im gesamten Auditprozess einsetzbar - von der Erstanalyse bis zur dauerhaften Überwachung. Zeit- und Kostenersparnis durch vordefinierte Policies Auswertungsvorschriften (Policies), welche die DEMAL mit Partnern aus der Wirtschaft und BSI-Auditoren entwickelt hat, bilden ein ideales Fundament für ein dynamisches Audit. Sie stehen für die Systeme z/os, Windows, UNIX und OS/400 zur Verfügung. Individuelle Policies, beispielsweise für interne Vorschriften, können nach Ihren spezifischen Anforderungen erstellt werden. Die Key Features auf einen Blick Graphical-Mask-Editor zum Import unstrukturiert erscheinender Daten System- und plattformunabhängiger Import Dateiverkettung, z.b. Import der Config-Logs einer ganzen Server-Farm in eine einzige Tabelle* Verknüpfte Auswertung und Abgleich mehrerer Dateien (Cross-Logfile-Analyse) Verfügbarkeit vordefinierter und individueller Auswertungen (Policies) Zeitgesteuerte, automatische Auswertungen/Batch- Verarbeitung (dynamisches Audit) Echtzeit-Benachrichtigung per SMS und * Revisionssichere Archivierung der Original-Rohdaten mit Zertifikat/Hashwert Benutzerverwaltung/Berechtigungssystem* Ergebnisse der Analysen als individualisierte Dokumente/Dateien Integriertes und kontextsensitives Hilfesystem Integrierte Hypersonic-SQL Datenbank Alternativ: Anbindung an externe Datenbank-Server* * nur in der Expert Version Effiziente Datenanalyse mit der 3-Step-Methode Mit der 3-Step-Methode von AuditBasics werden die gewünschten Dateien automatisiert ausgewertet. Alle hierzu erforderlichen Informationen bilden ein Auswertungsprojekt, das beliebig oft, auch zeitgesteuert, verarbeitet werden kann. Die Anzahl der Projekte ist nicht begrenzt. Import Die auszuwertenden Protokolldateien werden regelmäßig, z.b. täglich, von den erzeugenden Systemen mit Standardverfahren (z.b. FTP, SFTP) zum AuditBasics- Auswertungsrechner transferiert. Agentensysteme sind nicht notwendig. Die dort verfügbaren Dateien werden importiert und dadurch in SQL-Tabellen umgesetzt. Das Einlesen von strukturierten Dateien (Delimiter) ist selbstverständlich. Aber auch scheinbar völlig unstrukturierte Daten können mit dem Graphical-Mask-Editor mühelos importiert werden. Verarbeitung Unterstützt durch Formeleditor, Filter und grafische Tools werden Auswertungsvorschriften (Policies) definiert. Die konsolidierte Verarbeitung mehrerer Dateien stellt die Cross-Logfile-Analyse dar. Nur so können widersprüchliche Informationen erkannt werden, die bei Betrachtung der einzelnen Dateien unerkannt blieben. Export v q b Hier erfolgt die optische Aufbereitung und Corporate Design-Anpassung der Ergebnisse zur Weitergabe an die jeweils zuständigen Stellen wie z.b. Geschäftsleitung, IT- Leitung, Betriebsrat wahlweise in den Formaten HTML, RTF, PDF bzw. CSV oder XML. Bei kritischen Vorfällen, z.b. nicht autorisiertem Zugriff auf das CEO-Benutzerkonto, erfolgt die sofortige Benachrichtigung der zuständigen Stelle per SMS oder . AuditBasics by DEMAL

6 Anwendungsbeispiele Dateivergleiche Datenübernahme Analyse von Logfiles und IT-Konfigurationen Statische und dynamische Audits für die Datensicherheit Ihre Vorteile AuditBasics Effizientes Analysieren durch Verarbeitung beliebiger Protokollinformationen von unterschiedlichen Einzelsystemen Absicherung der unternehmenskritischen Daten durch umfassende Auswertung und Kontrolle aller Systeme und Anwendungen Einhaltung von nationalen und internationalen IT-Security- Richtlinien und -Gesetzen durch systemübergreifende Logfile-Analyse Sicherheitslücken erkennen durch Aufdecken kritischer Ereignisse und Schwachstellen Ihrer IT-Infrastruktur Datenschutzrechtliche Missbräuche eindämmen durch deutlich verkürzte Reaktionszeiten Permanente Aktualität durch fortwährende und lückenlose Auditierung Arbeitszeitersparnis durch automatisierte Auswertungen Effektives Richtlinien-Management durch vorgefertigte, praxisrelevante Policies Benutzerfreundlichkeit durch leicht lesbare Reports Kostenersparnis durch minimalen Installationsaufwand und maximale Systemkompatibilität Flexibilität durch universelle Einsetzbarkeit in allen Unternehmen und Unternehmensbereichen Erfolgssteigerung durch erhöhte Transparenz, Qualität und Vertrauen gegenüber Mitarbeitern, Kunden und Lieferanten by DEMAL DEMAL GmbH Hembacher Str. 2b Schwarzenbruck Tel: 09183/ Fax: 09183/ DEMAL

7 2. Flyer Einhaltung von Gesetzen und Richtlinien mit AuditBasics

8 International anerkannte Sicherheit für Ihre IT-Systeme Permanente Einhaltung von Richtlinien und Gesetzen durch ein dynamisches IT-Audit mit AuditBasics

9 DEMAL Vorgehensweise zur Einhaltung von Gesetzen und Richtlinien. Eine wachsende Zahl an internationalen und nationalen Gesetzen und Richtlinien stellen hohe Anforderungen an die IT- Sicherheit und das Berichtswesen der Unternehmen und Institutionen. Bei Nichteinhaltung drohen empfindliche Haftungsklagen (z.b. nach KonTraG), Marktzugangsbarrieren (z.b. nach SOX) oder auch Schwierigkeiten bei der Kreditaufnahme (z.b. wegen Basel II). Beispiel: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) in Verbindung mit dem Aktiengesetz (AktG) AktG 91 Organisation. Buchführung (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Über die Anforderungen hinaus beinhalten die einzelnen Normen jedoch meistens keine konkreten Vorgaben zur Umsetzung, sondern verweisen hier auf andere Regelwerke. Die IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnologie (BSI) bzw. der ISO Standard beinhalten dagegen konkrete Vorschläge (Maßnahmen) wie die IT- Sicherheit in Organisationen gewährleistet werden kann. Beispiel: IT-Grundschutz - Maßnahme 4.48 Passwortschutz unter Windows sollte als minimale Passwortlänge der Wert 8 eingetragen sein Die Passworthistorie sollte wenigstens 6 Passwörter umfassen. Diese Maßnahmen bilden die Basis für die Erstellung von standardisierten IT-Sicherheitspolicies, durch die ein großer Teil der Anforderungen abgedeckt werden kann. Für Anforderungen, die über die Standards hinaus gehen, können weitere, individuelle Policies erstellt werden. Mit AuditBasics steht Ihnen eine Software zur Verfügung, welche in individuell definierten Zeitabständen alle eingestellten Sicherheitspolicies überwacht und die Ergebnisse direkt in einfach lesbarer Form darstellt. das dynamische Audit AuditBasics Ergebnis: Policy 1: Minimale Passwortlänge Policy 3: Passworthistorie

10 Der Managementreport: Hier werden die Ergebnisse aller Policies, die auf den einzelnen Systemen ausgewertet wurden, kummuliert dargestellt. Durch die Reduktion von Detailergebnissen ist ein Überblick gewährleistet, der Schwachstellen und positive Resultate in der gesamten IT-Landschaft aufzeigt. DEMAL GmbH Hembacher Str. 2b Schwarzenbruck Fon: 09183/ Fax: 09183/

11 3. Übersicht zu den IT-Sicherheits- Gesetzen und -Richtlinien

12 Nationale und internationale Richtlinien und Gesetze zur Verbesserung der IT-Sicherheit Das Dokument enthält eine Übersicht zu relevanten Gesetzen und Vorgaben, die sich mit Schaffung und Kontrolle von IT-Sicherheit in Unternehmen und Institutionen befassen. Mit AuditBasics steht Ihnen eine Software-Lösung zur Verfügung, die durch das dynamische Audit maßgeblich zur Einhaltung der Anforderungen beiträgt. Dieses Dokument wird fortwährend erweitert und aktualisiert. Es erhebt keinen Anspruch auf Vollständigkeit. Stand:

13 Inhaltsverzeichnis I. Nach deutschem Recht Bundesdatenschutzgesetz (BDSG) Handelsgesetzbuch (HGB) GoBS (Grundsätze ordnungsgemäßer Buchführungssysteme) KonTraG Telekommunikationsgesetz (TKG) IT-Grundschutz-Kataloge Kreditwesengesetz (KWG) Basel II (MaRisk und SolvV) Solvency II IDW PS 330 (= ISA 401) (evtl.) Betriebsvereinbarung...13 II. Nach internationalen Vorschriften/ Standards Sarbanes-Oxley Act (SOX oder SOA) SAS COSO-Rahmenwerk International Standards of Auditing (ISAs) EU-Richtlinie (Euro-SOX) Common Criteria (CC ) und ITSEC (CC = IS 15408) IT Infrastructure Library (ITIL) (und MOF) ISO (= BS 15000) CObIT IS (British Standard Nr. 7799, Teil 1) ISO (British Standard Nr. 7799, Teil 2) ISO/TR ISO/TR ISO/TR NIST und HIPAA (Health Insurance Portability and Accountability Act)...33 Seite 2 von 34

14 I. Nach deutschem Recht 1. Bundesdatenschutzgesetz (BDSG) Zusammenfassung: Gesetz zum Schutz aller Arten von personenbezogener Daten, die im Unternehmen gespeichert oder bearbeitet werden. Betrifft wen? Alle deutschen Unternehmen und Organisation müssen die Regeln des BDSG zwingend einhalten (selbst dann, wenn sie so klein sind, dass sie keinen Datenschutzbeauftragten bestellen müssen). Für Unternehmen im EU-Ausland gelten ähnliche nationale Regeln. Art der Vorschrift/ Herausgeber: Bindendes Gesetz in der BRD (in anderen EU-Staaten gelten ähnliche Regeln aufgrund der inhaltlichen Vorgaben der EU-Datenschutzrichtlinie). Einschlägige Vorschrift: Nach 9 und Anlage zu 9 BDSG müssen technisch-organisatorische Maßnahmen getroffen werden, um den umfassenden Schutz von personenbezogenen Daten (z.b. von Mitarbeitern, Kunden) zu gewährleisten. Was ist zu tun? Es sollte eine möglichst beweissichere Logfile-Protokollierung bestehen um nachzuweisen, dass die technisch-organisatorischen Maßnahmen eingehalten werden. Außerdem treffen insbesondere folgende Vorschriften aus der Anlage zu 9 BDSG zu: Nr. 1 Zutrittskontrolle: Es ist zu gewährleisten, dass Unbefugte keinen räumlichen Zugang zu DV-Systemen erhalten => Überprüfung der Zutrittskontrollsysteme, falls vorhanden. Nr. 2 Zugangskontrolle: Es ist zu verhindern, dass Unbefugte an DV-Systemen arbeiten können => Kontrolle von Login und Passwort-Eingabe Nr. 3 Zugriffskontrolle: Es ist zu gewährleisten, dass Daten nicht unbefugt eingesehen oder bearbeitet werden können. Nr. 5 Eingabekontrolle: Es ist zu gewährleisten, dass nachträglich überprüft werden kann, wer welchen Datensatz eingegeben, verändert, entfernt hat. Wie hilft AuditBasics A dabei? All diese Kontrollen können automatisiert durchgeführt werden (sofern entsprechende System- Logfiles als Grundlage vorhanden sind). Außerdem werden diese Erkenntnisse und die zugrunde liegenden Logfiles jeweils so aufbereitet, dass sie revisionssicher gespeichert werden können und damit auch im Rechtsstreit als Beweismittel geeignet sind. Nachweis, dass Vorschrift eingehalten wird: Es bestehen diverse datenschutzrechtliche Dokumentationspflichten, die spätestens bei einer Seite 3 von 34

15 Überprüfung durch die Datenschutz-Aufsichtsbehörde vorgelegt werden müssen (z.b. 4g Abs. 2, 4e Abs. 1 BDSG). Folgen bei Verstoß: Neben einem Imageverlust bei öffentlichem Bekanntwerden von Datenschutzverstößen drohen bei Nichtbeachtung des BDSG Bußgelder bis zu oder in schweren Fällen Freiheitsstrafe bis zu zwei Jahren. 2. Handelsgesetzbuch (HGB) Zusammenfassung: Daten aus EDV-gestützten Buchführungssystemen müssen langfristig unveränderbar gespeichert werden (Journalfunktion durch Protokollierung). Betrifft ft wen? Alle deutschen Unternehmen, die Buchführung per EDV betreiben. Art der Vorschrift/ Herausgeber: Das HGB ist für in Deutschland ansässige Unternehmen ein bindendes Gesetz. Einschlägige Vorschrift: 239 Absatz 4 HGB: "... erforderlichen Aufzeichnungen können auch... auf Datenträgern geführt werden.... Bei... Aufzeichnungen auf Datenträgern muss insbesondere sichergestellt sein, dass die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb angemessener Frist lesbar gemacht werden können...." Was ist zu tun? Es ist zu gewährleisten, dass anfallende EDV-Daten aus der Buchhaltung so gespeichert und aufbewahrt werden, dass sie auch langfristig unverändert sind. Eine Manipulation muss ausgeschlossen sein. Wie hilft AuditBasics dabei? Mithilfe von AuditBasics kann anhand der (Zugriffs-)Logfiles nachvollzogen werden, ob und wer an den Daten Veränderungen vorgenommen hat. Außerdem werden durch AuditBasics diese Erkenntnisse und die zugrunde liegenden Logfiles jeweils so aufbereitet, dass sie revisionssicher gespeichert werden können. Folgen bei Verstoß: Die Nichtbeachtung kann eine Verletzung der Buchführungspflicht darstellen, die nach 283b StGB mit Geldstrafe oder Freiheitsstrafe bis zu zwei Jahre geahndet werden kann. Seite 4 von 34

16 3. GoBS (Grundsätze ordnungsgemäßer Buchführungssysteme) Zusammenfassung: Technische Anforderungen, welche Finanzbehörden an die EDV-Buchhaltung in Unternehmen stellen. Betrifft wen? Betroffen sind alle buchführungspflichtigen Steuerzahler, die ihre Buchhaltung mittels EDV erledigen. Art der Vorschrift/ Herausgeber: Es handelt sich um Verwaltungsanweisungen des Bundesfinanzministeriums an die Finanzbehörden mit Erläuterungen zur Umsetzung von HGB und AO (Abgabenordnung) in Bezug auf die ordnungsmäßige Behandlung elektronischer Dokumente. Die Finanzbehörden achten wiederum bei den Steuerpflichtigen auf Einhaltung. Einschlägige Vorschriften: Die GoBS regeln recht allgemein die Pflichten bei EDV-Buchführung. In Tz. 5 werden Maßnahmen zur Datensicherheit gefordert hinsichtlich Sicherung (bezüglich Unauffindbarkeit, Vernichtung und Diebstahl) Schutz (auch gegen unberechtigte Kenntnisnahme) Wie hilft AuditBasics dabei? Individuelle Sicherungskonzepte, die aufgrund der GoBS erstellt werden, können mit AuditBasics umgesetzt und überwacht werden. 4. KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) Zusammenfassung: In großen Unternehmen ist ein internes Überwachungssystem einzurichten, um bestandsgefährdende Risiken rechtzeitig zu erkennen. Die leitenden Persönlichkeiten haften persönlich. Durch KonTraG wurden Vorschriften z.b. im Aktiengesetz, Handelsgesetzbuch (HGB) oder dem GmbH-Gesetz angepasst. Damit sollen Kontrolle und Transparenz in den Unternehmen verbessert werden. Betrifft wen? Vor allem AGs und GmbHs und ihre leitenden Persönlichkeiten (Haftungsfragen!). Art der Vorschrift/ Herausgeber: Bindende Gesetze in Deutschland Seite 5 von 34

17 Einschlägige Vorschriften: Vorschriften für Aktiengesellschaften: 91 II AktG: Der Vorstand einer AG hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit eine Entwicklung, die den Fortbestand der Gesellschaft gefährdet, früh erkannt werden kann. 116 AktG: Vorstand, Geschäftsführung und u.u. auch Aufsichtsrat haften ggf. persönlich (!) auf Schadensersatz. Vorschriften für GmbHs: Obige Vorschriften gelten entsprechend für Geschäftsführer einer GmbH ( 43 GmbHG i.v. m. 91 II AktG, 116 AktG) Vorschriften für OHG, KG und andere Personalgesellschaften sind ähnlich Was ist zu tun? Wirtschaftliche Kontrolle und Transparenz sollen erreicht werden durch die Einrichtung eines Überwachungssystems zur Früherkennung existenzgefährdender Entwicklungen (Risikomanagement, auch IT-Risikomanagement) die Verpflichtung der Geschäftsführung, ein unternehmensweites Risikomanagement zu implementieren inkl. persönlicher Haftung des Vorstandes, des Aufsichtsrat und der Geschäftsführer bei Verstößen. Zwar gibt es dagegen auch Versicherungen ( directors & officers liabilty Insurance"), diese greifen aber nicht bei Vorsatz oder einer wissentlichen Pflichtverletzung. Bei der praktischen Durchführung können die Maßnahmen der IT-Grundschutz-Kataloge des BSI als Anhaltspunkt dienen. Wie hilft AuditBasics dabei? Wenn individuelle Regeln für ein Risikomanagement entwickelt wurden, hilft AuditBasics bei dessen Umsetzung und Überwachung. Beispielsweise schlägt AuditBasics Alarm bei vorher definierten Verstößen. Folgen bei Verstoß: Außer dem Gesetzesverstoß kommen weitere, teils schwerwiegende Folgen in Betracht: Unternehmensverluste oder Insolvenz durch Ausfall der Systeme bei sehr hohen Schäden Ggf. Verlust von Versicherungsschutz des Unternehmens Verteuerung der Unternehmenskredite ( Basel II ) Imageschäden nach Verlust von personenbezogenen Daten aufgrund von Sicherheitslücken 5. Telekommunikationsgesetz (TKG) Zusammenfassung: Unternehmen müssen einen angemessenen Schutz ihrer Telekommunikationssysteme (Telefon, Internet) gewährleisten. Seite 6 von 34

18 Betrifft wen? Das TKG ist anzuwenden von allen Unternehmen mit Telefon-/ Internet-Anschluss, die ihren Mitarbeitern eine Nutzung zu privaten Zwecken erlauben oder dies zumindest dulden Unternehmen, die diese Dienste Fremden gegen Entgelt anbieten deutsche Telekommunikationsunternehmen Art der Vorschrift/ Herausgeber: Bindendes Gesetz in Deutschland Einschlägige Vorschrift: 109 TKG Technische Schutzmaßnahmen Abs. 1:... hat angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze... der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen. Was ist zu tun? Die Zugriffe auf die Telekommunikations- und Datenverarbeitungssysteme sind zu überwachen. Bei Verdacht auf Missbrauch sind geeignete Maßnahmen zu treffen. Bei der praktischen Durchführung können die Maßnahmen der IT-Grundschutz-Kataloge des BSI als Anhaltspunkt dienen. Wie hilft AuditBasics dabei? Durch Logfile-Analyse mit AuditBasics wird überprüft, ob ein Missbrauch stattfindet und wer ggf. auf die o.g. Daten zugreift. Folgen bei Verstoß: Telekommunikationsunternehmen, die kein Sicherheitskonzept erstellen, droht eine Geldbuße bis zu ( 149 Abs. 1 Nr. 21 TKG). 6. IT-Grundschutz-Kataloge Zusammenfassung: Methodik, nach der konkrete Sicherheitskonzepte für IT-Lösungen mittels Standardmaßnahmen erstellt oder geprüft werden; Nachweis möglich durch IT-Grundschutz-Zertifikat (enthält auch Anforderungen nach ISO und ISO 17799, s.u. II.) Sehr detaillierte Vorschläge des Bundesamtes für Sicherheit in der Informationstechnologie (BSI), wie die IT-Sicherheit konkret in Organisationen gewährleistet werden kann, um Schaden von vornherein abzuwenden. Der IT-Grundschutz ergänzt/ überschneidet sich teilweise mit dem BDSG. Seite 7 von 34

19 Betrifft wen? Deutsche Organisationen (Behörden, Institute und Unternehmen aller Größenordnungen), die ihre IT-Sicherheit verstärken/ überprüfen möchten. Ziel ist i.d.r. die Erlangung des IT-Grundschutz-Zertifikats oder eine entsprechende Selbsterklärung. Art der Vorschrift/ Herausgeber: Richtlinie (d.h. Einhaltung ist freiwillig), herausgegeben durch das Bundesamt für Sicherheit in der Informationstechnologie (BSI) Grundsätzliche Prinzipien: Schwerpunkt der Prüfung ist in der Regel die gesamte IT in der Organisation. Die Maßnahmen des IT-Grundschutzes wurden von IT-Fachleuten verfasst und richten sich an IT-Fachleute. Mit der Einhaltung des IT-Grundschutzes werden nur Mindestvoraussetzungen an die IT- Sicherheit erfüllt. Deshalb genügt es, unabhängig vom tatsächlichen Schutzbedarf die vorgeschlagenen Ziele aus den Katalogen einzuhalten (daher der Begriff Grundschutz ). Bei einem höheren Schutzbedarf müssen im Einzelfall weitere Maßnahmen erfolgen (dies ist auch Voraussetzung für ein IT-Grundschutz-Zertifikat). Die erfolgreiche Umsetzung des IT-Grundschutzes nach dem BSI kann in drei Stufen nach außen dokumentiert werden: Selbsterklärung Einstiegsstufe Selbsterklärung Aufbaustufe IT-Grundschutz-Zertifikat (durch unabhängigen BSI-Auditor, gilt zwei Jahre; seit 2006 enthält das BSI-Zertifikat auch das internationale Zertifikat nach ISO 27001) Für die Durchführung des IT-Grundschutzes helfen BSI-Standards. Sie enthalten bewährte Methoden, Prozesse und Verfahren für Themen von grundsätzlicher Bedeutung: BSI-Standard Standard 100-1: 1: Managementsysteme für Informationssicherheit (ISMS) Er ist vollständig kompatibel zum ISO-Standard und berücksichtigt weiterhin die Empfehlungen der ISO-Standards und BSI-Standard Standard 100-2: IT-Grundschutz-Vorgehensweise Beschreibt Schritt für Schritt, wie IT-Sicherheitsmanagement in der Praxis aufgebaut und betrieben werden kann. Er interpretiert die allgemeinen Anforderungen der ISO-Standards 13335, und und gibt praktische Hilfe. BSI-Standard Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz Standard zur Risikoanalyse auf der Basis von IT-Grundschutz Einschlägige Vorschriften: Relevante Normen in den IT-Grundschutz-Katalogen können z.b. sein: M 2.64: Kontrolle der Protokolldateien Auf welche Kriterien hin sind Logdateien zu untersuchen? (z.b. Häufung fehlerhafter Anmeldeversuche, An-/ Abmeldung außerhalb der Arbeitszeit, auffallend lange Verbindungszeiten in öffentliche Netze,...) Seite 8 von 34

20 G 2.22: Protokolldaten sind auszuwerten, um Sicherheitsverletzungen aufzuspüren M 5.9: Umfang der Protokollierung am Server M 2.110: Datenschutzaspekte bei der Protokollierung (Mindestanforderungen, Zweckbindung, Aufbewahrungsdauer, technisch-organisatorische Rahmenbedingungen) M 4.5 Protokollierung der TK-Administrationsarbeiten M 4.25 Einsatz der Protokollierung im Unix-System M 4.54 Protokollierung unter Windows NT Insgesamt sind die IT-Grundschutz-Kataloge sehr umfassend und enthalten für viele Bereiche der IT spezifische Vorschriften. Was ist zu tun? Anhand der tatsächlich vorhandenen Bestandteile der jeweils betrachteten IT-Landschaft wählt der Anwender geeignete Kapitel ( Bausteine ) aus den IT-Grundschutz-Katalogen aus und erstellt dadurch ein Modell seiner IT-Landschaft. Dann überprüft er, ob für jeden Baustein seines Modells die Vorgaben aus den IT-Grundschutz- Katalogen eingehalten sind oder wie dies gegebenenfalls erreicht werden kann. Wie hilft AuditBasics ics dabei? Sehr viele Anforderungen der IT-Grundschutz-Kataloge können über Auswertungen von Logfiles oder Konfigurationsdateien sichergestellt werden. AuditBasics bietet für die wichtigsten und häufigsten Anwendungsfälle des IT-Grundschutzes vorgefertigte Policies. Für weitere Anwendungsfälle können individuelle Policies erstellt werden. Mit ihnen kann die Einhaltung der Vorgaben dauerhaft überprüft werden. Nachweis, dass Vorschrift eingehalten wird: Die Einhaltung kann, aber muss nicht durch ein IT-Grundschutz-Zertifikat belegt werden. Dieses gilt für zwei Jahre und wird direkt durch das BSI erstellt. 7. Kreditwesengesetz (KWG) Zusammenfassung: Banken müssen über interne Kontrollverfahren verfügen. Betrifft wen? Banken und Kreditinstitute in Deutschland Art der Vorschrift/ Herausgeber: bindendes Gesetz in der BRD Einschlägige Vorschrift: 25a KWG - Besondere organisatorische Pflichten von Instituten (1) Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der von den Instituten zu beachtenden gesetzlichen Bestimmungen gewährleistet. Die in 1 Abs. 2 Satz 1 bezeichneten Personen sind für die ordnungsgemäße Seite 9 von 34

21 Geschäftsorganisation des Instituts verantwortlich. Eine ordnungsgemäße Geschäftsorganisation umfasst insbesondere angemessene interne Kontrollverfahren, die aus einem internen Kontrollsystem und einer internen Revision bestehen; das interne Kontrollsystem umfasst insbesondere geeignete Regelungen zur Steuerung und Überwachung der Risiken; angemessene Sicherheitsvorkehrungen für den Einsatz der elektronischen Datenverarbeitung;... Was ist zu tun? Eine ordnungsgemäße Geschäftsorganisation ist aufzubauen, falls noch nicht vorhanden. Dies umfasst insbesondere interne Kontrollen und ein IT-Sicherheitskonzept. Bei dessen Entwicklung und Durchführung können die Maßnahmen der IT-Grundschutz-Kataloge des BSI als Anhaltspunkt dienen. Wie hilft AuditBasics dabei? Ein IT-Sicherheitskonzept kann mittels AuditBasics konkret überwacht werden. 8. Basel II (MaRisk und SolvV) Zusammenfassung: Betrifft die Risikobewertung bei der Kapitalvergabe. Bei einer schlechten Risikobewertung (z.b. fehlendem IT-Sicherheitsmanagment) erhalten Kreditnehmer schlechtere Konditionen von den Banken. Betrifft wen? Basel II richtet direkt nur an Banken, mittelbar spüren jedoch auch ihre Kunden (Kreditnehmer) die Auswirkungen. Art der Vorschrift/ Herausgeber: Die Vorgaben wurden durch den Baseler Ausschuss für Bankenaufsicht erarbeitet. Verbindlich treten sie ab in den EU-Ländern in Kraft. In Deutschland werden sie umgesetzt durch: Mindestanforderungen an das Risikomanagement (MaRisk) durch die BaFin, als zweite Säule von Basel II Solvabilitätsverordnung (SolvV) durch das Bundesfinanzministerium, als erste und dritte Säule von Basel II Grundsätzliche Prinzipien: Die Basel II -Vorschriften betreffen zwar unmittelbar nur die Bank; diese wälzen jedoch die Risiken auf ihre Kunden ab. Das bedeutet, dass es auch für die Privat-Wirtschaft eine direkte Abhängigkeit zwischen den Konditionen für die Geldbeschaffung und den Kreditrisiken gibt. Bei einem schlechten Ranking (hohe Risiken) wird ein Kredit oder Darlehen verweigert, weil die Bank gemäß Basel II sonst mehr ihrer Eigenmittel bereitstellen müsste. Bei einem guten Ranking (geringe Risiken) steigen die Chancen auf bessere Konditionen, weil die Bank selbst Seite 10 von 34

22 weniger ihrer Eigenmittel unterlegen muss. Einschlägige Vorschrift: Basel II besteht aus drei sich gegenseitig ergänzenden Säulen: 1. Mindest-Eigenkapital-Anforderungen an Kreditnehmer (mittels Rating) 2. Überprüfung durch die Bankaufsicht 3. Erweiterte Offenlegung (Transparenz) Damit sollen einheitliche Wettbewerbsbedingungen sowohl für die Kreditvergabe als auch für den Kredithandel geschaffen werden. Was ist i zu tun? (Potentielle) Kreditnehmer müssen (auch) darauf achten, ein funktionierendes IT-Sicherheitsmanagement nachzuweisen. Wie hilft AuditBasics dabei? Mit AuditBasics kann ein IT-Sicherheitsmanagement durchgeführt und nachgewiesen werden. Folgen bei i Verstoß: Kredit-Interessierte erhalten gar kein Angebot oder schlechtere Konditionen von der Bank. 9. Solvency II Zusammenfassung: Zukünftige, europarechtlich einheitliche Regelungen über die Versicherungsaufsicht (ähnlich zu Basel II ). Auch auf das zukünftige Aufsichtskonzept über die Versicherungswirtschaft nehmen die internationalen Rechnungslegungsstandards Einfluss, denn ein einheitliches europäisches Aufsichtskonzept muss zwangsläufig auf einem einheitlichen Bewertungsmaßstab für Rückstellungen aufsetzen. Betrifft wen? Versicherungswirtschaft (und deren finanzielle Ausstattung) Art der Vorschrift/ Herausgeber: Im Juni 2007 will die EU-Kommission einen Richtlinienentwurf vorlegen. Nach dessen Verabschiedung müssen die EU-Mitgliedsstaaten die Regelungen in nationales Recht umsetzen, bevor sie endgültig in Kraft treten können (voraussichtlich zwischen 2008 bis 2010). Grundsätzliche Prinzipien: Solvency II basiert auf einem 3-Säulen-Modell (ähnlich wie Basel II ). Im Gegensatz zur Bankenbranche stehen in dem zukünftigen Modell aber weniger Einzelrisiken als vielmehr ein ganzheitliches System zur Gesamtsolvabilität im Mittelpunkt. Seite 11 von 34

23 Säule 1: Kapitalanforderungen (z.b. Mindestkapital) Säule 2: Risikomanagement und interne Kontrolle Säule 3: Marktdisziplin (erhöhte Transparenz gegenüber BaFin und Öffentlichkeit) Dadurch wird Solvency II auf nahezu alle Bereiche eines Versicherungsunternehmens Auswirkungen haben. Was ist zu tun? Die in Teilen schon sehr konkreten zukünftigen Anforderungen aus Solvency II werden komplex und umfangreich sein. Die endgültigen Regelungen treten zwar erst in einigen Jahren in Kraft, dennoch kann man sich schon heute darauf vorbereiten. Durch die Bemessung und Steuerung der versicherungstechnischen Risiken, Risiken aus Kapitalanlagen und den operationellen Risiken wird aufsichtsrechtlichen Anforderungen entsprochen. Wie hilft AuditBasics dabei? Mit AuditBasics kann ein IT-Sicherheitsmanagement (2. Säule) durchgeführt und nachgewiesen werden. 10. IDW PS 330 (= ISA 401) Zusammenfassung: Prüfungsstandard der Wirtschaftsprüfer für IT-Prüfungen im Rahmen von Abschlussprüfungen. Die Reichweite des IDW PS 330 wird voraussichtlich durch die internationalen ISAs (vgl. u.) zurückgedrängt werden. Betrifft wen? Wirtschaftsprüfer, die Unternehmen nach 316 HGB ( Pflicht zur Prüfung ) untersuchen. Art der Vorschrift/ Herausgeber: IDW PS 330 ist ein Vorschlag des Instituts der Wirtschaftsprüfer in Deutschland e.v. (IDW). Er stellt eine Berufsauffassung dar, welche von Wirtschaftsprüfern unbeschadet ihrer Eigenverantwortlichkeit im Rahmen von Abschlussprüfungen von IT-Systemprüfungen herangezogen werden kann. Rechtliche Basis des PS 330: 264 HGB: Der Jahresabschluss eines Unternehmens hat unter Beachtung der Grundsätze ordnungsgemäßer Buchführung ein den tatsächlichen Verhältnissen entsprechendes Bild der Vermögens-, Finanz- und Ertragslage zu vermitteln. 317 HGB: Ein Wirtschaftsprüfer hat seine Prüfung so anzulegen, dass Unrichtigkeiten und Verstöße gegen diese Pflicht erkannt werden. Bei diesen Prüfungen dürfen IT-Systeme nicht außen vor bleiben. Dabei kann der Wirtschaftsprüfer auf IDW PS 330 zurückgreifen. PS 330 entspricht dem International Standard on Auditing (ISA) 401 Auditing in a Computer Information Systems Environment und geht darüber hinaus (Berücksichtigung neuer Seite 12 von 34

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

Der gläserne Unternehmer im Fokus des Staates

Der gläserne Unternehmer im Fokus des Staates IT_kom am 18. September 2008 in Mainz Sven Liebeck, dubois it-consulting gmbh Produktion Vertrieb IT- / TK- Systeme Einkauf Verwaltung Informationssicherheit Informationssicherheit gehört zu den wichtigsten

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Die Software Lösung für das dynamische IT-Audit in Ihrem Unternehmen

Die Software Lösung für das dynamische IT-Audit in Ihrem Unternehmen Die Software Lösung für das dynamische IT-Audit in Ihrem Unternehmen Wir über uns Die DEMAL GmbH ist ein 100-prozentiges Tochterunternehmen der Rummel AG die seit über 18 Jahren erfolgreich Software für

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Ausgewählte Rechtsfragen der IT-Security

Ausgewählte Rechtsfragen der IT-Security Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr.

Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Holger Sörensen Die Aufgaben des Prüfungsausschusses: Agenda Gesetzestexte Organisatorische

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014

Risikomanagement. Ein Vortrag von Katharina Schroer. Juristisches IT-Projektmanagement WS 2013/2014 Risikomanagement Ein Vortrag von Katharina Schroer Juristisches IT-Projektmanagement WS 2013/2014 Inhalt 1. Einleitung 2. Risikomanagementprozess 3. Juristische Hintergründe 4. Fazit Inhalt - Risikomanagement

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement

Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement datenschutz nord GmbH Mai 2007 Rechtliche Vorgaben und Standards zur IT-Sicherheit und zum Risikomanagement 1. Rechtliche Vorgaben zur IT-Sicherheit und zum Risikomanagement Das Thema IT-Sicherheit hat

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg

Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform. durch die Prüfstelle. greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Prüfschema Erteilung des Datenschutz-Siegels Datenschutzkonform durch die Prüfstelle greeneagle certification GmbH Frankenstraße 18a 20097 Hamburg Dokumententitel: Erteilung des Datenschutz-Siegels Datenschutzkonform

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Praktischer Datenschutz

Praktischer Datenschutz Praktischer Datenschutz Heiko Behrendt Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel ULD72@datenschutzzentrum.de Praktischer Datenschutz 1 Themen 1. Behördlicher und betrieblicher

Mehr

IT Sicherheit Haftungsrisiko der Geschäftsführung. Rechtsanwalt Dr. Klostermann

IT Sicherheit Haftungsrisiko der Geschäftsführung. Rechtsanwalt Dr. Klostermann IT Sicherheit Haftungsrisiko der Geschäftsführung Warum Sicherheit? Aufwendungen für IT Schäden gehen unmittelbar in die betriebliche Erfolgsrechnung ein. Der Einzelunternehmer oder die Personengesellschaft

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin

SerNet. Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013. Alexander Koderman. SerNet GmbH, Berlin Best of Audit 2012 IT-Sicherheit? Evaluieren wir gerade. 28. Februar 2013 Alexander Koderman GmbH, Berlin Übersicht Wieso werde ich auditiert? IS-Audits, Grundlagen, Standards Was erwartet mich? Inhalte,

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten

Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Zwischen den Stühlen: Datenschutz, IT-Sicherheit und Aufbewahrungspflichten Die Email-Falle RA Thomas Brehm Hamburg Aus der Vortragsreihe der Systemhaus for you GmbH Heidenkampsweg 66 20097 Hamburg Bei

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

IXOS SOFTWARE AG - Hauptversammlung 3.12.2003. IXOS Corporate Governance. Peter Rau. Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG

IXOS SOFTWARE AG - Hauptversammlung 3.12.2003. IXOS Corporate Governance. Peter Rau. Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG IXOS SOFTWARE AG - Hauptversammlung 3.12.2003 IXOS Corporate Governance Peter Rau Vorstand Finanzen IXOS SOFTWARE AG IXOS SOFTWARE AG Technopark 1 Bretonischer Ring 12 D-85630 Grasbrunn/München Tel.: +49.(0)89.4629.0

Mehr

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl Cloud-Computing - rechtliche Aspekte Forum 7-it RA Rainer Friedl München, 16. November 2015 Verpflichtung zur IT-Compliance: Haftung des Vorstands/Geschäftsführer für IT-Risiken» Vorstandspflicht bei AGs

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten

IT-Grundschutz-Zertifizierung von ausgelagerten Komponenten Ergänzung zum Zertifizierungsschema Nr. 1 Titel ITGrundschutzZertifizierung von ausgelagerten Komponenten Status Version 1.0 Datum Diese Ergänzung zum Zertifizierungsschema gibt verbindliche Hinweise,

Mehr

Datenschutz- und IT-Sicherheitsaudit

Datenschutz- und IT-Sicherheitsaudit Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. M&M a) b) Audit

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:

Mehr

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7

Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Anlage zum Zertifikat TUVIT-TSP5519.14 Seite 1 von 7 Zertifizierungssystem Die Zertifizierungsstelle der TÜV Informationstechnik GmbH führt Zertifizierungen auf der Basis des folgenden Produktzertifizierungssystems

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

best OpenSystems Day Herbst 2005

best OpenSystems Day Herbst 2005 best OpenSystems Day Herbst 2005 Rechtsanwalt Dr. Michael Karger, München Unternehmerisches Handeln unter Sicherheitsanforderungen in der IT (KonTraG, SOX & Basel II) 2 Agenda: 1. Überblick: Rechtliche

Mehr

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR Der Datenschutzbeauftragte im medizinischen Unternehmen Datenschutzbeauftragter als Berufsbezeichnung Der Begriff Datenschutzbeauftragter stellt eine Berufsbezeichnung dar. Anlässlich der beantragten registergerichtlichen

Mehr

Vertragsmanagement mit smartkmu Contract. smartes Vertragsmanagement für effiziente Abläufe

Vertragsmanagement mit smartkmu Contract. smartes Vertragsmanagement für effiziente Abläufe Vertragsmanagement mit smartkmu Contract smartes Vertragsmanagement für effiziente Abläufe Warum Verträge Wertschöpfungskette Kundenvertrag Lieferantenverträge Verträge mit Partnern und Dienstleistern

Mehr

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3 53227 Bonn Copyright Scopevisio AG. All rights reserved. Seite 1 von 11 Copyright Scopevisio AG. All rights reserved. Seite 2 von 11 Inhalt

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation Inhaltsverzeichnis zu Praxisbuch IT-Dokumentation von Georg und Manuela Reiss ISBN (Buch): 978-3-446-43780-7 ISBN (E-Book): 978-3-446-43833-0 Weitere Informationen und Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-43780-7

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Mythos Internes Kontrollsystem (IKS)

Mythos Internes Kontrollsystem (IKS) Herbert Volkmann Mythos Internes Kontrollsystem (IKS) Börsennotierte Aktiengesellschaften auf dem Prüfstand Diplomica Verlag Herbert Volkmann Mythos Internes Kontrollsystem (IKS): Börsennotierte Aktiengesellschaften

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

RSP International. Ihr Partner in Osteuropa und Zentralasien

RSP International. Ihr Partner in Osteuropa und Zentralasien Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element

Mehr

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand

Mehr

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN

IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN IT-RECHTLICHE ANFORDERUNGEN HAFTUNGSFALLEN FÜR UNTERNEHMEN Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht IHK Hanau-Gelnhausen-Schlüchtern 12. November 2014 Agenda I. Begriffe II. Anwendbare

Mehr

Compliance im Rechnungswesen Anforderungen an die IT

Compliance im Rechnungswesen Anforderungen an die IT Information Risk Management Compliance im Rechnungswesen Anforderungen an die IT Dietmar Hoffmann Köln, 3. Mai 2007 ADVISORY Inhalt 1 Überblick 2 Rechtliche Rahmenbedingungen 3 Auswirkungen 4 Prüfungen

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Informationen zum Datenschutzaudit durch dbc Sachverständige

Informationen zum Datenschutzaudit durch dbc Sachverständige Informationen zum Datenschutzaudit durch dbc Sachverständige Sehr geehrter Kunde, mit dieser Information möchten wir Ihnen einen Überblick über die Auditierung (=Prüfung) und Zertifizierung Ihres Unternehmens

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH IT-Sicherheit ein Thema für das Management? Herzlich Willkommen Zirngibl Langwieser Inhaltsübersicht 1. Pflichten des Managements in Bezug auf die IT-Sicherheit 2. Instrumente der Pflichterfüllung und

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Planung und Umsetzung von IT-Compliance in Unternehmen

Planung und Umsetzung von IT-Compliance in Unternehmen Planung und Umsetzung von IT-Compliance in Unternehmen Ein kurzer Überblick über die wichtigsten Regelungen. Zu meiner Person Dipl. Informatiker (IANAL) Seit mehr als 15 Jahren unterstütze ich Unternehmen

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Karsten U. Bartels LL.M. HK2 Rechtsanwälte 1 Meine Punkte Cloud Service Provider 2 IT-Outsourcing

Mehr

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Dr. Stefan Schlawien Rechtsanwalt stefan.schlawien@snp-online.de Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems Das Thema der Korruption betrifft nicht nur!großunternehmen"

Mehr

Praxisbuch IT-Dokumentation

Praxisbuch IT-Dokumentation Manuela Reiss Georg Reiss Praxisbuch IT-Dokumentation Betriebshandbuch, Systemdokumentation und Notfallhandbuch im Griff HANSER Vorwort XI 1 Anforderungen an die IT-Dokumentation 1 1.1 Was heißt Compliance?

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

Wie sicher sind Ihre Geheimnisse? Rechtsfolgen nachlässiger Datensicherheit im Unternehmen

Wie sicher sind Ihre Geheimnisse? Rechtsfolgen nachlässiger Datensicherheit im Unternehmen Wie sicher sind Ihre Geheimnisse? Rechtsfolgen nachlässiger Datensicherheit im Unternehmen Rechtsanwältin Dr. Bettina Kähler PrivCom Datenschutz GmbH, Hamburg b+m Informatik GmbH Kiel Knürr AG 3. Juli

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers Anlage zum Vertrag zur Auftragsdatenverarbeitung Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers im Rahmen der Auftragsdatenverarbeitung? Wir helfen: www.activemind.de

Mehr

Service Übersicht Helwig, Lenz Wirtschaftsprüfer - Frankfurt a.m.

Service Übersicht Helwig, Lenz Wirtschaftsprüfer - Frankfurt a.m. Compliance Beratung Service Übersicht Compliance Beratung 1. Die Partner 2. Unsere Services Die Partner - Rosemarie Helwig Helwig, Lenz Wirtschaftsprüfer Rosemarie Helwig Wirtschaftsprüfer, Steuerberater,

Mehr

Fall 7: Outsourcing falsch behandelt

Fall 7: Outsourcing falsch behandelt Fall 7: Outsourcing falsch behandelt Andreas Toggwyler Partner KPMG, Genf und Zürich Outsourcing falsch behandelt (1/2) Es ist unklar, inwiefern die externen Ressourcen zur IT bezüglich der Anforderungen

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Datenschutz-Management

Datenschutz-Management Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb

Mehr

Einführung von Compliance-Systemen auf Basis der Identity- & Access-Management-Suite

Einführung von Compliance-Systemen auf Basis der Identity- & Access-Management-Suite 20. Deutsche ORACLE-Anwenderkonferenz 21.-22.11.2007 Nürnberg Einführung von Compliance-Systemen auf Basis der Identity- & Access-Management-Suite Vorstellung 26 Jahre Master of Computer

Mehr