IT-Compliance strebt nach weisbar regel konformes

Größe: px
Ab Seite anzeigen:

Download "IT-Compliance strebt nach weisbar regel konformes"

Transkript

1 IT-Compliance mit dem Unified Compliance Framework UCF IT-Compliance mit dem Unified Compliance Framework UCF Georg Disterer und Michael Wittek Die IT-Unterstützung von Geschäftsprozessen ist so bedeutend, dass Störungen oder Unterbrechungen im IT-Betrieb große Risiken darstellen. Mittlerweile fordern sogar Gesetze und Regularien aus reichende Sorgfalt und Vorsorge, um einen störungs- und unter brechungsfreien Betrieb zu gewährleisten. In diesem Artikel erfahren Sie Grundlagen zu IT-Compliance UCF als Hilfsmittel zur Steuerung und Kontrolle Maßnahmen zur technischen Betriebssicherheit Was Sie vorher wissen sollten kein spezielles Vorwissen IT-Compliance strebt nach weisbar regel konformes Handeln im IT-Bereich an und umfasst alle Maßnahmen zur Einhaltung entsprechender Vorgaben wie Ge setze, Vorschriften, Normen u.ä. Die Anzahl entsprechender Vor gaben ist groß, deren Art und Umfang höchst unterschiedlich, viele der Anforderungen betreffen IT-Sicherheit. Um die Einhaltung der Vorgaben nachweisen zu können, ist ein systematisches Vor gehen sinn voll. Als ein Hilfsmittel steht das Unified Compliance Frame work (UCF) zur Verfügung. Nachfolgend werden Auf bau und Funktions weise des UCF am Bei spiel der IT-Sicherheit erläutert, um dann die wesent lichen Steuerungsund Kontroll maß nahmen für den Wirkbereich der technischen Sicherheit aus dem Framework abzulei ten. IT-Sicherheit im Fokus der IT-Compliance Informationstechnologie (IT) ist ein wesentliches Werkzeug zur Abwicklung betrieblicher Prozesse. Die Abhängigkeit vieler Prozesse von der IT-Unterstützung ist teilweise so erheblich, dass IT vielerorts zur strategischen Ressource geworden ist. Entsprechender Aufwand muss betrieben werden, um den vielfältigen Gefahren zu begegnen (Disterer 2009 S ), wie etwa Angriffen in Form vorsätzlicher und gezielter Handlungen, missbräuchliche Nutzungen, irrtümliche oder versehentliche Handlungen, höhere Gewalt, technische Mängel und technisches Versagen, Funktions- und Organisationsmängel. Umfangreiche Steuerungs- und Kontrollmaßnahmen sind zum Schutz notwendig, um Störungen und Unterbrechungen des IT-Betriebs zu vermeiden. Eine zentrale Rolle spielt das IT-Sicherheitsmanagement, das für die IT die Planung, Umsetzung, Steuerung, Kontrolle und kontinuierliche Weiterentwicklung physischer und technischer Sicher heitsmaßnahmen umfasst. Ziel des IT-Sicherheits ma nage ments ist die Sicherstellung der Vertraulichkeit, Verfügbarkeit und Integrität von Informationen und IT-Systemen (BSI 2011). Mit der zunehmenden Bedeutung von IT steigen auch gesetzliche und regulatorische Vorgaben, die den Einsatz von IT im Unternehmen regeln, wie z.b. die Vorgaben aus dem Bundesdatenschutzgesetz (BDSG), den Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) oder aus den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GdPDU). Nachweisbar regelkonformes Handeln im IT-Bereich wird als IT-Compliance bezeichnet (Böhm 2008 S. 17, Rath/Sponholz 2009 S. 25). Insgesamt ist die Anzahl derartiger Auflagen und Vorgaben groß, deren Art und Umfang höchst unterschiedlich. Zu beachten sind etwa Vorgaben für spezielle Branchen (Banken, Versicherungen, Gesundheitswesen u.ä.) und für spezielle Funktionsbereiche (Rechnungswesen, Logistik u.ä.) sowie übergreifende (z.b. Datenschutzrecht) sowie nationale und inter- hakin9.org/de 29

