Neues von der ISO 2700x

Größe: px
Ab Seite anzeigen:

Download "Neues von der ISO 2700x"

Transkript

1 Management und Wissen Sicherheitsmanagement Neues von der ISO 2700x Änderungen in ISO und ISO durch die Revision von 2013 Nach sechsjähriger Gremienarbeit wurden zum 1. Oktober 2013 die neuen Fassungen der ISO/IEC und ISO/IEC veröffentlicht. ISO/IEC 27001:2005 wurde umfassend überarbeitet und an die einheitliche Struktur für Managementsystemstandards angepasst, ISO/IEC 27002:2005 um Redundanzen und unklare Themenzuordnungen bereinigt sowie in den technischen Bereichen aktualisiert. Von Andreas Rauer und Oliver Weissmann, Königswinter Die wohl auffälligste Änderung durch die aktuelle Revision zur ISO/IEC 27001:2013 ist eine abweichende Kapitelstruktur. Diese entspringt der Anwendung der neuen Regelungen des Annex SL aus den überarbeiteten ISO/IEC- Directives, Part 1. Die hierdurch vorgegebene Struktur ist verpflichtend für alle neuen und überarbeiteten Managementsystemstandards und somit beispielsweise auch für die revidierten Fassungen der ISO 9001, ISO und ISO anzuwenden, um einige bekannte Managementsysteme zu nennen. Das Ziel ist, eine bessere Integration mit anderen Managementsystem-Standards zu ermöglichen. ISO/IEC 27001:2013 Abbildung 1 auf Seite 84 zeigt grafisch, wie sich die Inhalte der ISO/IEC in der bekannten Fassung von 2005 auf die neue Struktur der Revision von 2013 verteilen besonders im Bereich der ehemaligen Sektion 4 hat sich viel getan. Vorgeplänkel Vergleichsweise wenig ändert sich in den ersten Abschnitten: Die Einleitung (Introduction) zur neuen Version des Standards ist vergleichbar mit der 2005er-Version und wurde lediglich aktualisiert (Markierung 1 in Abb. 1 auf S. 84). Insbesondere wird die neue Struktur des Standards in Übereinstimmung mit Annex SL hervorgehoben. Auch der Anwendungsrahmen (Scope) der neuen Fassung (Markierung 2) ist vergleichbar zur bisherigen Version, jedoch knapper gefasst. Die zentrale Aussage lautet, dass eine Konformität mit dem Standard erfordert, alle Anforderungen der Sektionen 4 bis 10 vollumfänglich zu erfüllen es dürfen, wie bisher, keine Sektionen der ISO ausgeschlossen werden. In den normativen Referenzen (Markierung 3) entfällt der Verweis auf ISO/IEC 27002:2013 da weiterhin unter Berücksichtigung des Annex A ein Statement of Applicability erstellt werden muss, wäre dies auch redundant (Annex A reflektiert, wie in der vorhergehenden Fassung auch, die Schutzmaßnahmen aus der ISO/IEC 27002:2013). Es verbleibt der Verweis auf die ISO/ IEC 27000, in der alle spezifischen Definitionen aufgeführt sind und die einen Überblick über die gesamte ISO-2700x-Familie enthält. Nicht viel bleibt indessen von den Terms and definitions (Markierung 4): Alle Definitionen, die noch in der 2005er-Fassung aufgeführt waren, wurden entfernt stattdessen wird nun auf die zentralen Definitionen in ISO/IEC verwiesen. Wichtiger Hinweis an dieser Stelle: Ist ein Begriff nicht in der ISO/IEC enthalten, so gelten der allgemeine Sprachgebrauch und die Definition des Oxford English Dictionary. Dies gilt für die gesamte ISO 2700x-Familie und soll verhindern, dass an der gebräuchlichen Sprache vorbei Begriffe definiert werden, die man dann womöglich nicht mehr in die verschiedenen Landessprachen übersetzen kann. Überführung in die neue, formale Kapitelstruktur Gemäß der Annex-SL-Struktur beginnen die Normforderungen mit der neu gestalteten Sektion 4 Context of the organisation : In diesem Abschnitt sind das alte Kapitel 4.1 General sowie die Definition des ISMS-Scope aus 4.2.1a aufgegangen (Markierung 5 in Abb. 1). Die Definition des Scopes wird deutlich erweitert um die Anforderung zur Darlegung des Verständnisses der Organisation und ihrer Rahmenbedingungen sowie des Verständnisses von Bedürfnissen und Erwartungen von interessierten Dritten wie beispielsweise Stakeholdern. Die Darlegung des ausführlichen Kontexts für das SecuMedia Verlags-GmbH Ingelheim <kes> 2013 # 6 83

2 Management und Wissen Sicherheitsmanagement Abbildung 1: Veränderungen in der ISO/ IEC 27001:2013 Informationssicherheits-Managementsystem (ISMS) ist insbesondere deshalb notwendig, damit sich die ISO 31000:2009 Risk management Principles and guidelines besser anwenden lässt. Die ehemaligen Sektionen bis der 2005er-Fassung werden am umfassendsten umgestaltet: Die von der neuen Struktur vorgegebene Sektion 5 Leadership in der 2013er-Fassung besteht zum einen aus der ehemaligen Sektion 5.1 Management committment (nun: Leadership and commitment ), zum anderen aus der überarbeiteten Sektion b (neu: 5.2 Policy ) bezüglich einer Information-Security-Policy (Markierung 6). Ergänzt wird dies durch die explizite Verpflichtung des Managements, für den Betrieb des ISMS angemessene organisatorische Rollen, Rechte und Kompetenzen zu definieren und einzuführen (5.3 Organisational roles, responsibilities and authorities ). Die ISO/IEC 27001:2013 spricht dabei nicht mehr von einer ISMS-Policy, sondern verweist namentlich auf eine Information Security Policy der Schwerpunkt der Richtlinie liegt jetzt, anders als es der Name vermuten lässt, stärker auf dem Managementsystem selbst. Da die neue Fassung des Standards aber Dokumentnamen nicht mehr explizit vorschreibt, ist es kein Problem, eine bestehende ISMS-Policy mit bestehendem Namen unter Berücksichtigung der erweiterten Anforderungen fortzuführen. Diese liegen in der Formulierung eines stärkeren Commitment des Managements bei der Definition von Sicherheitszielen, der Befriedigung von Sicherheitsanforderungen, Bereitstellung organisatorischer Mittel sowie der fortlaufenden Verbesserung des ISMS. Die Sektion 6 Planning in der Revision übernimmt die Inhalte der ehemaligen Sektionen c j (Markierung 7) und fordert in zwei Untersektionen das IS-Risikomanagement ein (6.1.2 Information security risk assessment und Information security risk treatment ). Die starke Annäherung an ISO 31000:2009 bewirkt mehrere Veränderungen: Die Anforderungen an die Risikomanagementmethodik sind deutlich allgemeiner gefasst. Daraus resultiert, dass es nicht mehr erforderlich ist, Assets, Bedrohungen und Schwachstellen zu erfassen, um Risiken zu identifizieren. Daher können jetzt auch eher allgemein gefasste Methoden und Tools aus beispielsweise dem Enterprise-Risk-Management (ERM) zum Einsatz kommen. Dies stellt eine nicht unerhebliche Erleichterung dar, wenn es darum geht, sich in ein bestehendes Risikomanagement zu integrieren. Außerdem können bereits vorhandene ERM-Lösungen und/oder eine harmonisierte Risikoinventarisierung dabei helfen, Kosten zu sparen Bei der Erstellung des weiterhin benötigten Statement of Applicability (SoA) werden die Controls zur Risikobehandlung nicht mehr aus dem Annex A ausgewählt, sondern die zur Risikobehandlung benötigten Maßnahmen innerhalb des Prozesses frei bestimmt und danach mit den im Annex A gelisteten Controls verglichen erst durch diesen Vergleich kommt die jeweilige Maßnahme (Control) zur Anwendung. Wie bereits zuvor, dürfen die gewählten Maßnahmen auch über die im Annex A aufgeführten Schutzmaßnahmen hinausgehen. Dies ist 84 SecuMedia Verlags-GmbH Ingelheim <kes> 2013 # 6

3 besonders dann wichtig, wenn man beispielsweise ein übergreifendes ISMS von der Bürowelt bis in die Welt der Automation betreiben möchte. Gleiches gilt für die Anwendung von sektorspezifischen Standards aus der Reihe 2701x, welche Ergänzungen zu den Maßnahmen der ISO/ IEC 27002:2013 darstellen. Durch die Anlehnung an ISO 31000:2009 ergeben sich in Sektion auch neue Anforderungen an die Betrachtung allgemeiner Risiken (also nicht nur IS-spezifischer Risiken). Über diesen Weg werden zukünftig auch potenzielle Probleme im Managementsystem adressiert, die bisher gemäß der Sektion 8.3 Preventive actions behandelt wurden. Sektion 6.2 der revidierten Fassung erweitert die ehemalige Sektion b.1 umfassend und fordert die Aufstellung expliziter Sicherheitsziele für relevante Funktionen und Ebenen. Hierbei betont Übersicht über die ISO-2700x-Familie Seit der Veröffentlichung der ersten Ausgaben von ISO/IEC und ISO/IEC im Jahr 2005 ist die Anzahl der Standards innerhalb der Standards-Familie zu Informationssicherheits-Managementsystemen (ISMS) stark gestiegen: Sie umfasst derzeit 15 publizierte Standards im Zahlenraum von , die durch maßnahmenspezifische Leitfäden im Nummernbereich ergänzt werden. En detail gliedert sich die Familie (vgl. Abb. 2) in : den Vokabular-Standard ISO/IEC mit allen Begriffsdefinitionen, die beiden Vorgaben-Standards mit Anforderungen an Managementsysteme (ISO/IEC 27001) beziehungsweise Zertifizierungsstellen (ISO/IEC 27006), derzeit neun Leitfäden zu spezifischen Themen des Aufbaus und Betriebs eines ISMS sowie momentan drei sektorspezifischen Ausprägungen der ISO/ IEC 27002:2005. Die weiter gehenden Standards mit maßnahmenspezifischen Leitfäden umfassen beispielweise die ISO/IEC 27035:2011 Information security incident management sowie die in Entwicklung befindlichen ISO/IEC Information security for supplier relationships und ISO/IEC Guidelines for Security Information and Event Management (SIEM). Abbildung 2: Überblick zur ISO 2700x-Standards-Familie SecuMedia Verlags-GmbH Ingelheim <kes> 2013 # 6 85

4 Management und Wissen Sicherheitsmanagement die Norm, dass es sich nicht um strategische Ziele handeln darf, die einmal aufgestellt und danach vergessen werden können vielmehr bedarf es regelmäßig aktualisierter Ziele auf strategischer, taktischer und operativer Ebene. Eine Möglichkeit zur Adressierung dieser Forderungen ist das kürzlich in der <kes> beschriebene C4P-Modell (<kes> 2013 # 4, S. 33). Zudem fordert der Standard, dass die Organisation eine Planung betreibt, um die Wirksamkeit aller getroffenen Maßnahmen zu überprüfen und auf die Resultate angemessen zu reagieren. Die ehemalige Sektion 4.3 Documentation requirements mit den Anforderungen an die Verwaltung von (Vorgabe-)Dokumenten und Aufzeichnungen ( documents und records ) wurde zum einen in die neue Sektion 7 Support verschoben, zum anderen die Trennung zwischen Dokumenten und Aufzeichnungen aufgehoben die Norm spricht in der 2013er-Fassung nur noch von dokumentierten Informationen (Markierung 8 in Abb. 1). An der Beschreibung des bekannten Dokumentenlebenszyklusmodells ändert sich inhaltlich kaum etwas. Die bemerkenswertesten Änderungen für den Bereich des Dokumentationsmanagements sind indessen, dass es keine Liste explizit geforderter Dokumente mehr gibt (vgl. die ehemalige Sektion 4.3.3), das keine bestimmten Namen mehr für Dokumente vorgeschrieben werden es zählt der Inhalt, nicht der Dokumententitel (die Ausnahme bildet hier das Statement of Applicability ) und die Anforderungen nach (expliziter) Dokumentation in den jeweiligen anderen Sektionen der ISO/ IEC 27001:2013 stehen. Die Forderungen aus der bisherigen Sektion 5.2 Resource management wurden übernommen und thematisch aufgesplittet: Aus der vormaligen Sektion Provision of resources wurde 7.1 Resources, aus Training, awareness and competence wurden die separaten Untersektionen 7.2 Competence und 7.3 Awareness. Mit der Revision wurden diese Forderungen auch entscheidend überarbeitet: Es müssen nun nicht mehr nur die Personen, die an Aufbau und Betrieb des ISMS beteiligt sind, angemessen qualifiziert und über Informationssicherheit aufgeklärt sein, sondern zukünftig alle Personen im Anwendungsbereich des ISMS. Zusätzlich wurden in der neuen Sektion 7.4 Communication die bisher verteilten Informationspflichten zusammengefasst aufgestellt: Die Organisation ist nun explizit dazu verpflichtet, im Kontext des ISMS zu prüfen und zu definieren, ob, wann, was, durch wen, an wen, auf welchem Wege, nach intern/extern kommuniziert wird. Dies wird in Standards wie der ISO/IEC 9001 ebenfalls gefordert und im Allgemeinen durch Kommunikationsmatrizen umgesetzt. So lässt sich sicherstellen, dass auch wirklich alle notwendigen Meldewege nachvollziehbar und dokumentiert sind. Verstärkte Forderungen der Norm nach Zielsetzung und Selbstevaluation Die Sektion 8 Operation der ISO/IEC 27001:2013 umfasst die ehemalige Sektion (Markierung 9) sowie die Forderungen zur Planung und Umsetzung aller benötigten Prozesse zur Erreichung der gesetzten Sicherheitsziele sowie der durch die Norm gestellten Anforderungen. Explizit werden die geplante sowie die situationsbedingte Ausführung des Risikoassessments sowie die sukzessive Umsetzung des aktualisierten Risikobehandlungsplanes gefordert. Die in der 2005er Fassung befindlichen Sektionen 6 zu internen ISMS-Audits und 7 zum Management- Review des ISMS befinden sich in der neuen Fassung zusammengefasst in Sektion 9 Performance evaluation (Markierung 10 in Abb. 1). Die Anforderungen an das Management-Review ermöglichen nun eine flexiblere Gestaltung in Hinsicht auf Eingaben und Output, im Gegenzug wurden die Anforderungen an die Planung und Umsetzung eines Auditprogrammes konkreter gefasst. Ergänzt werden diese beiden Untersektionen durch eine weitreichende Neuformulierung der bisherigen Abschnitte zu Monitoring und Measurement: Die neue Untersektion 9.1 Monitoring, measurement, analysis and evaluation fasst vor allem die bisherigen Forderungen aus d, h und a c zusammen. Die bisher implizit aufgestellten Forderungen nach IS-Incident-Management und ISMS-Measurement werden als Forderung nach einer dokumentierten Methode zusammengeführt, die ein Monitoring aller relevanten Prozesse, Schutzmaßnahmen und Assets wahrnimmt sowie die Effektivität und Effizienz wie jeweilige Erreichung gesetzter Sicherheitsziele misst. Hier wird insbesondere gefordert, dass die eingesetzte Methode reproduzierbare und nachvollziehbare Ergebnisse liefert. Auch hier kann das unlängst in der <kes> vorgestellte C4P-Modell eine Möglichkeit bieten, dieser Verpflichtung angemessen nachzukommen. Die ISO/IEC 27004:2009 zum ISMS- Measurement wird derzeit überarbeitet und an die neuen Bedürfnisse angepasst. Die abschließende Sektion 10 Improvement hat die bisherigen Sektionen 8.1 Continual Improvement und 8.2 Corrective action mit geringfügigen Änderungen übernommen (Markierung 11); die Revision betont jedoch die Notwendigkeit kontinuierlicher Verbesserung noch stärker. Die Anforderungen der ehemaligen Sektion 8.3 Preventive action wurden wie bereits 86 SecuMedia Verlags-GmbH Ingelheim <kes> 2013 # 6

5 angemerkt (Markierung 7) als Bestandteil des Risikomanagementprozesses in Sektion übernommen. Der Schwerpunkt wird jedoch klar auf die kontinuierliche Verbesserung gelegt, besonders im Hinblick auf die Effektivität und die Angemessenheit von Prozessen und Maßnahmen. Das Passwort ist der Schlüssel Überschaubare Änderungen in den Anhängen Annex A ist abgesehen vom geänderten Namen gleich geblieben (Markierung 12 in Abb. 1) er enthält weiterhin eine Übersicht aller in der ISO/IEC erfassten Control-Objectives und Controls, mitsamt der Control-Statements. Die weitergehenden Implementationshinweise und sonstigen Informationen zu den einzelnen Controls sind, wie gehabt, in der ISO/IEC selbst aufgeführt. Ersatzlos entfallen sind der ehemalige Annex B OECD principles and this International Standard und Annex C Correspondence between ISO 9001:2000, ISO 14001:2004 and this International Standard (Markierung 13). Annex B mit dem Mapping der OECD-Prinzipien auf die PDCA-Phasen des ISMS entfällt, da sich die ISO mit der Umstrukturierung aller Managementsystemstandards ein Stück weit vom PDCA-Modell entfernt Annex C wurde obsolet, da alle Managementsystemstandards der ISO auf das harmonisierte Strukturmodell aus Annex SL der ISO-Direktiven umgestellt werden und somit kein Mapping der einzelnen Sektionen auf einander vergleichbare Forderungen mehr notwendig ist. Die Bibliography mit den Verweisen auf weitergehende Literatur beziehungsweise ISO-Standards wurde im Rahmen der ISO/IEC 27001:2013 auf eine übersichtliche und kurze Liste reduziert (Markierung 14): Darin befinden sich Verweise auf die aktuellen Fassungen von ISO/IEC 27002, 27003, und 27005, sowie ISO und die ISO Directives Part 1, welche bestimmend für die Gestaltung der Revisionsfassung waren. ISO/IEC 27002:2013 Die ISO/IEC ist von ehemals 11 Domänen mit 133 Controls in der neuen Fassung auf 14 Domänen gewachsen (vgl. Abb. 3) allerdings bei gleichzeitiger Reduktion der Controls auf nur noch 114 Stück. Mit der Neustrukturierung wurden verschiedene Controls, die zuvor künstlich in bestimmte Domänen eingefügt wurden, nunmehr ausgegliedert und stehen thematisch für sich. Ebenfalls wurden Controls entfernt, die als zu spezifisch, veraltet oder redundant angesehen wurden. Beispielsweise wurde aus der ehemaligen Subdomäne 12.3 Cryptographic controls die nun eigenständige Domäne 10 Cryptography diese Basistechnologie ESET Secure Authentication bietet eine starke Authentifizierung für Remotezugriffe auf Ihr Unternehmensnetzwerk und Ihre sensiblen Daten - sicher und reibungslos. Einmal-Passwörter für jeden Zugriff zum Schutz Ihres Netzwerks 2-Faktor-, Einmal-Passwort-Authentifizierung Mobilfunk basiert Reine Software-Lösung keine zusätzlichen Geräte oder Tokens nötig Keine zusätzlichen Hardware-Kosten passt zur bestehenden Infrastruktur SecuMedia Verlags-GmbH Ingelheim <kes> 2013 # 6

6 Management und Wissen Sicherheitsmanagement Abbildung 3: Die neue Struktur im Hauptteil der ISO/ IEC 27002: Information security policies 5.1 Management direction for information security 6. Organization of information security 6.1 Internal organization 6.2 Mobile devices and teleworking 7. Human resource security 7.1 Prior to employment 7.2 During employment 7.3 Termination and change of employment 8. Asset management 8.1 Responsibility for assets 8.2 Information classification 8.3 Media handling 9. Access control 9.1 Business requirements of access control 9.2 User access management 9.3 User responsibilities 9.4 System and application access control 10. Cryptography 10.1 Cryptographic controls 11. Physical and environmental security 11.1 Secure areas 11.2 Equipment 12. Operations security 12.1 Operational procedures and responsibilities 12.2 Protection from malware 12.3 Backup 12.4 Logging and monitoring 12.5 Control of operational software 12.6 Technical vulnerability management 12.7 Information systems audit considerations 13. Communications security 13.1 Network security management 13.2 Information transfer 14. System acquisition, development and maintenance 14.1 Security requirements of information systems 14.2 Security in development and support processes 14.3 Test data 15. Supplier relationships 15.1 Information security in supplier relationships 15.2 Supplier service delivery management 16. Information security incident management 16.1 Management of information security incidents and improvements 17. Information security aspects of business continuity management 17.1 Information security continuity 17.2 Redundancies 18. Compliance 18.1 Compliance with legal and contractual requirements 18.2 Information security reviews findet letztlich in nahezu allen anderen technischen Bereichen Anwendung. Ebenfalls aufgeteilt wurde die ehemalige Domäne 10 Communications and Operations management : Ihre Inhalte findet man in neuen Domänen 12 Operations security und 13 Communications security, wobei nun deutlich zwischen den Anforderungen für einen sicheren Betrieb und den Zielsetzungen für eine sichere Kommunikation unterschieden wird. Eine der auffälligsten Neuerungen ist wohl die neugestaltete Domäne 15 Supplier relationships : In dieser wurden diejenigen Controls zusammengefasst und überarbeitet, die sich mit Sicherheitsanforderungen an Dienstleistern und Vertragsbeziehungen mit Dritten beschäftigen. Hierdurch wurden die bereits vorhandenen, jedoch verteilten Controls thematisch zusammengeführt und überarbeitet. Ergänzt wird dieser neue Themenblock durch Maßnahmenempfehlungen zur Erfassung, Gestaltung und Absicherung einer ICT-Supply-Chain (15.1.3), ein Bereich, der gerade für die Kontrolle von Dienstleistern (z. B. im Finanzsektor) eine erhebliche Rolle spielt streng genommen fallen aber alle Arten des Outsourcing, sowie die Nutzung von Cloud-Services hierunter. Zu diesen Forderungen befinden sich derzeit weiterführende und maßnahmenunterstützende Standards in der Entwicklung. Eine andere weitreichende Änderung erfolgte im Bereich der Entwicklung neuer Informationssysteme: Der ehemalige Bereich Correct processing in applications wurde vollständig entfernt. Für die dafür neu gestaltete Security in development and support processes wurden nicht nur sämtliche Controls mit Themenbezug zusammengezogen (u. a. Outsourced development, Systems acceptance testing oder Restrictions on changes to software packages ). Dieser Abschnitt wurde zudem um relevante Maßnahmenempfehlungen zur Gestaltung einer Secure Development Policy, also dem Aufbau einer gesicherten Entwicklungsumgebung, dem Aufstellen von Prinzipien für Systementwicklung und das Testen von Sicherheitsfunktionen, ergänzt. An dieser Stelle sei auch auf das neue Control Information security in project management hingewiesen: Es bringt die Forderung ein, das Informationssicherheit als Bestandteil des Projektmanagements zu sehen sowie sicherzustellen, dass identifizierte Risiken berücksichtigt und behandelt werden können. Bei der Domäne für Information security incident management wurde die Aufteilung in zwei Bereiche aufgehoben: Der Prozess in Gänze wird nun mithilfe einzelner Controls stringenter dargestellt dies bildet auch die angemessene Behandlung und Nachbereitung von Sicherheitsvorfällen präziser ab. Dieses Control wird darüber hinaus durch die ISO/IEC 27035:2011 Information security incident management unterstützt. 88 SecuMedia Verlags-GmbH Ingelheim <kes> 2013 # 6

7 Ebenfalls deutlich klarer zeigt sich die neue Domäne 17 Information security aspects of business continuity management (vormals Domäne 14): Sie trägt nun schon im Namen dem zugrunde liegenden Gedanken Rechnung und die Überarbeitung der Controls stellt klar, dass es um die Gewährleistung des Sicherheitsbedarfs während der Recoveryphase eines Business-Continuity-Vorfalls geht. Die frühere Version war hier unpräzise und oft wurde hierdurch die Erstellung eines vollumfassenden Business-Continuity-Management-Systems (BCMS) angestoßen. Neu ist an dieser Stelle auch der Unterbereich 17.2 Redundancies, der sich mit der Gestaltung redundanter Strukturen beschäftigt: einem Thema, das bisher nur indirekt über das Control Capacity management adressiert werden konnte und jetzt thematisch korrekter zugeordnet ist. Weggefallen ist der ehemalige Unterabschnitt Electronic commerce services ; seine Controls sind in den neuen Bereich 14.1 Security requirements of information systems eingearbeitet worden. Dem elektronischen Handel einen Sonderstatus einzuräumen, wurde als falsch und fehlleitend angesehen vor allem, weil dies teils dazu geführt hat, dass nachgelagerte und unterstützende Systeme nicht ausreichend sicher betrieben wurden. Weitere Verschiebungen von Controls ergaben sich in der Domäne Compliance, die nun auch alle Security- und Compliance-Review-bezogenen Controls zusammenfasst. Ebenfalls wurde Control of operational software aus der ehemaligen Domäne 12 in die neue Domäne Operations security verlagert und dort zu einem eigenständigen Unterabschnitt. Fazit Die Revision der ISO/IEC bedeutet sowohl für bestehende als auch in der Einführung befindliche ISMS durchaus entscheidenden Mehraufwand: ISMS-Measurement und -Improvement werden intensiv formuliert und gefordert und sind für eine Zertifizierung definitiv nachzuweisen. Die Beteiligung des Managements wird stärker eingefordert und geht über einen Letter of Intent weit hinaus. Neben negativen Risiken sind nun auch positive Risiken (bzw. Chancen) zu betrachten. Nunmehr müssen alle Personen im Anwendungsbereich Gegenstand von klaren Rollenbeschreibungen und Awareness-Maßnahmen sein (zuvor genügte es, nur die Rolleninhaber der ISMS-Organisation zu betrachten). Es gibt jedoch auch eine zentrale Änderung, die den Aufwand im Bereich des IS-Risikomanagements verringern kann: Denn die Risikomanagementmethodik wird flexibler Anlehnung und Verweise auf ISO 31000:2009 erleichtern die Nutzung bestehender ERM-Tools und -Methoden. Wie sich diesbezüglich die derzeit zur Revision vorgesehene ISO/IEC 27005:2011 Information security risk management entwickeln wird, ist heute jedoch noch nicht abzusehen. Darüber hinaus gibt es etliche aufwandsneutrale Änderungen vor allem hier bleibt alles anders : Es gibt keine festen Namen mehr für explizit geforderte Dokumente (abgesehen von IS Policy und Statement of Applicability ). Das IS-Incident-Management verschwindet als Forderung aus dem eigentlichen Managementsystem und wird nunmehr nur noch als Control geführt, das den permanenten Verbesserungsprozess unterstützen soll. Preventive Action wird Bestandteil des Risikomanagements. Die neue High-Level-Struktur ermöglicht eine bessere Integration mit anderen Managementsystem- Standards wie ISO 9001, ISO oder ISO Bei der Revision der ISO/IEC ergeben sich durch die größeren Änderungen vor allem Vorteile bezüglich der Ausrichtung auf die Organisationstrategie und die Einbeziehung des Supply-Chain-Managements. Die Gestaltung eines klaren Lebenszyklus im Bereich Systementwicklung sowie die Präzisierung des Incident- Managements als Schutzmaßnahme tragen erheblich zur besseren Anwendbarkeit des Standards bei. Zudem haben die vielfachen Neuzuordnungen der Controls die häufig hakelige und redundante Struktur der ISO/IEC 27002:2005 deutlich verbessert. Durch die ergänzten Controls für einige Bereiche wurden diese deutlich präzisiert (z. B. beim Incident-Management) oder um fehlende Bestandteile erweitert. Manche Bereiche und Controls wurden im Rahmen der Überarbeitung sprachlich weniger strikt formuliert und bieten nun in der Anwendung durch die implementierende Organisation mehr Möglichkeiten. In Summe ergeben sich durch die klareren Formulierungen der ISO/IEC 27002:2013 weniger Redundanzen und die Aktualisierung sowie Verschlankung in den technischen Bereichen ermöglicht eine einfachere Implementation. Dr. Ing. Oliver Weissmann ist Co-Editor der ISO/IEC (seit 1999) und ISO/IEC 27003:2010 sowie Geschäftsführer der xiv-consult GmbH. Dipl.-Inf. (FH), MBA Andreas Rauer ist bei der xiv-consult GmbH als Berater für strategische Informationssicherheit tätig. SecuMedia Verlags-GmbH Ingelheim <kes> 2013 # 6 89

8 Sind Sie verantwortlich für die IT-Sicherheit? <kes> liefert alle relevanten Informationen zum Thema IT-Sicherheit sorgfältig recherchiert von Fachredakteuren und Autoren aus der Praxis. In jeder Ausgabe finden Sie wichtiges Know-how, Hinweise zu Risiken und Strategien, Lösungsvorschläge und Anwenderberichte zu den Themen: Jetzt Probeheft anfordern! Internet/Intranet-Sicherheit Zutrittskontrolle Virenabwehr Verschlüsselung Risikomanagement Abhör- und Manipulationsschutz Sicherheitsplanung Elektronische Signatur und PKI <kes> ist seit 20 Jahren die Fachzeitschrift zum Thema Informations-Sicherheit - eine Garantie für Zuverlässigkeit. <kes>-online <kes>-leser können neben der Print-Ausgabe auch <kes>-online unter nutzen. Hier finden Sie ohne Zugangsbeschränkung, das Thema der Woche, viele interessante Links, Stichwort-Lexikon IT-Security- Begriffe, Verzeichnis relevanter Veranstaltungen und außerdem aktuelle Artikel zum Probelesen. Abonnenten erhalten zusätzlich ein Passwort mit dem sie Zugriff auf alle aktuellen Artikel und auch auf das Online- Archiv erhalten. PROBEHEFT-ANFORDERUNG ja, bitte schicken Sie mir gratis und unverbindlich ein Exemplar der <kes> - Die Zeitschrift für Informations-Sicherheit zum Probelesen zu. Es kommt nur dann ein Abonnement zustande, wenn ich es ausdrücklich wünsche. Das Abonnement beinhaltet ein Passwort zur Nutzung des Abo-Bereichs auf Datum Zeichen FAX an SecuMedia Verlags-GmbH Leser-Service Postfach Ingelheim Unterschrift Lieferung bitte an Telefon Durchwahl

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

ISO/IEC 27001. Neue Version, neue Konzepte. Quo Vadis ISMS?

ISO/IEC 27001. Neue Version, neue Konzepte. Quo Vadis ISMS? ISO/IEC 27001 Neue Version, neue Konzepte Quo Vadis ISMS? 2/18 Ursachen und Beweggründe Regulärer Zyklus für Überarbeitung von ISO/IEC 27001:2005 Zusätzlich neues Projekt MSS (Managment System Standards)

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Eine ISO-Norm für Wissensmanagement?

Eine ISO-Norm für Wissensmanagement? Eine ISO-Norm für Wissensmanagement? 09.12.2014 von Christian Katz Die aktuelle Revision der ISO 9001 (Qualitätsmanagementsysteme) lädt ein, über die Harmonisierung aller Managementsystem-Normen nachzudenken:

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 8. Übungsblattes BS 7799 und der IT-Sicherheit Lösungen des 8. Übungsblattes BS 7799 8.1 BS 7799 und ISO/IEC 17799 BS 7799 = British Standard 7799 des British Standards Institute 1995: BS 7799-1 2000: ISO/IEC 17799 (Information

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Neuerungen und Anpassungen rund um ISO/IEC 27001:2013

Neuerungen und Anpassungen rund um ISO/IEC 27001:2013 Neuerungen und Anpassungen rund um ISO/IEC 27001:2013 Erfahrungsbericht eines Auditors Uwe Rühl 1 Uwe Rühl Kurz zu meiner Person Externer Client Manager (Lead Auditor) für ISO/IEC 27001, ISO 22301 und

Mehr

Holger Schrader Principal Consultant der CARMAO GmbH. Stellvertretender Leiter der Fachgruppe Informationssicherheit ISACA Germany Chapter

Holger Schrader Principal Consultant der CARMAO GmbH. Stellvertretender Leiter der Fachgruppe Informationssicherheit ISACA Germany Chapter ISACA Fachgruppe Informationssicherheit: Überblick über die ISO27001:2013 HERZLICH WILLKOMMEN Holger Schrader Principal Consultant der CARMAO GmbH Stellvertretender Leiter der Fachgruppe Informationssicherheit

Mehr

ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau. secunomic GmbH www.secunomic.com

ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau. secunomic GmbH www.secunomic.com ISO 27001:2013 ISMS DGQ-Regionalkreis Karlsruhe-Pforzheim-Gaggenau secunomic GmbH www.secunomic.com 1 Zur Person Christian Wahl Dipl. Ing. (FH) Nachrichtentechnik secunomic GmbH Kloppenheimer Straße 105

Mehr

Ohne Transparenz kein Schutz

Ohne Transparenz kein Schutz Ohne Transparenz kein Schutz Durchführung von IT-Risikoanalysen auf der Basis von ISO/IEC 27005 Der hohe Stellenwert der IT erfordert heute eine umfassende Identifikation und Bewertung der zugehörigen

Mehr

Befähigen Beherrschen Bestätigen

Befähigen Beherrschen Bestätigen ISO 20000-1:2011 Befähigen Beherrschen Bestätigen ISO/IEC 20000-1:2011 - Der Standard für IT Service Management ISO/IEC 20000-1:2011 ist ein Service Management System (SMS) Standard. Er spezifiziert die

Mehr

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle

Novellierung der ISO 27001. Sicht einer Zertifizierungsstelle G m b H Novellierung der ISO 27001 Sicht einer Zertifizierungsstelle Internet: www.uimcert.de Moltkestr. 19 42115 Wuppertal Telefon: (0202) 309 87 39 Telefax: (0202) 309 87 49 E-Mail: certification@uimcert.de

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

ISMS - der Weg zur ISO27001-Zertifizierung

ISMS - der Weg zur ISO27001-Zertifizierung ISMS - der Weg zur ISO27001-Zertifizierung Erwin T. Peter Leitender Auditor Schweizerische Vereinigung für Qualitäts-und Management-Systeme (SQS) CH-3052 Zollikofen erwin.peter@sqs.ch ISACA After Hours

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

Expertenwissen für DGQ-Mitglieder. Ein Jahr ISO/IEC 27001 in neuer Version Was ist passiert und was muss passieren?

Expertenwissen für DGQ-Mitglieder. Ein Jahr ISO/IEC 27001 in neuer Version Was ist passiert und was muss passieren? Ein Jahr ISO/IEC 27001 in neuer Version Was ist passiert und was muss passieren? Ein Jahr ISO/IEC 27001 in neuer Version - Was ist passiert und was muss noch passieren? E inleitung Seit Beginn der NSA-Spionageaffäre

Mehr

Teil I Überblick... 25

Teil I Überblick... 25 Inhaltsverzeichnis Vorwort... 17 Motivation und Intention... 18 ITIL ist nicht nur reine Technik... 18 ITIL ist mehr... 19 ITIL ist auch ein Thema für die Organisation... 19 Zurück zum Thema Motivation...

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe -

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe - Peter Meier Die Umsetzung von Risikomanagement nach ISO 31000 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen

Mehr

Information Security Management

Information Security Management Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden

Mehr

ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien

ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien ISO/IEC 20000 & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO 20000 Auditor, CIS Wien Der heilige Gral des Service Management Was ist ein Standard? Was ist Best / Good Practice? Standard

Mehr

Vergleich Entwurf ISO 9001:2015 mit ISO 9001:2008

Vergleich Entwurf ISO 9001:2015 mit ISO 9001:2008 Vergleich Entwurf ISO 9001:2015 mit ISO 9001:2008 Arbeitsstand August 2014 Das folgende Dokument bietet einen Vergleich des aktuellen Entwurfs der ISO 9001:2015 (Arbeitsstand August 2014) und der derzeit

Mehr

Praxisdialog QM_ Nachbereitungsunterlagen_20150902.docx

Praxisdialog QM_ Nachbereitungsunterlagen_20150902.docx Seite 1 von 10 Inhalt 1 GRUND UND ZIELE DER ÜBERARBEITUNG... 1 1.1 Warum wird die Norm überarbeitet?... 1 1.2 Zielsetzungen der Revision... 1 2 ZEITPLAN UND ÜBERGANGSREGELUNGEN FÜR DIE ISO 9001:2015...

Mehr

Softwareprozesse systematisch verbessern ISO15504(SPICE) und Automotive SPICE. Heinrich Dreier Elmshorn 17.04.2008

Softwareprozesse systematisch verbessern ISO15504(SPICE) und Automotive SPICE. Heinrich Dreier Elmshorn 17.04.2008 Softwareprozesse systematisch verbessern ISO15504(SPICE) und Automotive SPICE Heinrich Dreier Elmshorn 17.04.2008 Einleitung Softwareprozesse verbessern Einleitung Softwareprozesse verbessern SPI Software

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

ITIL V3 Basis-Zertifizierung

ITIL V3 Basis-Zertifizierung Nadin Ebel ITIL V3 Basis-Zertifizierung Grundlagenwissen und Zertifizierungsvorbereitung für die ITIL Foundation-Prüfung ^- ADDISON-WESLEY An imprint of Pearson Education München Boston San Francisco Harlow,

Mehr

Clause 3 Requirements for a Management System Clause 4 Service Management System general Requirements Neue Bezeichnung SMS

Clause 3 Requirements for a Management System Clause 4 Service Management System general Requirements Neue Bezeichnung SMS Clause 3 Requirements for a Management System Clause 4 Service Management System general Requirements Neue Bezeichnung SMS Clause 3.1 Management Responsibility Clause 4.1 Management Responsibility Clause

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Qualität im Schienenverkehr

Qualität im Schienenverkehr Qualität im Schienenverkehr Vergleich 9001 et al. und IRIS. Wie wird in den Regelwerken mit Kennzahlen umgegangen? oder Was können auch "Nicht-Eisenbahner" aus der IRIS nutzen? 1 Inhalte Begrüßen / Vorstellen

Mehr

Integrale Sanierungsentscheidungen - gemeinsame Betrachtung der Straße und aller Leitungsträger -

Integrale Sanierungsentscheidungen - gemeinsame Betrachtung der Straße und aller Leitungsträger - Göttingen, 25. Februar 2014 Integrale Sanierungsentscheidungen - gemeinsame Betrachtung der Straße und aller Leitungsträger - Bert Bosseler (Prof. Dr.-Ing.) - Wissenschaftlicher Leiter - IKT Institut für

Mehr

Integriertes Management der Informationssicherheit im Krankenhaus

Integriertes Management der Informationssicherheit im Krankenhaus Integriertes Management der Informationssicherheit im Krankenhaus IEC 80001-1 & ISO 27001:2008 Themenflyer mit Leistungsangebot Think.Guide.Ready Mission und Vision Die CETUS Consulting GmbH ist ein Premium-

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

4... SAP Solution Manager als Plattform für den End-to-End-Anwendungsbetrieb... 63

4... SAP Solution Manager als Plattform für den End-to-End-Anwendungsbetrieb... 63 ... Geleitwort... 15... Vorwort... 17... Einführung... 23 1... Was ist Run SAP?... 25 1.1... Motivation der Run SAP-Methodik... 27 1.2... Roadmap... 29 1.3... Run SAP-Phasen... 32 1.3.1... Assessment &

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012 Empfehlungen von ITIL zu ITSM Einführung Jacqueline Batt, 12. Juni 2012 Wo ist das WIE in ITIL?! Service Strategy! Service Design! Service Transition! Service Operation! C. Service Improvement Kapitel

Mehr

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 sverzeichnis Martin Beims IT-Service Management mit ITIL ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN: 978-3-446-43087-7 Weitere Informationen oder Bestellungen unter http://www.hanser.de/978-3-446-43087-7

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443

Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Security for Safety in der Industrieautomation Konzepte und Lösungsansätze des IEC 62443 Roadshow INDUSTRIAL IT SECURITY Dr. Thomas Störtkuhl 18. Juni 2013 Folie 1 Agenda Einführung: Standard IEC 62443

Mehr

Überblick zur ISO/IEC 20000 Norm

Überblick zur ISO/IEC 20000 Norm Überblick zur ISO/IEC 20000 Norm Der internationale IT Service Management Standard Gegenwärtig ist nicht nur in Deutschland eine Tendenz zu erkennen, dass große IT- Unternehmen und auch Kunden von ihren

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb sverzeichnis Christian Wischki, Lutz Fröhlich ITIL & ISO/IEC 20000 für Oracle Datenbanken Praxisleitfaden für die Einführung und den Betrieb ISBN: 978-3-446-41978-0 Weitere Informationen oder Bestellungen

Mehr

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL) Zertifikatslehrgang IT Service Management (ITIL) IHK-Lehrgang IT Service Management (ITIL) Termin: 01.06.2012 bis 16.06.2012 IT12090 Ort: Industrie- und Handelskammer Erfurt Arnstädter Str. 34 99096 Erfurt

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr

Datensicherheit bei medizinischer Software. Patrick Reichmann

Datensicherheit bei medizinischer Software. Patrick Reichmann Datensicherheit bei medizinischer Software Patrick Reichmann 1 Ihr Vortragender Studierte Medical Information Technology / HealthCare IT (FH Kärnten, AUT) Software Entwickler im Bereich medizinische Bildverarbeitung

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

1 Die IT Infrastructure Library 1

1 Die IT Infrastructure Library 1 xix 1 Die IT Infrastructure Library 1 1.1 ITIL ein erster Überblick................................. 2 1.2 Service Management Grundlegende Begriffe.................. 5 1.2.1 Dienstleistungen (Services)..........................

Mehr

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7

Inhaltsverzeichnis. 1 Einleitung 1. 2 Einführung und Grundlagen 7 xv 1 Einleitung 1 2 Einführung und Grundlagen 7 2.1 Die neue Rolle der IT...................................... 7 2.2 Trends und Treiber........................................ 8 2.2.1 Wertbeitrag von

Mehr

Ganzheitliche Ereignisanalyse zur Verbesserung der Sicherheit und Gesundheit in der Praxis

Ganzheitliche Ereignisanalyse zur Verbesserung der Sicherheit und Gesundheit in der Praxis Ganzheitliche Ereignisanalyse zur Verbesserung der Sicherheit und Gesundheit in der Praxis E.ON Kraftwerke Wei Feb 2012 Ganzheitliche Ereignisanalyse zur Verbesserung der Sicherheit und Gesundheit in der

Mehr

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP

Risikomanagement für IT-Netzwerke mit Medizinprodukten. FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Risikomanagement für IT-Netzwerke mit Medizinprodukten FH-Prof. Dipl.-Ing. Alexander Mense, CISSP Ing. Franz Hoheiser-Pförtner, MSc, CISSP Agenda Ausgangssituation Herausforderungen Der erste Schritt als

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

Effizienz mit System. Implementierung von Informationssicherheit nach ISO 27001

Effizienz mit System. Implementierung von Informationssicherheit nach ISO 27001 Effizienz mit System Implementierung von Informationssicherheit nach ISO 27001 Dipl.-Ing. Berthold Haberler, Information Security Officer, LINZ AG Telekom LINZ STROM GmbH, Abt. f. Übertragungstechnik Der

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015

ITK Sicherheitsgesetz Umsetzung mit verinice.pro. verinice.xp- Grundschutztag 15.09.2015 ITK Sicherheitsgesetz Umsetzung mit verinice.pro verinice.xp- Grundschutztag 15.09.2015 Überblick Kurze Vorstellung des IT-Sicherheitsgesetzes Konkretisierung des Gesetzes für Energieversorger Abbildung

Mehr

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITIL in 60 Minuten. Jörn Clausen. joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITIL in 60 Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re

Mehr

Security & Quality: Implementierung von ISO 27001 und ISO 13485 in der Medizintechnik

Security & Quality: Implementierung von ISO 27001 und ISO 13485 in der Medizintechnik Security & Quality: Implementierung von ISO 27001 und ISO 13485 in der Medizintechnik Thomas Hasiba kurze CV 1998 TOM Medical Entwicklung und Produktion von Langzeit EKGS-Systemen Weltweiter Vertrieb der

Mehr

ITIL Version 3. Kompakter Überblick. Mai 2007

ITIL Version 3. Kompakter Überblick. Mai 2007 ITIL Version 3 Kompakter Überblick Mai 2007 Inhalt Struktur der Version 3 Prozesse in der Version 3 Inhaltsstruktur der neuen Bücher Die neuen ITIL Bücher Service Strategy Service Design Service Transition

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

ITIL V3 - Security Management

ITIL V3 - Security Management ITIL V3 - Security Management Richard Friedl richard.friedl@itsm-partner.com ITIL is a Registered Trade Mark, and Registered Community Trade Mark of the Office of Government Commerce, and is Registered

Mehr

Software Assessments verhelfen zur effektiven Prozessverbesserung

Software Assessments verhelfen zur effektiven Prozessverbesserung Assessments verhelfen zur effektiven Prozessverbesserung Ein Erfahrungsbericht Dr. Gunter Hirche Gründe für ein Assessment Anforderungen: Probleme bei der Abwicklung von Projekten mit SW-Anteilen Termine,

Mehr

Der Standard ISO/IEC 27001:2013

Der Standard ISO/IEC 27001:2013 Kai Jendrian Der Standard ISO/IEC 27001:2013 Nach acht Jahren wurde 2013 der ISMS-Standard ISO/IEC 27001 überarbeitet. In diese Überarbeitung sind viele Erfahrungen aus der Praxis eingeflossen, die ein

Mehr

ISO 15504 Reference Model

ISO 15504 Reference Model Prozess Dimension von SPICE/ISO 15504 Process flow Remarks Role Documents, data, tools input, output Start Define purpose and scope Define process overview Define process details Define roles no Define

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

Das ISO/IEC 20000 Management System & ITIL V3

Das ISO/IEC 20000 Management System & ITIL V3 Das ISO/IEC 20000 Management System & ITIL V3 Eine kleiner Vergleich Was ist ISO/IEC 20000? Was ist ITIL? ISO/IEC 20000!! Ein internationaler Qualitätsstandard, der einen integrierten Prozessansatzes für

Mehr

Risikomanagement Vorgaben durch internationale und europäische Normen

Risikomanagement Vorgaben durch internationale und europäische Normen Risikomanagement Vorgaben durch internationale und europäische Normen FH-Prof. Martin Langer, FH Campus Wien Wien, 30. November 2010 Fragestellungen ISO 31000 Was ist Risiko? Beispiele aus der Praxis Hintergründe

Mehr

1. Normen für Unternehmen

1. Normen für Unternehmen 1. Normen für Unternehmen Normen sind gut für ein Missverständnis und schlecht für ein Verständnis. Um diesem Wortspiel einen konkreten Inhalt zu geben, seien zwei Thesen angeführt: Das Missverständnis

Mehr

Neuerungen in den PMI-Standards. PMI Chapter Meeting 30.3.2009 in Frankfurt/Main

Neuerungen in den PMI-Standards. PMI Chapter Meeting 30.3.2009 in Frankfurt/Main Neuerungen in den PMI-Standards PMI Chapter Meeting 30.3.2009 in Frankfurt/Main Ihr Referent Henning Zeumer, Dipl.-Kfm., PMP Selbständiger Projekt- und Programm-Manager, Projektmanagement-Berater und -Trainer

Mehr

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1

IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter. 2003 KPMG Information Risk Management 1 IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter 2003 KPMG Information Risk Management 1 Grundvoraussetzungen Grundsätzlich sollten alle Prüfer, die IT im Rahmen von Jahresabschlussprüfungen prüfen

Mehr

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen

Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Wahlpflichtkatalog mit Zuordnung der Wahlpflichtmodule zu den Profilrichtungen Profilrichtungen Englische Übersetzung Beschreibung Informationssicherheit Information Security Diese Profilrichtung behandelt

Mehr

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg sverzeichnis Christian Wischki ITIL V2, ITIL V3 und ISO/IEC 20000 Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg ISBN: 978-3-446-41977-3 Weitere Informationen oder Bestellungen

Mehr

SPICE in der medizinischen Software-Entwicklung

SPICE in der medizinischen Software-Entwicklung SPICE in der medizinischen Software-Entwicklung MedConf 2012 Matthias Hölzer-Klüpfel Medical SPICE Medizinische Software Regulatorische Grundlagen Referenzmodell Medical SPICE Beispiele 1968: Software-Krise

Mehr

This document is a preview generated by EVS

This document is a preview generated by EVS EESTI STANDARD EVS-EN 13290-6:2002 Space project management - General requirements - Part 6: Information/Documentation management Space project management - General requirements - Part 6: Information/Documentation

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Ablauf der Zertifizierung / Zertifizierung von Organisationen Prof. Kathrin Winkler / Prof. Jürgen Müller Agenda 1. Fortbildungsweg 2. Projektarbeit und dpüf Prüfung

Mehr

Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite

Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite 1 itsmf Deutschland e.v. Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite Ben Martin, Glenfis AG Zürich 26.09.2012 Service Strategie und Sourcing

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

Der neue Standard ISO/IEC 27036

Der neue Standard ISO/IEC 27036 Der neue Standard ISO/IEC 27036 Information security for supplier relationships Workshop der GI-FG SECMGT am 11.11.2011 Bernhard C. Witt (it.sec GmbH & Co. KG) Bernhard C. Witt Berater für Datenschutz

Mehr

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org

Secure SDLC für die Masse dank OpenSAMM? OWASP 17.11.2011. The OWASP Foundation. Dr. Bruce Sams. http://www.owasp.org Secure SDLC für die Masse dank OpenSAMM? Dr. Bruce Sams 17.11.2011 Copyright The Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the License. The Foundation

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA & Datenschutz und IT-Sicherheit Smart Meter CA & Gateway Administration SmartMeterCA & Gateway Administration 4 Projekte 4 gute Ideen für den Smart Meter Gateway Administrator Unsere vier Projekte im Überblick

Mehr

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90

ISO/IEC 20000. Eine Einführung. Wie alles begann in den 80 & 90 ISO/IEC 20000 Eine Einführung Wie alles begann in den 80 & 90 1986 1988 1989 1990 CCTA initiiert ein Programm zur Entwicklung einer allgemein gültigen Vorgehensweise zur Verbesserung der Effizienz und

Mehr

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch?

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch? 6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit Informationssicherheit in Unternehmen Schwachstelle Mensch? Berlin, 22. September 2014 Franz Obermayer, complimant AG Informationssicherheit ist

Mehr

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules.

ITILin60Minuten. Jörn Clausen joernc@gmail.com. Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. ITILin60Minuten Jörn Clausen joernc@gmail.com Captain Barbossa: And thirdly, the code is more what you d call guidelines than actual rules. Elizabeth Swann: Hang the code, and hang the rules. They re more

Mehr

Herzlich Willkommen zur Veranstaltung. Audit-Cocktail. DGQ-Regionalkreis Karlsruhe 07.04.2014. Klaus Dolch

Herzlich Willkommen zur Veranstaltung. Audit-Cocktail. DGQ-Regionalkreis Karlsruhe 07.04.2014. Klaus Dolch Herzlich Willkommen zur Veranstaltung DGQ-Regionalkreis Karlsruhe 07.04.2014 Klaus Dolch Ausgangssituation: DIN EN 9001 und Ergänzungen An was erinnert dieses Bild? 1987 Erstausgabe 1994 2000 Großrevision

Mehr

Company Presentation

Company Presentation Glenfis AG Company Presentation IT Service Management Vom Kennen. Zum Können. Zum Tun. Mit Glenfis vom Kennen, zum Können, zum Tun. Als unabhängiger Berater und akkreditiertes Schulungsunternehmen sind

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance

01 IT-Governance Strategische Unternehmensziele durch IT-Compliance Seite 1 Inhaltsçbersicht 01 IT-Governance Strategische Unternehmensziele durch IT-Compliance optimal unterstçtzen 01200 IT Governance und IT Compliance die wichtigsten GW Normen und Regelwerke 01250 COBIT

Mehr

Aktuelle Informationen zur Revision der ISO 14001:2015 Umwelt Forum Saar Franz-Josef-Röder-Straße 9, 66119 Saarbrücken 18.06.

Aktuelle Informationen zur Revision der ISO 14001:2015 Umwelt Forum Saar Franz-Josef-Röder-Straße 9, 66119 Saarbrücken 18.06. Aktuelle Informationen zur Revision der ISO 14001:2015 Umwelt Forum Saar Franz-Josef-Röder-Straße 9, 66119 Saarbrücken 18.06.2015 16:10 AGENDA Harald Wunsch: REVISION ISO 14001 KONTEXT ANNEX SL PROZESSMODELL

Mehr

BS 7799 Von Best Practice zum Standard. Secorvo White Paper

BS 7799 Von Best Practice zum Standard. Secorvo White Paper BS 7799 Von Best Practice zum Standard Secorvo White Paper Informationssicherheits-Management nach BS 7799 im Überblick Version 1.3 Stand 27. September 2005 Jörg Völker Secorvo Security Consulting GmbH

Mehr