COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH

Save this PDF as:
 WORD  PNG  TXT  JPG

Größe: px
Ab Seite anzeigen:

Download "COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH"

Transkript

1 COBIT 5 FOR INFORMATION SECURITY EIN VERGLEICH Verfasser/in: Tobias Angehrn, Michael Schubiger, Pascal Eigenmann, Gabriela Caduff Projektcoach: Christian Thiel Wirtschaftsinformatik Seminar an der FHS St.Gallen, Hochschule für Angewandte Wissenschaften 2012

2 FHS-Projektteam: Tobias Angehrn Projektleiter Pascal Eigenmann Michael Schubiger Gabriela Caduff Projekt-Coach: Dr. Christian Thiel Eingereicht am: 04. Januar 2013

3 Inhaltsverzeichnis III Inhaltsverzeichnis Inhaltsverzeichnis... III Abbildungsverzeichnis... V Tabellenverzeichnis... VI Abkürzungsverzeichnis... VII 1 COBIT Grundidee von COBIT Meeting Stakeholder needs Bedürfnisse der Stakeholder treffen Covering the enterprise end to end Abdecken der gesamten Unternehmung Applying in a single integrated Framework Verwendung eines Frameworks Enabling a holistic approach Ganzheitlicher Ansatz Separating governance from management Von Management zu Governance COBIT 5 for Information Security Prinzipien, Strategien und Frameworks Prozesse Organisationsstruktur Kultur, Ethik und Verhalten Information Services, Infrastruktur und Applikationen Personen, Fähigkeiten und Kompetenzen Weitere Standards ISO Einleitung Anwendungsbereich BSI Grundschutz Standards Einleitung Vergleichskriterien Auswahl der Kriterien Einteilung der Kriterien... 12

4 Inhaltsverzeichnis IV 4 Vergleich Vergleich basierend auf COBIT Vergleich basierend auf ISO Zertifizierung Empfehlungen Szenario A Szenario B Szenario C Empfehlung an ISACA Quellenverzeichnis Anhänge... 1 Anhang A... 1 Vertraulichkeitserklärung... 3

5 Abbildungsverzeichnis V Abbildungsverzeichnis Abb. 1: Grundprinzipien von COBIT Abb. 2: Zielpyramide von COBIT Abb. 3: Umfang von COBIT 5 in einer Unternehmung... 3 Abb. 4: Integration von anderen Standarts in COBIT Abb. 5 Ganzheitlicher Ansatz von COBIT 5, die sieben Enablers... 5 Abb. 6 Dimension der Enabler in COBIT Abb. 7 Bereiche von COBIT Abb. 8 Gesamtpalette von COBIT Abb. 9 Prinzipien, Strategien und Frameworks für Information Security... 7 Abb. 10: Gesamtübersicht Prozesse der verschiedenen Standards Abb. 11: Prozessanzahl Evaluate, Direct and Monitor Abb. 12: Prozessanzahl Align, Plan and Organise Abb. 13: Prozessanzahl Build, Aquire and Implement Abb. 14: Prozessanzahl Deliver, Service and Support Abb. 15: Prozessanzahl Monitor, Evaluate and Assess Abb. 16 Prozessanzahl basierend auf ISO

6 Tabellenverzeichnis VI Tabellenverzeichnis Tab. 1: Rollen in COBIT 5 for Information Security... 8 Tab. 2: Arten der Information... 9

7 Abkürzungsverzeichnis VII Abkürzungsverzeichnis ISACA ISO IEC ISMS BSI Information System Audit and Control Association Internationale Organisation für Standardisierung Internationales elektronisches Komitee Informationssicherheits-Managementsystems Bundesamts für Sicherheit in der Informationstechnik

8 Kapitel 1: COBIT COBIT 5 Ursprünglich ist COBIT für den Bereich des Audits 1996 von der Information System Audit and Control Association (ISACA) auf den Markt gekommen. Im Laufe der Jahre hat ISACA das Framework stets ausgebaut wurde es um das Controlling erweitert sollte es das Management unterstützen. Seit 2005 beschäftigt sich COBIT in der Version 4.0 mit IT Governance. Diese Arbeit beschäftigt sich mit COBIT 5, dass 2012 auf den Markt kam. Das Update erweitert COBIT auf das Level der Governance of Enterprise IT. (Information System Audit and Control Association [ISACA], 2012a) In diesem Kapitel wird auf die Grundidee von COBIT 5 und COBIT 5 for IT Security eingegangen. 1.1 Grundidee von COBIT 5 Bedürfnisse von Stakeholder treffen Abgrenzung von Management und Governance fünf Prinzipien von COBIT 5 Abdecken der gesamten Unternehmung Ganzheitlicher Ansatz Verwendung eines Frameworks Abb. 1: Grundprinzipien von COBIT 5 Eigene Darstellung basierend auf ISACA, 2012b COBIT 5 besteht aus fünf Prinzipien. Diese sollen gewährleisten, dass das Unternehmen einen Vorteil aus der IT ziehen kann. Diese Grundprinzipien helfen dem Unternehmen die Unternehmensziele zu erreichen. Das Framework zeigt den Firmen auf, was gemacht werden muss um erfolgreich zu sein. Es liefert dabei jedoch keine explizierten Methoden um dies zu bewerkstelligen.

9 Kapitel 1: COBIT Meeting Stakeholder needs Bedürfnisse der Stakeholder treffen Umweltfaktoren technologische ökologische rechtliche ökonomische Bedürfnisse von Stakeholdern Risikooptimierung Ressourcenoptimierung Mehrwertgenerierung Unternehmensziele Informatikziele Prozess-, Einheits- oder Organisationsziele Abb. 2: Zielpyramide von COBIT 5 Eigene Darstellung basierend auf ISACA 2012b S. 18 Das erste Prinzip von COBIT 5 beschäftigt sich mit den Bedürfnissen der Stakeholder. Eine Unternehmung hat verschiedene Stakeholder, die auch gegenseitig in Konflikt stehen. Dadurch werden die Risiken aufgezeigt, die auch optimiert werden können. Wenn die Bedürfnisse der Stakeholder bekannt sind, kann man die Ressourcen auf diese anpassen was dem Unternehmen nützt. Es führt soweit, dass die Unternehmensziele davon abgeleitet werden können. Diese definieren wiederum die Informatikziele, die wiederum Ziele für die einzelnen Prozesse, Einheiten oder Organisationen vorgeben. COBIT 5 geht daher davon aus, dass die Bedürfnisse der Stakeholder eine wichtige Rolle im IT-Governance haben. ISACA hat eine Zielpyramide definiert, die in Abb. 2 ersichtlich ist. (ISACA, 2012b, S )

10 Kapitel 1: COBIT Covering the enterprise end to end Abdecken der gesamten Unternehmung Abb. 3: Umfang von COBIT 5 in einer Unternehmung Eigene Darstellung basierend auf ISACA 2012b S ISACA schreibt im Framework, dass in COBIT 5 alle relevanten Funktionen und Prozesse zu Informationen und Technologien für die Führung einer Unternehmung abgedeckt werden. Es greift dabei auf das Prinzipal 1 den Bedürfnissen der Stakeholder zurück.

11 Kapitel 1: COBIT Applying in a single integrated Framework Verwendung eines Frameworks Abb. 4: Integration von anderen Standarts in COBIT 5 Quelle: ISACA 2012b S. 61 In Abb. 4 ist ersichtlich, dass die ISACA versucht hat, andere gängige Frameworks abzudecken. Es ist aber nicht so, dass COBIT 5 keine Ergänzungen durch andere Frameworks zulässt. Weiter wurde in der Version 5 Val IT und Risk IT integriert, wodurch es für Unternehmen einfacher wird, diese umzusetzen. (ISACA, 2012b S. 25)

12 Kapitel 1: COBIT Enabling a holistic approach Ganzheitlicher Ansatz Abb. 5 Ganzheitlicher Ansatz von COBIT 5, die sieben Enablers Eigene Darstellung basierend auf ISACA, 2012b S. 27 In Abb. 5 sind sieben Enablers, die das Unternehmen beeinflussen, aufgezeigt. COBIT 5 basiert auf diesen sieben Enablers und sagt zu jedem etwas. Die Punkte eins bis vier beschäftigen sich mit Elementen die sich managen lassen. Die restlichen drei Punkte beinhalten sowohl Management als auch Government. (ISACA, 2012b, S. 27) Abb. 6 Dimension der Enabler in COBIT 5 Quelle: ISACA 2012b S. 25

13 Kapitel 1: COBIT 5 6 Alle sieben Enabler werden in COBIT 5 nach dem gleichen Schema beschrieben. Dieses ist in Abb. 6 ersichtlich. Jeder Faktor hat einen oder mehrere Stakeholder. Es soll für jeden Enabler ein Ziel erreicht werden. Jeder Enabler besitzt einen eigenen Lebenszyklus. Es wird weiter beschrieben, wie mit den jeweiligen Enabler umgegangen wird. (ISACA 2012b, S. 28) Separating governance from management Von Management zu Governance Um eine Abgrenzung von Management und Governance zu erhalten, muss zuerst klar sein, was der Unterschied ist. ISACA definiert Governance und Management folgendermassen: Governance stellt die Bedürfnisse der Stakeholder sicher und evaluiert diese. Es setzt somit die Richtung für das Management fest. Weiter entscheidet Governance, was wichtig ist und überwacht dessen Umsetzung. (ISACA, 2012b, S. 31) Das Management plant die Handlungen zur Zielerreichung, setzt diese um und ist für den erfolgreichen Betrieb verantwortlich. Um dies zu gewährleisten, muss auch eine Überprüfung stattfinden. (ISACA, 2012b, S. 31) Abb. 7 Bereiche von COBIT 5 Quelle: eigene Darstellung basierend auf ISACA 2012b S. 33 Dies ist also ein Prozess, der den Wertgewinn ermöglichen soll. COBIT 5 gliedert dies in fünf Bereiche die in Abb. 7 ersichtlich sind. Es ist darauf zu achten, dass die Managementprozesse ein Teil der Governanceprozesse sind.

14 Kapitel 1: COBIT COBIT 5 for Information Security Abb. 8 Gesamtpalette von COBIT 5 Quelle: ISACA 2012c S. 13 In Kapitel 1 wurde die Idee hinter COBIT 5 kurz vorgestellt. Über COBIT 5 gibt es mehrere Anwendungsgebiete. Der Guide über Information Security nimmt die sieben Enabler von COBIT 5 und wendet diese auf den Bereich der Sicherheit an. (ISACA, 2012c, S. 13) Prinzipien, Strategien und Frameworks Abb. 9 Prinzipien, Strategien und Frameworks für Information Security Quelle: ISACA 2012c COBIT 5 schlägt vor, dass die Elemente, die in Abb. 9 ersichtlich sind, in einem Framework vorhanden sein müssen. Ein Framework stellt sich also aus fünf grundlegenden Teilen zusammen.

15 Kapitel 1: COBIT 5 8 Die Information Security Principles sind limitiert und sollen das Unternehmen verteidigen und unterstützen sowie ein entsprechendes Verhalten in Bezug auf die Sicherheit gewährleisten. Die Information Security Policy soll helfen die Information Security Principles umzusetzen Prozesse Auf der Prozessebene werden in COBIT 5 for Information Security die Prozesse von COBIT 5 aus der Sicherheitssicht angeschaut. Dies bedeutet, dass der Prozess nicht allgemein auf das Unternehmen angeschaut wird, sondern nur unter dem Aspekt der Sicherheit. Als Beispiel kann man den Prozess APO12 nehmen. COBIT 5 beschäftigt sich mit Risiken die das Unternehmen haben kann, darunter fallen verschiedene Arten von Risiken, wie zum Beispiel Brände oder Naturkatastrophen. In COBIT 5 for Information Security ist der Prozess APO12 jedoch spezifisch auf Risiken im Informatikbereich angewendet Organisationsstruktur Rolle Aufgabe Chief information security officer (CISO) Verantwortung für Informationssicherheit über das gesamte Unternehmen. Information security steering commitee (ISSC) Stellt die Überwachung und die Überprüfung der COBIT Prozesse und Frameworks über das Unternehmen sicher. Tab. 1: Rollen in COBIT 5 for Information Security Quelle: Eigene Darstellung basierend auf ISACA 2012c COBIT 5 for Information Security legt Vorschläge vor, die einem Unternehmen zeigen, welche Positionen in einem Unternehmen für die Sicherheit bestehen müssen. Einige Beispiele sind in Tab. 1 ersichtlich Kultur, Ethik und Verhalten Im Rahmen der die Kultur, die Ethik und das Verhalten beschreibt, ist vor allem das Verhalten der Stakeholder zu beachten. Es ist wichtig, dass man die Unternehmenskultur kennt, um die Sicherheitsaspekte möglichst ohne deren Einschränkung einführen kann. Da in der Unternehmenskultur Änderungen oft auf Wiederstand stossen, müssen diese von den Verantwortlichen vorgelebt werden.

16 Kapitel 1: COBIT Information Informationen sind in der heutigen Arbeitswelt all gegenwertig. Die Information ist somit ein Key Enabler für die Information Security. Informationen können in folgende Typen gegliedert werden. Informationstypen Information Security Strategy Information Security Budget Information Security Plan Policies Information Security Requirements Awareness Material Information Security Review Reports Information Security Service Catalogue Information Security Risk Profile Information Security Dashboard Tab. 2: Arten der Information Quelle: Eigene Darstellung basierend auf ISACA 2012c Es gibt in COBIT 5 for Information Security zehn verschiedene Arten von Informationstypen. Diese sind in Tab. 2 ersichtlich. Jeder dieser zehn Typen kann einem Stakeholder zugeordnet werden Services, Infrastruktur und Applikationen COBIT 5 for Information Security schlägt eine Reihe von Services vor, die von den Prozessen vorausgesetzt werden Personen, Fähigkeiten und Kompetenzen Dieser Bereich von COBIT 5 beschreibt die Fähigkeiten und Kompetenzen des bestmöglichsten Fähigkeitslevels der Mitarbeiter eines Unternehmens. In Wirklichkeit ist dieses jedoch oft schwer oder gar nicht zu erreichen.

17 Kapitel 2: Weitere Standards 10 2 Weitere Standards Neben COBIT 5 gibt es noch andere Standards über die Informationssicherheit, die international anerkannt sind und eingesetzt werden. Hierzu gehören der ISO Standard, sowie der BSI Grundschutz. 2.1 ISO Bei ISO handelt es sich um einen international anerkannten Standard, der von der ISO (Internationale Organisation für Standardisierung) und dem IEC (Internationales elektronisches Komitee) entwickelt, herausgegeben und gepflegt wird. Mit ISO können Organisationen aller Branchen ihre Prozesse und Massnahmen zur Gewährleistung der Informationssicherheit zertifizieren lassen. (mitsm, ohne Datum) Einleitung ISO verwendet einen prozessorientierten Ansatz für die Einrichtung, Umsetzung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung eines organisationseigenen Informationssicherheits-Managementsystems (ISMS). Folgende Punkte sind für die Anwendenden dieser Norm von besonderer Wichtigkeit: 1. Verständnis der Anforderungen der Organisation an Informationssicherheit, und die Notwendigkeit, eine Leitlinie und Ziele für Informationssicherheit festzulegen; 2. Umsetzung und Betrieb von Maßnahmen, um die Informationssicherheitsrisiken einer Organisation in Zusammenhang mit den allgemeinen Geschäftsrisiken der Organisation zu verwalten; 3. Überwachung und Überprüfung der Leistung und Wirksamkeit des ISMS und 4. ständige Verbesserung auf der Basis von objektiven Messungen. Um die Prozesse zu strukturieren wird das Plan-Do-Check-Act Modell angewandt. (mitsm, ohne Datum) Anwendungsbereich Die ISO/IEC kann in allen Arten von Organisationen eingesetzt werden und soll für verschiedene Bereiche innerhalb der Organisation anwendbar sein. Insbesondere in folgenden Punkten kann die Norm zugezogen werden: Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit Kosteneffizientes Management von Sicherheitsrisiken Sicherstellung der Konformität mit Gesetzen und Regulatoren

18 Kapitel 2: Weitere Standards 11 Prozessrahmen für die Implementierung und das Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit Definition von neuen Informationssicherheits-Managementprozessen Identifikation und Definition von bestehenden Informationssicherheits- Managementprozessen Definition von Informationssicherheits-Managementtätigkeiten Gebrauch durch interne und externe Auditoren zur Feststellung des Umsetzungsgrades von Richtlinien und Standards (mitsm, ohne Datum) 2.2 BSI Grundschutz Standards Viele Arbeitsprozesse werden heutzutage elektronisch gesteuert und eine große Menge von Informationen ist digital gespeichert, wird verarbeitet und in Netzen übermittelt. Damit sind Organisationen und alle Anwender von dem einwandfreien Funktionieren der eingesetzten IT abhängig. Wachsende Gefährdungspotentiale und die steigende Abhängigkeit von der IT stellen die Anwender vor neue Fragen, nämlich wie kann ich, wo mit welchen Mitteln mehr Informationssicherheit erreichen. (BSI, ohne Datum) Einleitung Die IT-Grundschutzkataloge vom BSI (Bundesamts für Sicherheit in der Informationstechnik) bilden eine Basis für die Informationssicherheit. So ist z.b. auch der ISO/ICE auf diesen Grundsätzen aufgebaut. Die BSI-Standards enthalten Empfehlungen zu Prozessen, Verfahren, Vorgehensweisen und Massnahmen in Bezug zur Informationssicherheit. Der BSI-Standard setzt sich aus vier Katalogen zusammen. Dies sind: BSI-Standard 100-1: Managementsysteme für Informationssicherheit (ISMS) BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf der Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Für die spätere Gegenüberstellung mit COBIT 5 und ISO/ICE werden die Kataloge 1-3 zur Hand genommen.

19 Kapitel 3: Vergleichskriterien 12 3 Vergleichskriterien In diesem Kapitel wird darauf eingegangen wie die Kriterien ausgewählt wurden. 3.1 Auswahl der Kriterien Gemäss Aufgabenstellung hat sich die Projektgruppe gefragt, wie sich verschiedene Sicherheitsframeworks am besten vergleichen lassen. Als erstes wurden die Kriterien aufgebaut, diese wurden auf der Basis von COBIT 5, dem neusten unter den verglichenen Sicherheitsframeworks, erstellt. Danach wurden die weiteren zu vergleichenden Standards beigezogen und Kriterien ergänzt die in diesen Standards erwähnt wurden aber nicht in COBIT 5 enthalten sind. Am Schluss wurden dann noch einige Punkte welche nicht direkt mit den Standards zu tun haben als Kriterien hinzugefügt. 3.2 Einteilung der Kriterien Da die verschiedenen Kriterien noch eher ungeordnet waren wurden diese in verschiedene Übertitel eingeteilt. Diese lauten: Evaluate, Direct and Monitor Align, Plan and Organise Build, Acquire and Implement Deliver, Service and Support Monitor, Evaluate and Assess ISO Unabhängige Kriterien Die gesamte detaillierte Auflistung der Kriterien sehen sie in Anhang A dieser Arbeit.

20 Kapitel 4: Vergleich 13 4 Vergleich Dieses Kapitel wird die verschiedenen Prozessbeschreibungen der verschiedenen Standards einander gegenüberstellen. 4.1 Vergleich basierend auf COBIT 5 In den folgenden Darstellungen wird COBIT 5 immer die meisten Punkte erzielen, da die Projektgruppe die Auswahlkriterien anhand des COBIT 5 Standards festgelegt hat Cobit 5 ISO Cobit 4.0 BSI Abb. 10: Gesamtübersicht Prozesse der verschiedenen Standards Quelle: eigene Darstellung Die Abb. 10 zeigt zuerst einen Überblick über alle fünf Auswahlkriterien aus COBIT 5 und ein Punkt basierend auf ISO Auf die einzelnen Punkte wird nachfolgend eingegangen.

21 Kapitel 4: Vergleich 14 6 Evaluate, Direct and Monitor Cobit 5 ISO Cobit 4.0 BSI Abb. 11: Prozessanzahl Evaluate, Direct and Monitor Quelle: eigene Darstellung COBIT 5, sowie ISO zeigen fünf Prozesse im Evaluate, Direct and Monitor auf (vgl. Abb. 11). In COBIT 4.0 wird dieser Bereich nicht abgedeckt. Der BSI Grundschutz stellt dazu zwei Prozesse dar. 14 Align, Plan and Organise Cobit 5 ISO Cobit 4.0 BSI Abb. 12: Prozessanzahl Align, Plan and Organise Quelle: eigene Darstellung Im Align, Plan and Organise beschreibt COBIT 5 13 Prozesse. In ISO werden acht Prozesse aufgezeigt, in COBIT 4.0 neun Prozesse und in BSI sechs Prozesse, welche näher auf das ausrichten, planen und organisieren eingehen. (vgl. Abb. 12)

22 Kapitel 4: Vergleich Build, Aquire and Implement Cobit 5 ISO Cobit 4.0 BSI Abb. 13: Prozessanzahl Build, Aquire and Implement Quelle: eigene Darstellung In Abb. 13 wird die Anzahl Prozesse im Bereich Build, Aquire and Implement dargestellt. COBIT 5 zählt dazu zehn Prozesse, die anderen Standards haben hier weit weniger Prozesse. In ISO sind es drei Prozesse, in COBIT 4.0 auch drei Prozesse und in BSI vier Prozesse. 7 Deliver, Service and Support Cobit 5 ISO Cobit 4.0 BSI Abb. 14: Prozessanzahl Deliver, Service and Support Quelle: eigene Darstellung Im Punkt Deliver, Service and Support (vgl. Abb. 14) haben die drei Standards COBIT 5, ISO und COBIT 4.0 fast gleich viele Prozesse, nämlich fünf resp. sechs Punkte. Einzig BSI hat zu diesem Punkt nur zwei Prozesse.

23 Kapitel 4: Vergleich Monitor, Evaluate and Assess 0 Cobit 5 ISO Cobit 4.0 BSI Abb. 15: Prozessanzahl Monitor, Evaluate and Assess Quelle: eigene Darstellung Im Bereich von Monitor, Evaluate and Assess (Abb. 15) haben die Standards COBIT 5, ISO und COBIT 4.0 alle drei Prozesse, die diesen Punkt beschreiben. Der BSI Grundschutz stellt keinen Prozess in diesem Bereich dar. 4.2 Vergleich basierend auf ISO ISO basierende Merkmale Cobit 5 ISO Cobit 4.0 BSI Abb. 16 Prozessanzahl basierend auf ISO Quelle: eigene Darstellung Zusätzlich neben der Ausganglage, die sich die Projektgruppe gestellt hat, hat die Gruppe im ISO und im BSI noch je neun weitere Prozesse gefunden, welche in COBIT 5 und in COBIT 4.0 nicht aufgezeigt sind (Abb. 16). Diese bestehen aus der physischen und umgebungsbezogenen Sicherheit (2 Prozesse) sowie der Zugangskontrolle (7 Prozesse).

24 Kapitel 4: Vergleich Zertifizierung Die Zertifizierung kann in allen Standards erreicht werden. Sowohl mit ISO als auch mit BSI wird die Unternehmung zertifiziert, in Cobit hingegen können sich nur einzelne Personen auf dem Standard zertifizieren lassen. Der Standard von ISO ist der bekannteste und meist verbreitete, da es viele verschiedene ISO Standards gibt und diese für viele Bereiche verwendet werden können. Da in Cobit nur Personen zertifiziert werden können, sagt die Cobit Zertifizierung lediglich aus, dass diese Personen COBIT kennen und es implementieren können, es fehlt jedoch eine Aussage über die Unternehmung. Es fehlt somit eine Zertifizierung der Unternehmung nach dem COBIT-Standard.

25 Kapitel 5: Empfehlungen 18 5 Empfehlungen 5.1 Szenario A Wenn eine grössere Firma Applikationen selbst erstellt, verwaltet und implementiert, ist es Sinnvoll mit COBIT 5 zu arbeiten. COBIT 5 hat in diesem Bereich zehn Standards, welche Empfehlungen geben und Hilfestellung anbieten. Die drei anderen untersuchten Standards haben jeweils nur drei bis vier Prozesse im Bereich Build, Aquire and Implement. 5.2 Szenario B Wird in grösseren Unternehmen international gearbeitet und grossen Wert auf die Zertifizierung gelegt, ist es sinnvoll diese nach ISO durchzuführen. BSI ist ein deutscher Standard und COBIT 5 noch relativ neu, weshalb beide noch etwas weniger verbreitet sind als ISO. Weiterhin gibt es verschiedene ISO Standards welche gut zusammen mit der ISO Zertifizierung verwendet werden können. 5.3 Szenario C Für kleinere Firmen ist BSI Grundschutz ein guter Ansatz. Dieses ist für diese etwas weniger strikt und umfangreich definiert und erlaubt eine einfachere Implementation von Security- Standards. BSI kann ebenfalls zertifiziert werden und gibt der Firma noch etwas freiere Hand, beispielsweise im Risikomanagement. 5.4 Empfehlung an ISACA Für ISACA wäre es sinnvoll ein Cobit light für KMU s zu entwickeln. Diese haben zurzeit mit COBIT zu viel Aufwand und sind mit dem BSI Grundschutz besser bedient.

26 Quellenverzeichnis 19 Quellenverzeichnis Bundesamt für Sicherheit in der Informationstechnik. (ohne Datum). IT-Grundschutz. Gefunden am unter https://www.bsi.bund.de/de/themen/itgrundschutz/itgrundschutz_node.html Information System Audit an Control Association [ISACA]. (2012a). COBIT 5-Introduction. Gefunden am unter Introduction.ppt ISACA. (2012b). COBIT 5 Framework. Rolling Meadows: Autor. ISACA. (2012c). COBIT 5 for Information Security. Rolling Meadows: Autor. mitsm. (ohne Datum). Wissenswertes: Fragen und Antworten rund um ISO/IEC Gefunden am unter knowledge/fragen-und-antworten-zum-iso standard

27 Physische und umgebungsbezogene Sicherheit Anhänge 1 Anhänge Anhang A Cobit 5 ISO Cobit 4.0 BSI Evaluate, Direct and Monitor Cobit 5 ISO Cobit 4.0 BSI Gibt es Regelungen bezüglich Werden die erstellten Vorteile Werden Risiken optimiert? Gibt es eine Werden Stakeholder mit Align, Plan and Organise Cobit 5 ISO Cobit 4.0 BSI Verwalten von IT Management Verwalten von Strategien Verwalten der Verwalten von Innovation Verwalten des Portfolios Verwalten des Budget und der Verwalten des Personals Verwalten der Beziehungen Verwalten von Service-Verträgen Verwalten von Lieferanten Verwalten der Qualität Verwalten des Risikos Verwalten der Sicherheit Build, Aquire and Implement Cobit 5 ISO Cobit 4.0 BSI Verwalten von Programmen und Verwalten von Verwalten von Verwalten der Erreichbarkeit und Verwalten von Organisatorischen Verwalten von Change Verwalten der Akzeptanz der Veränderung und dem Übergang Verwalten von Wissen Verwalten von Anlagen Verwalten der Konfiguration Deliver, Service and Support Cobit 5 ISO Cobit 4.0 BSI Verwalten des Betriebs Verwalten von Servicerequests und Ereignisse Verwalten von Problemen Verwalten der Kontinuität Verwalten von Sicherheitsservicen Verwalten von Kontrollen der Businessprozessen Monitor, Evaluate and Assess Cobit 5 ISO Cobit 4.0 BSI Überwachen, beurteilen und bewerten der Leistung und Übereinstimmung Überwachen, beurteilen und bewerten des Systems der internen Kontrolle Überwachen, beurteilen und bewerten die Compliance mit externen Anforderungen ISO basierende COBIT Merkmale 5 FOR INFORMATION SECURITY Cobit 5 EIN VERGLEICH ISO Cobit 4.0 BSI

28 Verwalten des Betriebs Verwalten von Servicerequests und Ereignisse Verwalten von Problemen Anhänge Verwalten der Kontinuität Verwalten von 2 Sicherheitsservicen Verwalten von Kontrollen der Businessprozessen Monitor, Evaluate and Assess Cobit 5 ISO Cobit 4.0 BSI Überwachen, beurteilen und bewerten der Leistung und Übereinstimmung Überwachen, beurteilen und bewerten des Systems der internen Kontrolle Überwachen, beurteilen und bewerten die Compliance mit externen Anforderungen ISO basierende Merkmale Cobit 5 ISO Cobit 4.0 BSI Physische und umgebungsbezogene Sicherheit Zugangskontrolle Cobit 5 ISO Cobit 4.0 BSI Evaluate, Direct and Monitor Align, Plan and Organise Build, Aquire and Implement Deliver, Service and Support Monitor, Evaluate and Assess ISO basierende Merkmale

29 Vertraulichkeitserklärung Wir erklären hiermit, dass wir: - den Inhalt dieser Arbeit unter Angabe aller relevanten Quellen selbständig verfasst haben. - die uns anvertrauten Informationen von Seiten der Kundschaft auch nach Abgabe der Arbeit vertraulich behandeln werden. - ohne Zustimmung der Wissenstransferstelle WTT-FHS und der Kundschaft keine Kopien dieser Arbeit an Dritte aushändigen werden. Ort/Datum: Namen: St. Gallen, Tobias Angehrn Michael Schubiger Pascal Eigenmann Gabriela Caduff

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke Die COBIT 5 Produktfamilie (Kurzvorstellung) Markus Gaulke (mgaulke@kpmg.com) COBIT 5 Produkt Familie COBIT 5 Produktfamilie COBIT 5 - Business Framework COBIT 5 Enabler Guides Enabling Processes Enabling

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke

Praxiswissen COBIT. dpunkt.verlag. Grundlagen und praktische Anwendung. in der Unternehmens-IT. Markus Gaulke Markus Gaulke Praxiswissen COBIT Grundlagen und praktische Anwendung in der Unternehmens-IT 2., aktualisierte und überarbeitete Auflage dpunkt.verlag 1 Einleitung 1 Teill COBIT verstehen 5 2 Entwicklung

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Die neue ISO 9001:2015 Neue Struktur

Die neue ISO 9001:2015 Neue Struktur Integrierte Managementsysteme Die neue ISO 9001:2015 Neue Struktur Inhalt Neue Struktur... 1 Die neue ISO 9001:2015... 1 Aktuelle Status der ISO 9001... 3 Änderungen zu erwarten... 3 Ziele der neuen ISO

Mehr

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen Jonas Paulzen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag

Mehr

IT-Governance und COBIT. DI Eberhard Binder

IT-Governance und COBIT. DI Eberhard Binder IT-Governance und COBIT DI Eberhard Binder wir alle wollen, dass Die IT in unserem Unternehmen anerkannt und gut positioniert ist Die IT Abteilung als bestens geführt gilt Was will der CEO von seiner IT?

Mehr

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7

1 Einleitung 1. 2 Entwicklung und Bedeutung von COBIT 7 vii 1 Einleitung 1 Teil I COBIT verstehen 5 2 Entwicklung und Bedeutung von COBIT 7 2.1 ISACA und das IT Governance Institute....................... 7 2.2 Entstehung von COBIT, Val IT und Risk IT....................

Mehr

Sicherheitsnachweise für elektronische Patientenakten

Sicherheitsnachweise für elektronische Patientenakten Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

der Informationssicherheit

der Informationssicherheit Alexander Wagner Prozessorientierte Gestaltung der Informationssicherheit im Krankenhaus Konzeptionierung und Implementierung einer prozessorientierten Methode zur Unterstützung der Risikoanalyse Verlag

Mehr

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz IT-Grundschutz-Tag 09.10.2013

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit

Mehr

IT Governance im Zusammenspiel mit IT Audit

IT Governance im Zusammenspiel mit IT Audit IT Governance im Zusammenspiel mit IT Audit ISACA After Hours Seminar Nicola Varuolo, Internal Audit AXA AXA Gruppe 52 Millionen Kunden weltweit 79 Milliarden Euro Geschäftsvolumen 150 000 Mitarbeitende

Mehr

Maintenance & Re-Zertifizierung

Maintenance & Re-Zertifizierung Zertifizierung nach Technischen Richtlinien Maintenance & Re-Zertifizierung Version 1.2 vom 15.06.2009 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

BSI-IGZ-0052-2009. zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH zum Phoenix Videokonferenzsystem der Phoenix Software GmbH BSI - Bundesamt für Sicherheit in der Informationstechnik, Postfach 20 03 63, D-53133 Bonn Telefon +49 (0)228 9582-0, Fax +49 (0)228 9582-5477,