2 Betriebssicherheit Aufbau und Funktionsweise des UCF UCF wurde als Rahmenwerk für IT-Compliance von Vertretern des Beratungsunternehmen Network Fronnationale Vorgaben. Viele der Vorgaben betreffen die IT-Sicherheit, d.h. das IT-Sicherheitsmanagement ist nicht in das Belieben eines Unternehmens gestellt, sondern muss vielerlei Auflagen erfüllen. Wegen der Vielzahl und Vielfalt der Auflagen und Vorgaben besteht die Gefahr der Intransparenz der zu beachtenden Vorgaben. Die Vorgaben sind teilweise redundant oder überlappend und unterscheiden sich in der Form oder dem Regelungstyp. Entsprechend ist Aufwand zu betreiben, um alle relevanten Vorgaben zu kennen und zu verstehen sowie Redundanzen und Überlappungen aufzudecken, um somit ein abgestimmtes Bündel von Maßnahmen statt eine - gegebenenfalls große - Anzahl von Einzelmaßnahmen zu betreiben. Eine IT-gestützte Systematik dabei kann den Aufwand reduzieren und die Fehlerquote mindern. Eine derartige Systematik bietet das Unified Compliance Framework (UCF), das ein Hilfsmittel zur nachweisbaren Einhaltung von IT-Compliance-Anforderungen darstellt und hier am Beispiel der Sicherheitsanforderungen erläutert wird. Abbildung 1. Aufbau des UCF 30 11/2011

3 IT-Compliance mit dem Unified Compliance Framework UCF tiers sowie der Anwaltskanzlei Latham & Watkins entwickelt und im Jahr 2005 erstmals publiziert (UCF 2011a). Das Rahmenwerk bietet eine umfassende Sammlung regulatorischer Anforderungen, adäquater Steuerungs- und Kontrollmaßnahmen sowie weiterer Hilfsmittel zur Umsetzung der Maßnahmen an. Das Rahmenwerk besteht aus mehreren Tabellen, die über Verknüpfungen der Einträge zueinander in Relation stehen. Umgesetzt sind die Tabellen mit Excel-Tabellen, die mit Links untereinander und mit Quellen aus dem Web verbunden sind. Daneben stehen eine Anzahl von Dokumentvorlagen sowie eine ausführliche Dokumentation. Struktur und Inhalte des UCF sind in Abbildung 1 dargestellt. In das Rahmenwerk sind aktuell rund Gesetze und Auflagen aufgenommen worden, bekanntere davon sind zum Beispiel: Gesetze für börsennotierte Unternehmen (z.b. Sarbanes Oxley Act) Bankenrelevante Richtlinien (z.b. Basel II, Gramm Leach Bliley Act) Regelungen im Gesundheitswesen (z.b. HIPAA, NIST, CMS) Richtlinien für Kreditkartentransaktionen (z.b. PCI DSS, Visa CISP) Datenschutzgesetze (z.b. Data Privacy Act für U.S.A., Bundesdatenschutzgesetz für Deutschland) Internationale Gesetze/Richtlinien (z.b. 8. EU- Richtlinie) Nationale Gesetze/Richtlinien (z.b. IT-Grundschutz) Standards und Normen (z.b. ITIL, ISO 13335, ISO 27001) Alle ausgewerteten regulatorischen Dokumente sind in einer Tabelle aufgelistet. Die Einträge der Dokumente werden durch zusätzliche Informationen ergänzt: Name des Gesetzes bzw. der Auflage, herausgebende Institution, Datum der Ver öffentlichung sowie eine kurze Beschreibung. Zusätzlich ist ein Link gesetzt zu Webseiten, auf denen das Original- Dokument von jeweiligem Gesetz oder Aufl age verfügbar ist. Resultat der Auswertung der Gesetze und Auflagen sind rund Steuerungs- und Kontrollmaßnahmen, die eine nachweisbare Einhaltung gewährleisten sollen. Die Steuerungs- und Kontrollmaßnahmen sind sortiert und in verschiedene Tabellen zerlegt nach 14 unterschiedlichen IT-relevanten Wirkbereichen - siehe Tabelle 1 (vgl. Rath/Sponholz 2009 S. 196). Tabelle 1. Wirkbereiche des UCF Nr. Wirkbereich (Impact Zone) Anzahl der Maßnahmen (controls) 1 Beschaffung von Technologie und Dienstleistungen (Acquisition of facilities, technology, and services) 24 2 Prüfung und Risikomanagement (Audits and risk management) Compliance und Governance Formrichtlinien (Compliance and governance manual of style) 88 4 Konfigurationsmanagement (System hardening through configuration management) Entwurf, Entwicklung und Einführung von IT-Systemen (Systems design, build, and implementation) Management des IT-Personalwesens (Human resources management) Unternehmensführung und Unternehmensziele (Leadership and high level objectives) 76 8 Überwachen und Messen (Monitoring and measurement) Betriebsführung (Operational management) Physische Sicherheit und Perimeterschutz (Physical and environmental protection) Daten- und Informationsschutz (Privacy protection for information and data) Datensicherung und -archivierung (Records Management) Wiederanlauf (Systems Continuity) Technische Sicherheit (Technical Security) 187 Summe hakin9.org/de 31

4 Betriebssicherheit IT-Sicherheit wird dabei vor allem von den Bereichen Technische Sicherheit ( technical security ), Physische Sicherheit und Perimeterschutz ( physical and environmental protection ), Daten- und Informationsschutz ( privacy protection for information and data ) und Datensicherung/-archivierung ( records management ) abgedeckt. Diese vier Wirkbereiche beinhalten ca. ein Viertel der Steuerungs- und Kontrollmaßnahmen des UCF. Die Tabellen, die die Steuerungs- und Kontrollmaßnahmen der einzelnen Wirkbereiche enthalten, geben eine hierarchische Struktur der Maßnahmen wieder. Auf der obersten Ebene werden die Steuerungs- und Kontrollmaßnahmen als top level controls bezeichnet, die den Namen des Wirkbereichs als Bezeichnung tragen. Auf den niedrigeren Ebenen werden die Maßnahmen als supporting and supported controls bezeichnet. Der Aufbau einer derartigen Tabelle sowie die enthaltenden Elemente sind in Abbildung 2 am Beispiel des Wirkbereichs Technische Sicherheit skizziert und mit Ziffern zur Erläuterung versehen: (1) Eine Spalte mit den hierarchisch geordneten Maßnahmen; (2) Eine Spalte mit eindeutiger Maßnahmen-ID, unterlegt mit einem Link auf die UCF-Website, wo detaillierte Informationen zu der Maßnahme vorgehalten werden; (3) Mehrere Spalten mit UCF-Kategorien, die die einzelnen regulatorischen Dokumente inhaltlich (z.b. nach Branchen) zusammenfassen. In den entsprechenden Feldern ist die Anzahl der Verweise zwischen den regulatorischen Dokumenten und den abgeleiteten Maßnahmen angegeben; (4) Mehrere Spalten mit den Bezeichnungen der regulatorischer Dokumente, in denen die einzelnen Verweise zwischen den abgeleiteten Maßnahmen und regulatorischen Dokumenten vermerkt sind. (5) Eine Spalte für Verweise auf interne Richtlinien, die unternehmensspezifische Vorgaben enthalten. Für die Implementierung von Steuerungs- und Kontrollmaßnahmen stellt UCF eine Reihe vorgefertigter Hilfsmittel bereit, die unternehmspezifisch angepasst oder erweitert werden können (siehe Abbildung 1). Hierzu zählen standardisierte Kenn zahlen ( metric standards ), Dokumentvorlagen ( compliance do cuments ), De finition von Rollen ( role definitions ), Klassifizierungsschemata für In for ma tio nen ( information classification ) und standardisierte Vorgehensweisen für das Kon figurationsmanagement ( configuration management ). Für UCF wird eine quartalsweise Aktualisierung angeboten, die vor allem die Be rück sich tigung neuer und veränderter Gesetze und Regularien enthält. Dadurch wird das Rahmenwerk kontinuierlich aktualisiert und erweitert. Abbildung 2. Aufbau einer Tabelle im UCF 32 11/2011

5 IT-Compliance mit dem Unified Compliance Framework UCF Steuerungs- und Kontrollmaßnahmen für technische IT-Sicherheit Um die Grundwerte der IT-Sicherheit der Vertraulichkeit, Integrität und Integrität zu gewährleisten sind geeignete physische und technische Maßnahmen notwen dig. Die entsprechenden technischen Maßnahmen gelten dem Zugang zu Systemen und dem Zugriff auf Daten. Dazu gehören etwa die Erstellung und Etablierung von Sicherheitsrichtlinien und -anweisungen, die Umsetzung von Rollenund Berechtigungskonzepten sowie der Einsatz von Firewalls, Virenscannern und Verschlüsselungstechniken. Für den Wirkbereich technische Sicherheit sieht UCF insgesamt 187 Steuerungs- und Kon- Tabelle 2. Maßnahmen und deren Herkunft aus regulatorischen Dokumenten Maßnahmen- ID Maßnahmen (controls) der obersten Ebene Beschreibung Banking & Finance Healthcare & Life Science NIST Record Management Sarbanes Oxley US Internal Revenue EU General ISO ITIL System Configuration UCF ID Establish and main - tain an access classification scheme standard UCF ID Establish and maintain access policies and access procedures UCF ID UCF ID UCF ID UCF ID UCF ID UCF ID UCF ID UCF ID Identify and control all network access and control points Secure access to each system component Operating System Control all methods of remote access and telework ing Manage the use of encryption and cryptographic con trols to protect information Establish and maintain a process to prevent malicious code attacks Enforce informa tion flow policies inside the system and between interconnected systems Establish and maintain an application security policy Establish and maintain virtual environment and shared resources security policies and procedures Entwurf, Durchsetzung und Pflege eines generellen Konzepts für Zugang und Zugriff Erstellung und Pflege von Richtlinien, Verfahren und Prozeduren zur Sicherstellung von Identifikation, Authentifikation und Zugriffsberechtigung Steuerung und Überwachung aller Netzwerkkomponenten inkl. deren Konfigurationen Sicherung des Zugangs/Zugriffs auf Betriebssysteme aller Komponenten Steuerung und Kontrolle aller Fernzugriffe auf Systeme und Komponenten Einsatz geeigneter Verschlüsselungstechniken zum Schutz der Informationen Einsatz/Pflege von Systemen zur Vermeidung von Angriffen mit Schadsoftware Entwurf, Durchsetzung und Pflege von Richtlinien zum Informationsfluss innerhalb und zwischen Systemen Erstellung und Pflege einer Sicherheitsrichtlinie für Anwendungen Erstellung und Pflege von Richtlinien, Verfahren und Prozeduren für virtuelle Umgebungen und verteilte Ressourcen hakin9.org/de 33

6 Betriebssicherheit Literatur [Böhm 2008] Böhm, M., IT-Compliance als Triebkraft von Leistungssteigerung und Wertbeitrag der IT, in: Handbuch der modernen Datenverarbeitung HMD, 2008, Nr. 263, S [BSI 2011] Bundesamt für Sicherheit in der Informationstechnik (Hrsg.), IT-Grundschutz - Basis für Informationssicherheit, in: Internet tentbsi/ grundschutz/kataloge/allgemein/einstieg/01001.html; Zugriff am [Disterer 2009] Disterer, G., Angriffe auf betriebliche IT- -Systeme, in: Litzcke, S. M. Müller-Enbergs H. (Hrsg.), Sicherheit in Organisationen (Band 2 der Schriftenreihe Intelligence Collection and Intelligence Analysis), Verlag für Polizeiwissenschaft: Frankfurt a.m., 2009, [Rath/Sponholz 2009] Rath, M., Sponholz, R., IT-Compliance - Erfolgreiches Management regulatorischer Anforderungen, Schmidt: Berlin, [UCF 2011a] Unified Compliance Framework (Hrsg.), Why Choose the UCF?, in: Internet com/about; Zugriff am [UCF 2011b] Unified Compliance Framework (Hrsg.), Technical security, in: Inter net com/matrices/live/00508.html; Zugriff am trollmaßnahmen vor. Diese Maßnahmen sind zehn Gruppen zugeordnet, von denen manche weiter untergliedert sind. Tabelle 2 zeigt die zehn Gruppen sowie die Angabe, wie viele der zugrunde liegenden regulatorischen Dokumente diese Maßnahmen auslösen (UCF 2011b). Dabei wird verdeutlicht: Zwischen den regulatorischen Dokumenten sowie den Steuerungs- und Kontrollmaßnahmen, die durch die Vorgaben und Auflagen ausgelöst werden, existiert eine n:m-beziehung, da Gesetze und andere Regularien meist nicht aufeinander abgestimmt sind und teilweise überlappende Vorgaben und Auflagen enthalten (Böhm 2008 S. 22f). Das Aufdecken dieser inhaltlichen Übereinstimmungen verschiedener regulatorischer Dokumente bzgl. spezieller Anforderungen - hier nach technischer Sicherheit - ist wesentlicher Vorteil des Einsatzes von UCF, da damit redundante Steuerungs- und Kontrollmaßnahmen vermieden werden können. Daneben enthält UCF einige Werkzeuge, die vor allem die organisatorische Ver an ke rung der Steuerungs- und Kontrollmaßnahmen erleichtern sollen. So wird eine Dokumentvorlage für die Textverarbeitung bereitgestellt, die eine unter neh mens weit einheitliche und strukturierte Darstellung von Vorgaben unterstützt. Grund sätze und Ziele einer Sicherheitsrichtlinie werden beispielhaft aufgeführt. Ein Gliederungsvorschlag kann zur Erstellung einer zentralen und generellen Sicherheitsrichtlinie sowie ergänzender spezifischer Richtlinien (z.b. Passwort-Policy, -Policy) genutzt werden. Dokumentvorlagen für die Beschreibung spezieller Rollen im IT-Sicherheitsmanagement unterstützen die Einheitlichkeit und Konsistenz, etwa bei der Definition von Aufgaben, Verantwortlichkeiten und Befugnissen, z.b. für Security Manager und Change Manager. Für einige der erwähnten Steuerungs- und Kontrollmaßnahmen sind in UCF Vorschläge für Kennzahlen enthalten, die zur Messung der Wirksamkeit der Maßnahmen zu nutzen sind. Zur Dokumentation und zum Berichten der Messergebnisse hält UCF eine Reihe konfektionierter Dateien in Formaten von Tabellenkalkulationen und Geschäftsgrafiken bereit. Mit diesen Dateien kann ein teil-automatisiertes Berichtswesen zum Controlling der Umsetzung der Maßnahmen aufgebaut werden. Alle Vorlagen und Muster sehen eine Versionsverwaltung und ähnliche Vorkehrungen vor, so dass eine Revisionssicherheit der Unterlagen erreicht werden kann. Fazit Ob der großen Bedeutung der IT-Unterstützung der Geschäftsprozesse haben so gar nationale und internationale Gesetzgeber die Notwendigkeit gesehen, Unte rneh men mit diversen Gesetzen und Regularien die dezidierte Steuerung und Kontrolle der IT vorzugeben. Im Rahmen von IT-Compliance wird ein Vorgehen angestrebt, das zu diesen Gesetzen und Regularien nachweisbar konform ist. Die Anzahl und Unterschiedlichkeit der Vorgaben erzwingen zur Sicherung der Effektivität ein systematisches Vorgehen, zur Sicherung der Effizienz ist der Einsatz geeigneter Hilfsmittel geboten. Mit dem Rahmenwerk UCF steht ein derartiges Hilfsmittel zur Verfügung, das hier am Bespiel der IT-Sicherheit, speziell der technischen Sicherheit vorgestellt und diskutiert wurde. Georg Disterer, Michael Wittek Georg Disterer, Prof. Dr. lehrt Wirtschaftsinformatik an der Fachhochschule Hannover und arbeitet auf den Ge bie ten Infor ma tions ma na ge ment, Projekt ma na ge ment, Wissens mana ge ment. Da neben ist er als öffentlich be stell ter und vereidigter Sach verständiger für Informationssysteme tä tig. Michael Wittek, M.Sc. arbeitet als wissenschaftlicher Mitarbeiter an der Fakultät für Wirt schaft und Informatik der Fachhochschule Hannover. Sein Arbeits schwer punkte liegen in der Wirt schaftsinformatik, insbesondere IT Service Management und IT-Risikomanagement /2011

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Überblick über existierende Vorschriften, Gesetze und Normen

Überblick über existierende Vorschriften, Gesetze und Normen 5 Überblick über existierende Vorschriften, Gesetze und Normen Als Reaktion auf die ansteigende Anzahl der bekannt werdenden Fälle skandalöser Betriebsführungen, hat der Gesetzgeber eine Fülle von neuen

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Planung und Umsetzung von IT-Compliance in Unternehmen

Planung und Umsetzung von IT-Compliance in Unternehmen Planung und Umsetzung von IT-Compliance in Unternehmen Ein kurzer Überblick über die wichtigsten Regelungen. Zu meiner Person Dipl. Informatiker (IANAL) Seit mehr als 15 Jahren unterstütze ich Unternehmen

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Datenschutz & Datensicherheit

Datenschutz & Datensicherheit Datenschutz & Datensicherheit IT und Haftungsfragen 1 Vorstellung Holger Filges Geschäftsführer der Filges IT Beratung Beratung und Seminare zu IT Sicherheit, Datenschutz und BSI Grundschutz Lizenzierter

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014

Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung. KRM/Wildhaber Consulting, Zürich 2014 Wo sind meine Daten? Ein Gesundheitscheck Ihrer Datenhaltung 1 KRM/Wildhaber Consulting, Zürich 2014 Kreditkartendaten gestohlen u Die Geheimdienste zapfen systematisch Rechner an u Cloud Lösungen sind

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

PCI Compliance. Enno Rey, erey@ernw.de CISSP/ISSAP, CISA, BS 7799 Lead Auditor

PCI Compliance. Enno Rey, erey@ernw.de CISSP/ISSAP, CISA, BS 7799 Lead Auditor PCI Compliance Enno Rey, erey@ernw.de CISSP/ISSAP, CISA, BS 7799 Lead Auditor Agenda Der PCI DSS Geschichte & Inhalt Definitionen Wichtige Bestandteile Compliance & Sanktionen Wechselwirkung mit anderen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:

Mehr

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten?

Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Wo erweitert das IT-Sicherheitsgesetz bestehende Anforderungen und wo bleibt alles beim Alten? Hamburg/Osnabrück/Bremen 18./25./26. November 2014 Gerd Malert Agenda 1. Kernziele des Gesetzesentwurfes 2.

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

ISO 27001 Zertifizierung

ISO 27001 Zertifizierung ISO 27001 Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 - Kombinierte Sicherheit Datenschutz

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v.

Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing. Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Die fünf wichtigsten Maßnahmen für sicheres Cloud-Computing Andreas Weiss Direktor EuroCloud Deutschland_eco e.v. Was ist Sicherheit? Wikipedia: Sicherheit (von lat. sēcūritās zurückgehend auf sēcūrus

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de

Governance, Risk, Compliance (GRC) & SOA Identity Management. 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Governance, Risk, Compliance (GRC) & SOA Identity Management 14.02.2008 Sebastian Rohr, KCP sr@kuppingercole.de Agenda Management von Identitäten IAM, GRC was ist das? SOA wo ist der Bezug? Seite 2 Die

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Dipl.-Kfm., CISA, CISM 2007 RÖVERBRÖNNER Consulting GmbH Das einzige System, welches wirklich sicher ist, ist ausgeschaltet und ausgesteckt, eingesperrt in einem Safe aus Titan,

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

Befähigen Beherrschen Bestätigen

Befähigen Beherrschen Bestätigen ISO 20000-1:2011 Befähigen Beherrschen Bestätigen ISO/IEC 20000-1:2011 - Der Standard für IT Service Management ISO/IEC 20000-1:2011 ist ein Service Management System (SMS) Standard. Er spezifiziert die

Mehr

IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe

IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe IT Security @ EGGER ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe Michael Danzl, IT Security Officer, Fritz Egger GmbH und Co.OG Inhalt Die EGGER Gruppe Die EGGER OrgIT

Mehr

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg Technische Realisierung von Datenschutz in Unternehmen Prof. Dr. Hannes Federrath Universität Regensburg Begriffe IT-Sicherheitsmanagement IT-Sicherheitsmanagement versucht, die mit Hilfe von Informationstechnik

Mehr

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS Eine intelligente Lösung GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Datenschutz- und IT-Sicherheitsaudit

Datenschutz- und IT-Sicherheitsaudit Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. M&M a) b) Audit

Mehr

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen -

Vortrag zum Thema E C G - 1 - Das CobiT Referenzmodell für das Steuern von IT-Prozessen. - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - Vortrag zum Thema - Das CobiT Referenzmodell für das Steuern von IT-Prozessen - auf der Veranstaltung: - Wertorientierte IT-Steuerung durch gelebte IT-Governance Vorbereitet für: IIR Deutschland GmbH Vorbereitet

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

White Paper GRC Reihe:

White Paper GRC Reihe: White Paper GRC Reihe: Thema: IT-Dokumentation Buchauszug Projektmeilenstein IT-Verbund (IT-) Notfallmanagement im Unternehmen und in der Behörde Planung, Umsetzung und Dokumentation gemäß BSI-Standard

Mehr

GRC-Modell für die IT Modul GRC-Organisation 1

GRC-Modell für die IT Modul GRC-Organisation 1 GRC-Modell für die IT Modul GRC-Organisation 1 Autor Bernd Peter Ludwig Wirtschaftsinformatiker, CGEIT, CISM, CRISC Dieser Artikel und das dort beschriebene Modul sind urheberrechtlich geschützt () Die

Mehr

IT-Sicherheitsmanagement

IT-Sicherheitsmanagement Hagenberg Univ.-Doz.DI ingrid.schaumueller@liwest.at 1 Kennen Sie diese Situation? 2 Heute finden wir meist...... gute technische Einzellösungen... spontane Aktionen bei Bekanntwerden neuer Bedrohungen...

Mehr

Leibniz Universität Hannover Services Juni 2009. PwC

Leibniz Universität Hannover Services Juni 2009. PwC Leibniz Universität Hannover Services Juni 2009 PwC Agenda PwC Das interne Kontrollsystem Unser Prüfungsansatz Diskussion und Fragen PricewaterhouseCoopers PwC Daten und Fakten PricewaterhouseCoopers International

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen Erfolg des Risk- und Notfall-Managements in Ihrem Unternehmen 1 Inhalt Das Zusammenspiel zwischen externem Partner und internen Funktionen Notfallhandbuch von der Stange oder doch als Maßanfertigung Ansätze

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Shared Assessments Ein unternehmensübergreifender Ansatz zur Risikobewertung von Vendoren

Shared Assessments Ein unternehmensübergreifender Ansatz zur Risikobewertung von Vendoren Information & Technology Risk Governance Shared Assessments Ein unternehmensübergreifender Ansatz zur Risikobewertung von Vendoren IT-Sicherheitsprüfungen für ein globales Unternehmen Globale Präsenz der

Mehr

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb sverzeichnis Christian Wischki, Lutz Fröhlich ITIL & ISO/IEC 20000 für Oracle Datenbanken Praxisleitfaden für die Einführung und den Betrieb ISBN: 978-3-446-41978-0 Weitere Informationen oder Bestellungen

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Master Data Management - Wege aus der Datenkrise

Master Data Management - Wege aus der Datenkrise Master Data Management - Wege aus der Datenkrise Conect 2008-04-03 Dr. Siegmund Priglinger Business Application Research Center (BARC) Steinbachtal 2b D-97082 Würzburg +49-931-8806510 www.barc.de Agenda

Mehr

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening."

Chancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening. Sicherheit Absolute Sicherheit in der Datenverarbeitung gibt es nicht; K+P kann die Sicherheit jedoch durch geeignete Maßnahmen entscheidend verbessern! Chancen und Risiken The risk of good things not

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation

Inhaltsverzeichnis. Praxisbuch IT-Dokumentation Inhaltsverzeichnis zu Praxisbuch IT-Dokumentation von Georg und Manuela Reiss ISBN (Buch): 978-3-446-43780-7 ISBN (E-Book): 978-3-446-43833-0 Weitere Informationen und Bestellungen unter http://www.hanser-fachbuch.de/978-3-446-43780-7

Mehr

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer

IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer Wolfgang Straßer Geschäftsführer Dipl.-Kfm. IT-Sicherheitsmanagement und Haftungsrisiken für Geschäftsführer @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16 55 0 @-yet Geschäftsbereiche

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

BASWARE Compliance Services Compliance Readyness beim einvoicing

BASWARE Compliance Services Compliance Readyness beim einvoicing A Basware Presentation BASWARE Compliance Services Compliance Readyness beim einvoicing Alexander Dörner compliance@basware.com 20.10.2011 Agenda Bereiche & Leistungen der BASWARE Compliance Services Verfahrensdokumentation

Mehr

Change- und Configuration Management

Change- und Configuration Management 12. itsmf Jahreskongress 2012 3./4. Dezember 2012 FUTURE OF ITSM Change- und Configuration Management Praktische Umsetzung COBIT 4.1 und Toolimplementierung 1 Vorgehensweise Prozessimplementierung Die

Mehr

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis

Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Präsentationen Einführung in 802.1x Organisatorische und technische Voraussetzungen Zertifikatsbasierte 802.1x Anwendung in der Praxis Erfahrungsbericht Wireless 802.1x am USZ Anforderungen des USZ und

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"!

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt Compliance von Geschäftsprozessen! von 22 10.07.2014 12:25 Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"! Bitte füllen Sie den Fragebogen in einem Durchgang aus, da ein Zwischenspeichern

Mehr

Uniserv Academy, Frankfurt am Main 19.05.2015 Kundendaten effektiv und nachhaltig managen Wie Data Governance hilft, Ihre Kunden besser zu verstehen

Uniserv Academy, Frankfurt am Main 19.05.2015 Kundendaten effektiv und nachhaltig managen Wie Data Governance hilft, Ihre Kunden besser zu verstehen Fakultät Informatik und Wirtschaftsinformatik Sanderheinrichsleitenweg 20 97074 Würzburg Folie 1 Uniserv Academy, Frankfurt am Main 19.05.2015 Kundendaten effektiv und nachhaltig managen Wie Data Governance

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

Networkers AG. Kurzvorstellung

Networkers AG. Kurzvorstellung Kurzvorstellung Kurzvorstellung a d v a n c e d n e t w o r k i n g Die Networkers AG ist Spezialist für die Planung, den Aufbau und den Betrieb sicherer und leistungsfähiger Applikations- und Netzwerkinfrastrukturen.

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Datenmanagement für Solvency II

Datenmanagement für Solvency II make connections share ideas be inspired Wie sich durch effizientes Datenmanagement regulatorische Anforderungen erfüllen und Kosten senken lassen Datenmanagement für Solvency II Gabriele Smith SAS Center

Mehr

Firewall-Management im Rahmen einer Prozessorganisation

Firewall-Management im Rahmen einer Prozessorganisation Firewall-Management im Rahmen einer Prozessorganisation Dissertation zur Erlangung des akademischen Grades des Doktors der Naturwissenschaften am Fachbereich IV der Universität Trier vorgelegt von Diplom-Wirtschaftsinformatiker

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

IT-Prüfung im Rahmen der Jahresabschlussprüfung

IT-Prüfung im Rahmen der Jahresabschlussprüfung IT-Prüfung im Rahmen der Jahresabschlussprüfung Dr. Michael Schirmbrand Mai 2004 2004 KPMG Information Risk Management 1 INHALTSVERZEICHNIS 1. Ausgangslage/Überblick über den Vortrag 2. Exkurs IT-Governance

Mehr

Security Audits. Ihre IT beim TÜV

Security Audits. Ihre IT beim TÜV Security Audits Ihre IT beim TÜV Thinking Objects GmbH Leistungsstark. Sicher. Nachhaltig. Gegründet 1994 inhabergeführt Hauptsitz Stuttgart Kompetenter IT-Dienstleister und Systemintegrator Schwerpunkte:

Mehr

in a changing world.

in a changing world. in a changing world. Wir tun alles für den sicheren Erfolg Ihrer Unternehmung ISPIN AG ist ein führender Anbieter von Cyber Security- und Netzwerklösungen sowie Beratungsleistungen rund um die Informationssicherheit

Mehr

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012 Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel Caroline Neufert Nürnberg, 18. Oktober 2012 Cloud Computing - Cloud Strategie Zu Beginn jeder Evaluierung gibt es wesentliche Kernfragen. Cloud

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr