Praxis-WORKSHOP. IT-Sicherheits-Management. Umsetzung des IT-Sicherheits-Prozess MODUL 2. nach BSI Standard 100. Zielgruppen:

Transkript

1 Praxis-WORKSHOP IT-Sicherheits-Management Umsetzung des Zielgruppen: Führungskräfte und verantwortliche Personen aus den Bereichen Informations-Sicherheit, Informationstechnologie, Netzwerkadministration, Systemadministration, IT-Organisation, Regulierungsmanagement, Datenschutz, Revision und Risikomanagement.

2 Umsetzung des Inhalte des Workshops: Etablieren und Beschreiben des Beschreiben der Grundlagen für Informationssicherheit im Unternehmen Festlegen von Rollen für die Informations-Sicherheit Beschreiben der Aufgaben des IT-Sicherheits-Beauftragten Erarbeiten der geeigneten Methodik für die IT-Sicherheits-Konzeption Einbinden der IT-Sicherheit in das Risiko-Management Dokumentationsvorgaben Erstellen individueller Vorgaben für Ihr Unternehmen Gestaltung der IT-Sicherheits-Revision Umgang mit den erkannten Problemfällen Sie erarbeiten die Inhalte individuell für Ihr Unternehmen, allerdings unter Anleitung eines kompetenten Grundschutz-Experten und Auditors und mit der Möglichkeit des Erfahrungsaustausches mit den anderen Teilnehmern. Wir zeigen Ihnen Fallstricke und vor allem - effiziente Lösungswege. Sie haben somit die Gewissheit, dass Ihr Ergebnis dem Standard entspricht. Die Initialsierung des IT-Sicherheits- Prozess ist die Grundlage für ein rechtssicheres ISMS. Unser Workshop hilft Ihnen bei diesem 2 ersten wichtigen Schritt.

3 Umsetzung des Es werden folgende Dokumente erstellt: Das Konzept IT-Sicherheitsprozess: Wie soll Informationssicherheit umgesetzt werden? Es wird ein Prozess beschrieben, der aus den Phasen Planen Umsetzen Überprüfen Anpassen besteht. Die IT-Sicherheits-Leitlinie: Policy für Informationssicherheit, die den Rahmen setzt, aber noch keine konkreten Regeln beinhaltet. Hier werden auch Rollen beschrieben, die für die Umsetzung erforderlich sind. Eine Organisationsstruktur der Rollen zueinander sowie die jeweiligen Aufgaben der Rolleninhaber werden festgelegt. Dies hilft allen Mitarbeitern bei der Orientierung. Die Arbeitsanweisung IT-Sicherheits-Beauftragter: Festlegung der Aufgaben, Pflichten und Kompetenzen des IT-Sicherheits-Beauftragten als dem Hauptverantwortlichen für die Durchführung des es. Die Richtlinie zur ergänzenden Sicherheitsanalyse und Risikoanalyse: Festlegung der Maßnahmen für eine individuelle Risiko-Analyse für besonders schutzbedürftige Anwendungen (über die Anwendung der Standard-Maßnahmen nach IT-Grundschutz hinaus). Das Revisionskonzept: Revisionen und Aktualisierungsprüfungen sowie deren Dokumentation. Die Richtlinie zur Lenkung von Korrektur- und Vorbeugungsmaßnahmen: Wie werden während der Revision festgestellte Defizite behoben? Als Hilfsmittel wird ein Muster-Korrekturdokument als Workflow-Vorgabe erarbeitet. Die Richtlinie zur internen ISMS-Auditierung: Auch der IT-Sicherheitsprozess muss regelmäßig geprüft werden. Hier werden die Grundlagen dafür festgelegt. 3

4 ERFAHRUNGEN er Workshop war vor allem wegen der überschaubaren DTeilnehmeranzahl sehr intensiv und damit sehr informativ. Der Einblick in das IT-Sicherheitsmanagement war vor allem umfassend, praxisorientiert und sehr lehrreich. Unterbringung, Verpflegung und die Betreuung waren sehr gut und die Veranstaltung insgesamt empfehlenswert. (Reinhard Kienberger, Gas-Union GmbH Frankfurt) er Workshop hat einen einfachen (aber dennoch Dzeitintensiven) Einstieg in das Thema IT-Sicherheit / Grundschutz aufgezeigt. In einem lockeren Vortrag wurde der komplexe und trockene Inhalt einfach, aber zielgerichtet und anhand von Beispielen erklärt. Die Musterlösungen bieten eine gute Hilfestellung bei der Umsetzung von IT-Grundschutz. (Ulrich Esser, Stadt Bad Münstereifel) enerell fand ich die Schulung sehr informativ und Ghilfreich. Besonders gut fand ich Ihre Unterlagen, so dass ein Unternehmen gleich was griffbereit hat und sich nicht alles selbst erarbeiten muss. Das machen nur die wenigsten, gerade in diesem Umfeld! (Eugen Schneider, St. Katharinen-Hospital, Frechen) haben es sehr gut verstanden, den Teilnehmern in einer gut verständlichen Form Sdie doch sehr komplexen Zusammenhänge darzustellen. Im Ergebnis ist damit der Einsatz eines Informations-Sicherheits-Managements nach BSI eine nicht ganz so hohe Hürde, wie es beim Studium des 3500 Seiten umfassenden BSI Grundschutzhandbuchs im ersten Moment erscheinen mag. Was mir auch sehr gut gefallen hat: es gab an jeder Stelle die Möglichkeit der inhaltlichen Diskussion über strittige Punkte, ohne das anschließend die Tagesordnung in Mitleidenschaft gezogen wurde. Daher auch hierzu ein großes Lob. Im Nachgang zur Veranstaltung konnte ich dann die von Ihnen zur Verfügung gestellten Musterdokumente sichten. Hierin liegt vielleicht der größte Nutzen, den man aus der Veranstaltung ziehen kann. Die Handbücher sind logisch nach dem vorgesehenen Ablauf für die Erstellung eines BSI-Sicherheitskonzeptes gegliedert. Mit den Musterdokumenten lassen sich alle wichtigen Themen erschließen und bedürfen nur noch der redaktionellen Überarbeitung, um eine erste Fassung des BSI-Grundschutz-Handbuchs zur erstellen. Fazit für mich: eine rundum gelungene Veranstaltung, die praxisnahe Inhalte vermittelt und nachhaltige Informationen liefert. (Andreas Bellinger, Stadt Arnsberg) 4

5 Rochusstraße Bergheim Mobil Fon Fax