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014

Strategisches IT-Management mit dem COBIT Framework. Markus Gronerad, Scheer Management 1.8.2014 Strategisches IT-Management mit dem COBIT Framework Markus Gronerad, Scheer Management 1.8.2014 Was ist strategisches IT-Management? IT-Management Das (operative) IT-Management dient der Planung, Beschaffung,

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters IS-Revisorentreffen 2012 Ronny Frankenstein 1 Agenda 1 Kurze Vorstellung 2 Motivation 3 Vorgeschichte 4 Umsetzung 5 Ergebnisse 2 Vorstellung

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag 2014 13.02.2014 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO 31000 eine identifiziert, analysiert

Mehr

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014 ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Outpacing change Ernst & Young s 12th annual global information security survey

Outpacing change Ernst & Young s 12th annual global information security survey Outpacing change Ernst & Young s 12th annual global information security survey Alfred Heiter 16. September 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme. 2015 IPS GmbH IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme Inhalt Zur Relevanz von ISMS für EVUs Übersicht Kritische Infrastrukturen 11 EnWG BSI-Standards 100-x Was ist ein ISMS? Unterstützung

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Referenzmodelle für IT-Governance

Referenzmodelle für IT-Governance Wolfgang Johannsen Matthias Goeken Referenzmodelle für IT-Governance Methodische Unterstützung der Unternehmens-IT mitcobitjtil&co Mit einem Praxisbericht von Markus Böhm 2., aktualisierte und erweiterte

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at

COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT. www.austrian-standards.at COMPLIANCE MANAGEMENT SYSTEME (CMS) ISO 19600 P.JONAS@AUSTRIAN-STANDARDS.AT COMPLIANCE STANDARD: WOZU? Leitfaden/Richtlinie beim Aufbau eines Compliance Management Systems Schaffung eines State-of-the-Art

Mehr

Normierte Informationssicherheit durch die Consultative Informationsverarbeitung

Normierte Informationssicherheit durch die Consultative Informationsverarbeitung Normierte Informationssicherheit durch die Consultative Informationsverarbeitung INAUGURALDISSERTATION zur Erlangung des akademischen Grades eines Doktors der Wirtschaftswissenschaften an der Wirtschaftswissenschaftlichen

Mehr

Selbstbewertungsbericht für das Überwachungsaudit

Selbstbewertungsbericht für das Überwachungsaudit Selbstbewertungsbericht für das Überwachungsaudit Wegleitung von sanacert suisse Der Selbstbewertungsbericht bildet eine wichtige Grundlage für die Beurteilung des Qualitätsmanagementsystems anlässlich

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) 32.Forum Kommunikation und Netze 25. und 26. März 2015 in Rotenburg a. d. Fulda Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS) Stefan Wojciechowski IT-Sicherheitsbeauftragter

Mehr

Dieter Brunner ISO 27001 in der betrieblichen Praxis

Dieter Brunner ISO 27001 in der betrieblichen Praxis Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,

Mehr

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISIS 12 Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISIS12 Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor Security Excellence Der psychologische

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Erfahrung aus SOA (SOX) Projekten CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG Inhaltsverzeichnis Schwachstellen des IKS in der finanziellen Berichterstattung Der Sarbanes Oxley Act (SOA) Die

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL Orientierung organisiertes IT Management in der BWI IT auf Basis ITIL 97. AFCEA-Fachveranstaltung Diensteorientierung aber mit Management Heiko Maneth, BWI IT Delivery, Leitung Prozessarchitektur und -management

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand Datenschutz und Synergieeffekte Verimax GmbH Autor:Stefan Staub Stand Blatt 1 Nicht weil es schwer ist, wagen wir es nicht, sondern weil wir es nicht wagen, ist es schwer. Lucius Annaeus Seneca röm. Philosoph,

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 03.02.2015 Agenda Das BSI Informationssicherheit Definition

Mehr

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1. Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz (SigG) datenschutz cert GmbH Version Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für Bestätigungen

Mehr

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

DATEV eg, 90329 Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity Z E R T I F I K A T Die Zertifizierungsstelle der T-Systems bestätigt hiermit der, für den Betrieb der DATEV Rechenzentren (Standorte DATEV I, II und III) die erfolgreiche Umsetzung und Anwendung der Sicherheitsmaßnahmen

Mehr

Dieses Kapitel beschäftigt sich mit den sogenannten Hauptstandards die in einem Integrierten Managementsystem Food (IMF) Verwendung finden können.

Dieses Kapitel beschäftigt sich mit den sogenannten Hauptstandards die in einem Integrierten Managementsystem Food (IMF) Verwendung finden können. III Hauptstandards und -normen Einleitung III Hauptstandards und -normen Einleitung BARBARA SIEBKE Dieses Kapitel beschäftigt sich mit den sogenannten Hauptstandards die in einem Integrierten Managementsystem

Mehr

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 Agenda 1. IT-Notfall üben macht stark! 2. Übungen im Kontext des Notfallmanagements 3. Praxisbeispiel einer Notfallübung 4. Erkenntnisse aus

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

IT-Sicherheitszertifikat

IT-Sicherheitszertifikat Bundesamt Deutsches erteilt vom IT-Sicherheitszertifikat Bundesamt ISO 27001-Zertifikat auf der Basis von IT-Grundschutz Technisches Facility Management für hochverfügbare Datacenter der e-shelter facility

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Security & Quality: Implementierung von ISO 27001 und ISO 13485 in der Medizintechnik

Security & Quality: Implementierung von ISO 27001 und ISO 13485 in der Medizintechnik Security & Quality: Implementierung von ISO 27001 und ISO 13485 in der Medizintechnik Thomas Hasiba kurze CV 1998 TOM Medical Entwicklung und Produktion von Langzeit EKGS-Systemen Weltweiter Vertrieb der

Mehr

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443 DKE UK 351.3.7 Hans-Hermann Bock 1 Braunschweig, 06.11.2013 Anwendungsbereich der Vornorm (1) Diese Vornorm ist

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor SyroCon Consulting GmbH Bosch Software Innovations GmbH Managed Energy Services als neue Dienste von Carriern Die Entwicklungen im Energiesektor

Mehr

Ausbildung zum Compliance Officer Mittelstand

Ausbildung zum Compliance Officer Mittelstand Praxisorientierter Zertifikatslehrgang Ausbildung zum Compliance Officer Mittelstand Effektives Compliance Management mit Darstellung der ISO-Norm 19600 und IDW Prüfungsstandard 980 Gesetzliche Bestimmungen

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

Über mich. IT-Governance für KMU Luxus oder Fundament? 28.01.2013. ISACA After Hours Seminar vom 29. Januar 2013 Peter Josi.

Über mich. IT-Governance für KMU Luxus oder Fundament? 28.01.2013. ISACA After Hours Seminar vom 29. Januar 2013 Peter Josi. IT-Governance für KMU Luxus oder Fundament? ISACA After Hours Seminar vom 29. Januar 2013 Peter Josi Über mich Peter Josi Berufliche Tätigkeit Seit 2009 Fischer-ICT GmbH, Adelboden 2004 2009 AXA Winterthur,

Mehr

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance

IT-Governance. Standards und ihr optimaler Einsatz bei der. Implementierung von IT-Governance IT-Governance Standards und ihr optimaler Einsatz bei der Implementierung von IT-Governance Stand Mai 2009 Disclaimer Die Inhalte der folgenden Seiten wurden von Severn mit größter Sorgfalt angefertigt.

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Datenschutz- und IT-Sicherheitsaudit

Datenschutz- und IT-Sicherheitsaudit Datenschutz- und IT-Sicherheitsaudit Eine Chance für das Gesundheitswesen 54. GMDS- Jahrestagung Essen, 2009-09-09 Dr. Bernd Schütze Agenda 54. GMDS-Jahrestagung Essen, 2009-09-09 1. 2. M&M a) b) Audit

Mehr

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach

COBIT. Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach COBIT Proseminar IT Kennzahlen und Softwaremetriken 19.07.2010 Erik Muttersbach Gliederung Motivation Komponenten des Frameworks Control Objectives Goals Prozesse Messen in CobiT Maturity Models Outcome

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

HYBRID CLOUD IN DEUTSCHLAND 2015/16

HYBRID CLOUD IN DEUTSCHLAND 2015/16 Fallstudie: IBM Deutschland GmbH IDC Multi-Client-Projekt HYBRID CLOUD IN DEUTSCHLAND 2015/16 Mit hybriden IT-Landschaften zur Digitalen Transformation? IBM DEUTSCHLAND GMBH Fallstudie: Panasonic Europe

Mehr

Prozessmanagement. Erfahrung mit der ISO 9001:2000. Vortrag von Dr. Jan Schiemann Juni 2005

Prozessmanagement. Erfahrung mit der ISO 9001:2000. Vortrag von Dr. Jan Schiemann Juni 2005 Prozessmanagement Erfahrung mit der ISO 9001:2000 Vortrag von Dr. Jan Schiemann Juni 2005 Zweck des Referats Folgende Fragen werden versucht zu beantworten : - inwieweit haben die neuen QM- Regelwerke

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

COMPLIANCE CODE OF CONDUCT. Richtlinien zur Formulierung und Anwendung

COMPLIANCE CODE OF CONDUCT. Richtlinien zur Formulierung und Anwendung COMPLIANCE CODE OF CONDUCT Richtlinien zur Formulierung und Anwendung 2012 Der Zweck dieser Broschüre Diese Broschüre soll dazu dienen, den Begriff Compliance zu erläutern und den russischen Unternehmen

Mehr

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg 09.03.2017 Wer wir sind Beratung und Dienstleistung für anspruchsvolle Anforderungen

Mehr

InterimIT GmbH. Interimsmanagement Managementberatung IT-Analyse und Auditierung. Vakanzen strategisch nutzen, Veränderungen verlässlich gestalten.

InterimIT GmbH. Interimsmanagement Managementberatung IT-Analyse und Auditierung. Vakanzen strategisch nutzen, Veränderungen verlässlich gestalten. Interimsmanagement Managementberatung IT-Analyse und Auditierung Vakanzen strategisch nutzen, Veränderungen verlässlich gestalten. Matthias Burgardt Geschäftsführender Gesellschafter Haneschstr. 12, 49090

Mehr

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit ISMS Portfolio Sicher. Besser. TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit TÜV TRUST IT GmbH Daten

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Security Governance - Juli 2015 Agenda 1 2 3 Herausforderungen Unser Angebot Ihr Nutzen 2 Information Security Governance muss vielen Herausforderungen begegnen

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit Umsetzungsverfahren KMU-Zertifizierung Informationssicherheit Inhalt Umsetzungsverfahren... 1 Umsetzungsverfahren zur KMU-Zertifizierung nach OVVI Summary... 2 1. Information Security Policy / IT-Sicherheitsleitlinie...

Mehr

Qualitätsmanagement nach DIN EN ISO 9000ff

Qualitätsmanagement nach DIN EN ISO 9000ff Qualitätsmanagement nach DIN EN ISO 9000ff Die Qualität von Produkten und Dienstleistungen ist ein wesentlicher Wettbewerbsfaktor. Soll dauerhaft Qualität geliefert werden, ist die Organisation von Arbeitsabläufen

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr