IT-Compliance strebt nach weisbar regel konformes

Größe: px
Ab Seite anzeigen:

Download "IT-Compliance strebt nach weisbar regel konformes"

Transkript

1 IT-Compliance mit dem Unified Compliance Framework UCF IT-Compliance mit dem Unified Compliance Framework UCF Georg Disterer und Michael Wittek Die IT-Unterstützung von Geschäftsprozessen ist so bedeutend, dass Störungen oder Unterbrechungen im IT-Betrieb große Risiken darstellen. Mittlerweile fordern sogar Gesetze und Regularien aus reichende Sorgfalt und Vorsorge, um einen störungs- und unter brechungsfreien Betrieb zu gewährleisten. In diesem Artikel erfahren Sie Grundlagen zu IT-Compliance UCF als Hilfsmittel zur Steuerung und Kontrolle Maßnahmen zur technischen Betriebssicherheit Was Sie vorher wissen sollten kein spezielles Vorwissen IT-Compliance strebt nach weisbar regel konformes Handeln im IT-Bereich an und umfasst alle Maßnahmen zur Einhaltung entsprechender Vorgaben wie Ge setze, Vorschriften, Normen u.ä. Die Anzahl entsprechender Vor gaben ist groß, deren Art und Umfang höchst unterschiedlich, viele der Anforderungen betreffen IT-Sicherheit. Um die Einhaltung der Vorgaben nachweisen zu können, ist ein systematisches Vor gehen sinn voll. Als ein Hilfsmittel steht das Unified Compliance Frame work (UCF) zur Verfügung. Nachfolgend werden Auf bau und Funktions weise des UCF am Bei spiel der IT-Sicherheit erläutert, um dann die wesent lichen Steuerungsund Kontroll maß nahmen für den Wirkbereich der technischen Sicherheit aus dem Framework abzulei ten. IT-Sicherheit im Fokus der IT-Compliance Informationstechnologie (IT) ist ein wesentliches Werkzeug zur Abwicklung betrieblicher Prozesse. Die Abhängigkeit vieler Prozesse von der IT-Unterstützung ist teilweise so erheblich, dass IT vielerorts zur strategischen Ressource geworden ist. Entsprechender Aufwand muss betrieben werden, um den vielfältigen Gefahren zu begegnen (Disterer 2009 S ), wie etwa Angriffen in Form vorsätzlicher und gezielter Handlungen, missbräuchliche Nutzungen, irrtümliche oder versehentliche Handlungen, höhere Gewalt, technische Mängel und technisches Versagen, Funktions- und Organisationsmängel. Umfangreiche Steuerungs- und Kontrollmaßnahmen sind zum Schutz notwendig, um Störungen und Unterbrechungen des IT-Betriebs zu vermeiden. Eine zentrale Rolle spielt das IT-Sicherheitsmanagement, das für die IT die Planung, Umsetzung, Steuerung, Kontrolle und kontinuierliche Weiterentwicklung physischer und technischer Sicher heitsmaßnahmen umfasst. Ziel des IT-Sicherheits ma nage ments ist die Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und IT-Systemen (BSI 2011). Mit der zunehmenden Bedeutung von IT steigen auch gesetzliche und regulatorische Vorgaben, die den Einsatz von IT im Unternehmen regeln, wie z.b. die Vorgaben aus dem Bundesdatenschutzgesetz (BDSG), den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) oder aus den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GdPDU). Nachweisbar regelkonformes Handeln im IT-Bereich wird als IT-Compliance bezeichnet (Böhm 2008 S. 17, Rath/Sponholz 2009 S. 25). Insgesamt ist die Anzahl derartiger Auflagen und Vorgaben groß, deren Art und Umfang höchst unterschiedlich. Zu beachten sind etwa Vorgaben für spezielle Branchen (Banken, Versicherungen, Gesundheitswesen u.ä.) und für spezielle Funktionsbereiche (Rechnungswesen, Logistik u.ä.) sowie übergreifende (z.b. Datenschutzrecht) sowie nationale und inter- hakin9.org/de 29

2 Betriebssicherheit Aufbau und Funktionsweise des UCF UCF wurde als Rahmenwerk für IT-Compliance von Vertretern des Beratungsunternehmen Network Fronnationale Vorgaben. Viele der Vorgaben betreffen die IT-Sicherheit, d.h. das IT-Sicherheitsmanagement ist nicht in das Belieben eines Unternehmens gestellt, sondern muss vielerlei Auflagen erfüllen. Wegen der Vielzahl und Vielfalt der Auflagen und Vorgaben besteht die Gefahr der Intransparenz der zu beachtenden Vorgaben. Die Vorgaben sind teilweise redundant oder überlappend und unterscheiden sich in der Form oder dem Regelungstyp. Entsprechend ist Aufwand zu betreiben, um alle relevanten Vorgaben zu kennen und zu verstehen sowie Redundanzen und Überlappungen aufzudecken, um somit ein abgestimmtes Bündel von Maßnahmen statt eine - gegebenenfalls große - Anzahl von Einzelmaßnahmen zu betreiben. Eine IT-gestützte Systematik dabei kann den Aufwand reduzieren und die Fehlerquote mindern. Eine derartige Systematik bietet das Unified Compliance Framework (UCF), das ein Hilfsmittel zur nachweisbaren Einhaltung von IT-Compliance-Anforderungen darstellt und hier am Beispiel der Sicherheitsanforderungen erläutert wird. Abbildung 1. Aufbau des UCF 30 11/2011

3 IT-Compliance mit dem Unified Compliance Framework UCF tiers sowie der Anwaltskanzlei Latham & Watkins entwickelt und im Jahr 2005 erstmals publiziert (UCF 2011a). Das Rahmenwerk bietet eine umfassende Sammlung regulatorischer Anforderungen, adäquater Steuerungs- und Kontrollmaßnahmen sowie weiterer Hilfsmittel zur Umsetzung der Maßnahmen an. Das Rahmenwerk besteht aus mehreren Tabellen, die über Verknüpfungen der Einträge zueinander in Relation stehen. Umgesetzt sind die Tabellen mit Excel-Tabellen, die mit Links untereinander und mit Quellen aus dem Web verbunden sind. Daneben stehen eine Anzahl von Dokumentvorlagen sowie eine ausführliche Dokumentation. Struktur und Inhalte des UCF sind in Abbildung 1 dargestellt. In das Rahmenwerk sind aktuell rund Gesetze und Auflagen aufgenommen worden, bekanntere davon sind zum Beispiel: Gesetze für börsennotierte Unternehmen (z.b. Sarbanes Oxley Act) Bankenrelevante Richtlinien (z.b. Basel II, Gramm Leach Bliley Act) Regelungen im Gesundheitswesen (z.b. HIPAA, NIST, CMS) Richtlinien für Kreditkartentransaktionen (z.b. PCI DSS, Visa CISP) Datenschutzgesetze (z.b. Data Privacy Act für U.S.A., Bundesdatenschutzgesetz für Deutschland) Internationale Gesetze/Richtlinien (z.b. 8. EU- Richtlinie) Nationale Gesetze/Richtlinien (z.b. IT-Grundschutz) Standards und Normen (z.b. ITIL, ISO 13335, ISO 27001) Alle ausgewerteten regulatorischen Dokumente sind in einer Tabelle aufgelistet. Die Einträge der Dokumente werden durch zusätzliche Informationen ergänzt: Name des Gesetzes bzw. der Auflage, herausgebende Institution, Datum der Ver öffentlichung sowie eine kurze Beschreibung. Zusätzlich ist ein Link gesetzt zu Webseiten, auf denen das Original- Dokument von jeweiligem Gesetz oder Aufl age verfügbar ist. Resultat der Auswertung der Gesetze und Auflagen sind rund Steuerungs- und Kontrollmaßnahmen, die eine nachweisbare Einhaltung gewährleisten sollen. Die Steuerungs- und Kontrollmaßnahmen sind sortiert und in verschiedene Tabellen zerlegt nach 14 unterschiedlichen IT-relevanten Wirkbereichen - siehe Tabelle 1 (vgl. Rath/Sponholz 2009 S. 196). Tabelle 1. Wirkbereiche des UCF Nr. Wirkbereich (Impact Zone) Anzahl der Maßnahmen (controls) 1 Beschaffung von Technologie und Dienstleistungen (Acquisition of facilities, technology, and services) 24 2 Prüfung und Risikomanagement (Audits and risk management) Compliance und Governance Formrichtlinien (Compliance and governance manual of style) 88 4 Konfigurationsmanagement (System hardening through configuration management) Entwurf, Entwicklung und Einführung von IT-Systemen (Systems design, build, and implementation) Management des IT-Personalwesens (Human resources management) Unternehmensführung und Unternehmensziele (Leadership and high level objectives) 76 8 Überwachen und Messen (Monitoring and measurement) Betriebsführung (Operational management) Physische Sicherheit und Perimeterschutz (Physical and environmental protection) Daten- und Informationsschutz (Privacy protection for information and data) Datensicherung und -archivierung (Records Management) Wiederanlauf (Systems Continuity) Technische Sicherheit (Technical Security) 187 Summe hakin9.org/de 31

4 Betriebssicherheit IT-Sicherheit wird dabei vor allem von den Bereichen Technische Sicherheit ( technical security ), Physische Sicherheit und Perimeterschutz ( physical and environmental protection ), Daten- und Informationsschutz ( privacy protection for information and data ) und Datensicherung/-archivierung ( records management ) abgedeckt. Diese vier Wirkbereiche beinhalten ca. ein Viertel der Steuerungs- und Kontrollmaßnahmen des UCF. Die Tabellen, die die Steuerungs- und Kontrollmaßnahmen der einzelnen Wirkbereiche enthalten, geben eine hierarchische Struktur der Maßnahmen wieder. Auf der obersten Ebene werden die Steuerungs- und Kontrollmaßnahmen als top level controls bezeichnet, die den Namen des Wirkbereichs als Bezeichnung tragen. Auf den niedrigeren Ebenen werden die Maßnahmen als supporting and supported controls bezeichnet. Der Aufbau einer derartigen Tabelle sowie die enthaltenden Elemente sind in Abbildung 2 am Beispiel des Wirkbereichs Technische Sicherheit skizziert und mit Ziffern zur Erläuterung versehen: (1) Eine Spalte mit den hierarchisch geordneten Maßnahmen; (2) Eine Spalte mit eindeutiger Maßnahmen-ID, unterlegt mit einem Link auf die UCF-Website, wo detaillierte Informationen zu der Maßnahme vorgehalten werden; (3) Mehrere Spalten mit UCF-Kategorien, die die einzelnen regulatorischen Dokumente inhaltlich (z.b. nach Branchen) zusammenfassen. In den entsprechenden Feldern ist die Anzahl der Verweise zwischen den regulatorischen Dokumenten und den abgeleiteten Maßnahmen angegeben; (4) Mehrere Spalten mit den Bezeichnungen der regulatorischer Dokumente, in denen die einzelnen Verweise zwischen den abgeleiteten Maßnahmen und regulatorischen Dokumenten vermerkt sind. (5) Eine Spalte für Verweise auf interne Richtlinien, die unternehmensspezifische Vorgaben enthalten. Für die Implementierung von Steuerungs- und Kontrollmaßnahmen stellt UCF eine Reihe vorgefertigter Hilfsmittel bereit, die unternehmspezifisch angepasst oder erweitert werden können (siehe Abbildung 1). Hierzu zählen standardisierte Kenn zahlen ( metric standards ), Dokumentvorlagen ( compliance do cuments ), De finition von Rollen ( role definitions ), Klassifizierungsschemata für In for ma tio nen ( information classification ) und standardisierte Vorgehensweisen für das Kon figurationsmanagement ( configuration management ). Für UCF wird eine quartalsweise Aktualisierung angeboten, die vor allem die Be rück sich tigung neuer und veränderter Gesetze und Regularien enthält. Dadurch wird das Rahmenwerk kontinuierlich aktualisiert und erweitert. Abbildung 2. Aufbau einer Tabelle im UCF 32 11/2011

5 IT-Compliance mit dem Unified Compliance Framework UCF Steuerungs- und Kontrollmaßnahmen für technische IT-Sicherheit Um die Grundwerte der IT-Sicherheit der Vertraulichkeit, Integrität und Integrität zu gewährleisten sind geeignete physische und technische Maßnahmen notwen dig. Die entsprechenden technischen Maßnahmen gelten dem Zugang zu Systemen und dem Zugriff auf Daten. Dazu gehören etwa die Erstellung und Etablierung von Sicherheitsrichtlinien und -anweisungen, die Umsetzung von Rollenund Berechtigungskonzepten sowie der Einsatz von Firewalls, Virenscannern und Verschlüsselungstechniken. Für den Wirkbereich technische Sicherheit sieht UCF insgesamt 187 Steuerungs- und Kon- Tabelle 2. Maßnahmen und deren Herkunft aus regulatorischen Dokumenten Maßnahmen- ID Maßnahmen (controls) der obersten Ebene Beschreibung Banking & Finance Healthcare & Life Science NIST Record Management Sarbanes Oxley US Internal Revenue EU General ISO ITIL System Configuration UCF ID Establish and main - tain an access classification scheme standard UCF ID Establish and maintain access policies and access procedures UCF ID UCF ID UCF ID UCF ID UCF ID UCF ID UCF ID UCF ID Identify and control all network access and control points Secure access to each system component Operating System Control all methods of remote access and telework ing Manage the use of encryption and cryptographic con trols to protect information Establish and maintain a process to prevent malicious code attacks Enforce informa tion flow policies inside the system and between interconnected systems Establish and maintain an application security policy Establish and maintain virtual environment and shared resources security policies and procedures Entwurf, Durchsetzung und Pflege eines generellen Konzepts für Zugang und Zugriff Erstellung und Pflege von Richtlinien, Verfahren und Prozeduren zur Sicherstellung von Identifikation, Authentifikation und Zugriffsberechtigung Steuerung und Überwachung aller Netzwerkkomponenten inkl. deren Konfigurationen Sicherung des Zugangs/Zugriffs auf Betriebssysteme aller Komponenten Steuerung und Kontrolle aller Fernzugriffe auf Systeme und Komponenten Einsatz geeigneter Verschlüsselungstechniken zum Schutz der Informationen Einsatz/Pflege von Systemen zur Vermeidung von Angriffen mit Schadsoftware Entwurf, Durchsetzung und Pflege von Richtlinien zum Informationsfluss innerhalb und zwischen Systemen Erstellung und Pflege einer Sicherheitsrichtlinie für Anwendungen Erstellung und Pflege von Richtlinien, Verfahren und Prozeduren für virtuelle Umgebungen und verteilte Ressourcen hakin9.org/de 33

6 Betriebssicherheit Literatur [Böhm 2008] Böhm, M., IT-Compliance als Triebkraft von Leistungssteigerung und Wertbeitrag der IT, in: Handbuch der modernen Datenverarbeitung HMD, 2008, Nr. 263, S [BSI 2011] Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), IT-Grundschutz - Basis für Informationssicherheit, in: Internet tentbsi/ grundschutz/kataloge/allgemein/einstieg/01001.html; Zugriff am [Disterer 2009] Disterer, G., Angriffe auf betriebliche IT- -Systeme, in: Litzcke, S. M. Müller-Enbergs H. (Hrsg.), Sicherheit in Organisationen (Band 2 der Schriftenreihe Intelligence Collection and Intelligence Analysis), Verlag für Polizeiwissenschaft: Frankfurt a.m., 2009, [Rath/Sponholz 2009] Rath, M., Sponholz, R., IT-Compliance - Erfolgreiches Management regulatorischer Anforderungen, Schmidt: Berlin, [UCF 2011a] Unified Compliance Framework (Hrsg.), Why Choose the UCF?, in: Internet com/about; Zugriff am [UCF 2011b] Unified Compliance Framework (Hrsg.), Technical security, in: Inter net com/matrices/live/00508.html; Zugriff am trollmaßnahmen vor. Diese Maßnahmen sind zehn Gruppen zugeordnet, von denen manche weiter untergliedert sind. Tabelle 2 zeigt die zehn Gruppen sowie die Angabe, wie viele der zugrunde liegenden regulatorischen Dokumente diese Maßnahmen auslösen (UCF 2011b). Dabei wird verdeutlicht: Zwischen den regulatorischen Dokumenten sowie den Steuerungs- und Kontrollmaßnahmen, die durch die Vorgaben und Auflagen ausgelöst werden, existiert eine n:m-beziehung, da Gesetze und andere Regularien meist nicht aufeinander abgestimmt sind und teilweise überlappende Vorgaben und Auflagen enthalten (Böhm 2008 S. 22f). Das Aufdecken dieser inhaltlichen Übereinstimmungen verschiedener regulatorischer Dokumente bzgl. spezieller Anforderungen - hier nach technischer Sicherheit - ist wesentlicher Vorteil des Einsatzes von UCF, da damit redundante Steuerungs- und Kontrollmaßnahmen vermieden werden können. Daneben enthält UCF einige Werkzeuge, die vor allem die organisatorische Ver an ke rung der Steuerungs- und Kontrollmaßnahmen erleichtern sollen. So wird eine Dokumentvorlage für die Textverarbeitung bereitgestellt, die eine unter neh mens weit einheitliche und strukturierte Darstellung von Vorgaben unterstützt. Grund sätze und Ziele einer Sicherheitsrichtlinie werden beispielhaft aufgeführt. Ein Gliederungsvorschlag kann zur Erstellung einer zentralen und generellen Sicherheitsrichtlinie sowie ergänzender spezifischer Richtlinien (z.b. Passwort-Policy, -Policy) genutzt werden. Dokumentvorlagen für die Beschreibung spezieller Rollen im IT-Sicherheitsmanagement unterstützen die Einheitlichkeit und Konsistenz, etwa bei der Definition von Aufgaben, Verantwortlichkeiten und Befugnissen, z.b. für Security Manager und Change Manager. Für einige der erwähnten Steuerungs- und Kontrollmaßnahmen sind in UCF Vorschläge für Kennzahlen enthalten, die zur Messung der Wirksamkeit der Maßnahmen zu nutzen sind. Zur Dokumentation und zum Berichten der Messergebnisse hält UCF eine Reihe konfektionierter Dateien in Formaten von Tabellenkalkulationen und Geschäftsgrafiken bereit. Mit diesen Dateien kann ein teil-automatisiertes Berichtswesen zum Controlling der Umsetzung der Maßnahmen aufgebaut werden. Alle Vorlagen und Muster sehen eine Versionsverwaltung und ähnliche Vorkehrungen vor, so dass eine Revisionssicherheit der Unterlagen erreicht werden kann. Fazit Ob der großen Bedeutung der IT-Unterstützung der Geschäftsprozesse haben so gar nationale und internationale Gesetzgeber die Notwendigkeit gesehen, Unte rneh men mit diversen Gesetzen und Regularien die dezidierte Steuerung und Kontrolle der IT vorzugeben. Im Rahmen von IT-Compliance wird ein Vorgehen angestrebt, das zu diesen Gesetzen und Regularien nachweisbar konform ist. Die Anzahl und Unterschiedlichkeit der Vorgaben erzwingen zur Sicherung der Effektivität ein systematisches Vorgehen, zur Sicherung der Effizienz ist der Einsatz geeigneter Hilfsmittel geboten. Mit dem Rahmenwerk UCF steht ein derartiges Hilfsmittel zur Verfügung, das hier am Bespiel der IT-Sicherheit, speziell der technischen Sicherheit vorgestellt und diskutiert wurde. Georg Disterer, Michael Wittek Georg Disterer, Prof. Dr. lehrt Wirtschaftsinformatik an der Fachhochschule Hannover und arbeitet auf den Ge bie ten Infor ma tions ma na ge ment, Projekt ma na ge ment, Wissens mana ge ment. Da neben ist er als öffentlich be stell ter und vereidigter Sach verständiger für Informationssysteme tä tig. Michael Wittek, M.Sc. arbeitet als wissenschaftlicher Mitarbeiter an der Fakultät für Wirt schaft und Informatik der Fachhochschule Hannover. Sein Arbeits schwer punkte liegen in der Wirt schaftsinformatik, insbesondere IT Service Management und IT-Risikomanagement /2011

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014 ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Delegieren von IT- Sicherheitsaufgaben

Delegieren von IT- Sicherheitsaufgaben Delegieren von IT- Sicherheitsaufgaben Regeln und Grenzen Pierre Brun Zürich Inhalt Relevante IT-Sicherheitsaktivitäten Verantwortlichkeit von IT Regulatorisches Umfeld 2 PricewaterhouseCoopers Verantwortung

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09.

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09. MITsec - Gelebte IT-Sicherheit in KMU - IT - Sicherheitsforum Erfurt 2015 23.09.2015 TÜV Thüringen Informationssicherheit Informationen sind das schützenswerte Gut ihres Unternehmens Definition: Eine Information

Mehr

Planung und Umsetzung von IT-Compliance in Unternehmen

Planung und Umsetzung von IT-Compliance in Unternehmen Planung und Umsetzung von IT-Compliance in Unternehmen Ein kurzer Überblick über die wichtigsten Regelungen. Zu meiner Person Dipl. Informatiker (IANAL) Seit mehr als 15 Jahren unterstütze ich Unternehmen

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

IT-Governance und COBIT. DI Eberhard Binder

IT-Governance und COBIT. DI Eberhard Binder IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v.

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Was ist Sicherheit? Wikipedia: Sicherheit (von lat. sēcūritās zurückgehend auf sēcūrus

Mehr

Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan des Bundes ISB. Information Assurance innerhalb und mit der Bundesverwaltung

Eidgenössisches Finanzdepartement EFD Informatiksteuerungsorgan des Bundes ISB. Information Assurance innerhalb und mit der Bundesverwaltung Information Assurance innerhalb und mit der Bundesverwaltung Lars Minth/ 20.09.2013 Agenda Wir haben doch schon soviel Auftrag im Namen des Volkes Logisches Schubladendenken Information Assurance und Informationssicherheit

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

The AuditFactory. Copyright by The AuditFactory 2007 1

The AuditFactory. Copyright by The AuditFactory 2007 1 The AuditFactory 1 The AuditFactory Committee of Sponsoring Organizations of the Treadway Commission Internal Control System (COSO I) 2 Vorbemerkung zur Nutzung dieser Publikation Die Nutzung der hier

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation Inhaltsverzeichnis zu Praxisbuch IT-Dokumentation von Georg und Manuela Reiss ISBN (Buch): 978-3-446-43780-7 ISBN (E-Book): 978-3-446-43833-0 Weitere Informationen und Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-43780-7

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Der IT Security Manager

Der IT Security Manager Edition kes Der IT Security Manager Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden Bearbeitet von Heinrich Kersten, Gerhard Klett 4. Auflage 2015.

Mehr

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"!

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt Compliance von Geschäftsprozessen! von 22 10.07.2014 12:25 Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"! Bitte füllen Sie den Fragebogen in einem Durchgang aus, da ein Zwischenspeichern

Mehr

Datenschutz- und IT-Sicherheitsaudit

Datenschutz- und IT-Sicherheitsaudit Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. M&M a) b) Audit

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum

Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Kurzprofil - Anforderungen an ein geprüftes Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit 24x7 Kurzprofil Rechenzentrum Stufe 3 tekplus Hochverfügbarkeit der tekit Consult Bonn GmbH TÜV Saarland Gruppe

Mehr

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland

Wie man die Qualität von Cloud Services beurteilen und absichern kann. Andreas Weiss EuroCloud Deutschland Wie man die Qualität von Cloud Services beurteilen und absichern kann Andreas Weiss EuroCloud Deutschland IT Beschaffung Data Center fokussiert X-Node IaaS PaaS SaaS Kühlung Powe r and UPS LAN/WAN

Mehr

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit

Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen. Bachelorarbeit Diskussion eines IT-Outsourcing unter Berücksichtigung von Compliance Anforderungen Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb sverzeichnis Christian Wischki, Lutz Fröhlich ITIL & ISO/IEC 20000 für Oracle Datenbanken Praxisleitfaden für die Einführung und den Betrieb ISBN: 978-3-446-41978-0 Weitere Informationen oder Bestellungen

Mehr

Praxisbuch IT-Dokumentation

Praxisbuch IT-Dokumentation Manuela Reiss Georg Reiss Praxisbuch IT-Dokumentation Betriebshandbuch, Systemdokumentation und Notfallhandbuch im Griff HANSER Vorwort XI 1 Anforderungen an die IT-Dokumentation 1 1.1 Was heißt Compliance?

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Firewall-Management im Rahmen einer Prozessorganisation

Firewall-Management im Rahmen einer Prozessorganisation Firewall-Management im Rahmen einer Prozessorganisation Dissertation zur Erlangung des akademischen Grades des Doktors der Naturwissenschaften am Fachbereich IV der Universität Trier vorgelegt von Diplom-Wirtschaftsinformatiker

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening."

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening. Sicherheit Absolute Sicherheit in der Datenverarbeitung gibt es nicht; K+P kann die Sicherheit jedoch durch geeignete Maßnahmen entscheidend verbessern! Chancen und Risiken The risk of good things not

Mehr

IT-Sicherheit mit System

IT-Sicherheit mit System Klaus-Rainer Müller IT-Sicherheit mit System Sicherheitspyramide und Vorgehensmodelle - Sicherheitsprozess und Katastrophenvorsorge - Die 10 Schritte zum Sicherheitsmanagement Mit 26 Abbildungen vieweg

Mehr

Vorwort Organisationsrichtlinie IT-Sicherheit

Vorwort Organisationsrichtlinie IT-Sicherheit Vorwort Organisationsrichtlinie IT-Sicherheit Diese Richtlinie regelt die besonderen Sicherheitsbedürfnisse und -anforderungen des Unternehmens sowie die Umsetzung beim Betrieb von IT-gestützten Verfahren

Mehr

BASWARE Compliance Services Compliance Readyness beim einvoicing

BASWARE Compliance Services Compliance Readyness beim einvoicing A Basware Presentation BASWARE Compliance Services Compliance Readyness beim einvoicing Alexander Dörner compliance@basware.com 20.10.2011 Agenda Bereiche & Leistungen der BASWARE Compliance Services Verfahrensdokumentation

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS Eine intelligente Lösung GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

über die complimant ag Die Beraterprofis it Compliance

über die complimant ag Die Beraterprofis it Compliance lso/lec 27001 über die complimant ag Die Beraterprofis it Compliance Spielregeln ISMS-Gestaltung IT-Risikoanalyse IT-Notfallkonzept Datenschutz IT-Systemprüfung durch den Wirtschaftsprüfer Digitale Betriebsprüfung

Mehr

COBIT 5/ITIL-Convergence?

COBIT 5/ITIL-Convergence? IT-Tagung 2012 COBIT 5/ITIL-Convergence? Massood Salehi 1 Agenda Ursachen für den fehlenden Gorvernance in den Unternehmen Die Stellung von COBIT im Unternehmen ITIL Sicht im Betrieb Parallelen und Unterschiede

Mehr

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014 Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung 1 KRM/Wildhaber Consulting, Zürich 2014 Kreditkartendaten gestohlen u Die Geheimdienste zapfen systematisch Rechner an u Cloud Lösungen sind

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22

IT-Sicherheit. IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen. Informationsrechtstag 2006 / Seite 1 von 22 IT-Sicherheit IT-Sicherheit im Spannungsfeld von Kosten/Aufwand und Compliance/Nutzen Informationsrechtstag 2006 / Seite 1 von 22 BASF IT Services Wir stellen uns vor Gründung einer europaweiten IT-Organisation

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager FORUM Gesellschaft für Informationssicherheit mbh GenoBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept

Mehr

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen Erfolg des Risk- und Notfall-Managements in Ihrem Unternehmen 1 Inhalt Das Zusammenspiel zwischen externem Partner und internen Funktionen Notfallhandbuch von der Stange oder doch als Maßanfertigung Ansätze

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

PCI Compliance. Enno Rey, erey@ernw.de CISSP/ISSAP, CISA, BS 7799 Lead Auditor

PCI Compliance. Enno Rey, erey@ernw.de CISSP/ISSAP, CISA, BS 7799 Lead Auditor PCI Compliance Enno Rey, erey@ernw.de CISSP/ISSAP, CISA, BS 7799 Lead Auditor Agenda Der PCI DSS Geschichte & Inhalt Definitionen Wichtige Bestandteile Compliance & Sanktionen Wechselwirkung mit anderen

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr