SBA Research ISO Vorbereitung Theorie und Wirklichkeit
|
|
- Jasmin Hoch
- vor 2 Jahren
- Abrufe
Transkript
1 SBA Research ISO Vorbereitung Theorie und Wirklichkeit
2 Agenda Treiber einer ISO27001 Zertifizierung Grundlegende Rahmenbedingungen Herausforderung an die Organisation
3 ISO27001 Treiber
4 ISO27001 Treiber Externe Treiber Kunden fordern Zertifizierung Wettbewerbsvorteil Nachweisbarkeit Interne Treiber? abgesehen von einem gravierenden Vorfall >> externe Treiber
5 ISO Grundlegende Rahmenbedingungen
6 ISMS Ein Informationssicherheitsmanagementsystem (ISMS) ist der Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die Errichtung, die Umsetzung, den Betrieb, die Überwachung, die Überprüfung, die Instandhaltung und die Verbesserung der Informationssicherheit abdeckt. >> ISO27001 zertifiziert dieses ISMS
7 ISMS Plan ISMS einrichten Phase Do ISMS implementieren Check ISMS überwachen Act ISMS warten und verbessern Beschreibung Einführen einer ISMS Policy, von Zielen, Prozessen und Prozeduren, die für das Management von Risiken und die Verbesserung der Informationssicherheit relevant sind sowie Ergebnisse liefern, die in Einklang mit den Unternehmensvorgaben und Zielen stehen Konkrete Umsetzung und Betrieb der ISMS Policy, Kontrollen, Prozesse und Prozeduren. Bewertung und (wo möglich) Messung der Prozess-Performance auf Basis der ISMS Policy, Zielen und praktischen Erfahrungen. Die Ergebnisse werden dem Management für ein Review vorgelegt. Korrektive und vorbeugende Aktionen auf der Basis der Ergebnisse interner ISMS Audits sowie dem Management Review, um eine kontinuierliche Verbesserung des ISMS zu erreichen. Quelle: ISO/IEC 27001:2005
8 ISMS Wesentliche Bausteine Dokumente Audits ISMS Kontrollen Risiken Maßnahmen
9 ISMS Wesentliche Bausteine Patch Management Patch Management Patch Management Richtlinie Kontrolle Risiko Richtlinie Kontrolle Risiko Es müssen alle produktiven Systeme am aktuellsten Patch Stand sein Weise 1x/Monat nach, dass alle produktiven Systeme am aktuellsten Patch Stand sind Kritische Auswirkung, wenn System A kompromittiert, da falsche Beladung LKWs. System B kann nicht aktualisiert werden hohes Risiko aber nicht mittelfristig lösbar. Patch Management Maßnahme Maßnahme Patch Management Audit Audit Management Review Review Notfall-Patch für System A durchführen sowie geregelten Patch Prozess etablieren. Automatisierte Analyse der Patch Stände aller produktiven Systeme. Review der Richtlinie, Maßnahmen, Kontrollen sowie akzeptierter Risiken.
10 ISMS IS Organisation Senior Management Geschäftsstrategie Geschäftsziele Steering Comittee Risiko Management/IS-Strategie IS-Ziele CISO / Security Management IS-Action Plan (Policies, Standards,..) IS-Programm Strategie Input IST / SOLL Informationssicherheit Geschäftsprozesse & Anforderungen Risiko Assessment Business Impact Analyse Rechtliche/Regulatorische Anforderungen Action Plan Input Ressourcen und Einschrän-kungen Implementierung IS-Programm IS-Situation Trend Analyse / Reporting / Überwachung
11 STOP ein Schritt zurück! Vorherige Folien dürften bekannt sein Vorherige Folien klingen schlüssig & sinnvoll Ist das ein Unternehmensziel? Kennt das Unternehmen seine Ziele punkto Informationssicherheit präziser als höchstmögliche Vertraulichkeit, Integrität und Verfügbarkeit? Bewusstsein über Implikationen?
12 Was ist überhaupt das Ziel? Stufe 3: Informationssicherheitsmanagementsystem (ISMS) Alle Managementprozesse sind definiert, dokumentiert, gesteuert, nachvollziehbar und kontrolliert (Reifegrad 3+) Alle Managementprozesse sind aufeinander abgestimmt Nachweisbares internes Kontrollsystem sowie etablierter kontinuierlicher Verbesserungsprozess Security Awareness, Education & Training (SEAT) Konzept Regelmäßige interne & externe Qualitätssicherung Audit Konzept Stufe 2: Sicherheitsmanagement Sicherheitspolitik & Strategie Etablierte Informationssicherheits-Organisation Wesentliche Managementprozesse sind definiert, dokumentiert und umgesetzt (Reifegrad 2+) Risikoorientierte Vorgehensweise = Wissen über den Schutzbedarf wertschöpfender Prozesse sowie eine differenzierte Vorgehensweisen je Schutzbedarf Punktuelle Security Awareness Regelmäßige interne & anlassbezogen externe Qualitätssicherung Stufe 1: Sicherheitsbasis Keine unmittelbare Gefährdung wertschöpfender Unternehmensprozesse Beseitigen von Schwachstellen, die leicht von einem Angreifer ausgenutzt werden können Operative Tätigkeiten erfüllen ihren Zweck (Reifegrad 1+)
13 ISO27001 Herausforderungen an die Organisation
14 ISO27001 Herausforderungen Bewusstsein über Implikationen bzw. Umfang Planung und schrittweise Verbesserung Es menschelt Änderungen sollten nicht einfach verlangt werden sondern müssen begleitet werden Forderungen des Unternehmens bei gleichzeitigem Verständnis (Awareness) der Mitarbeiterinnen und Mitarbeiter des Unternehmens Positionierung des Unternehmens Klarstellung der Erwartungshaltung Klare Definition von (nicht nur) Verantwortlichkeiten sondern auch Kompetenzen Verständliche, sinnvolle & messbare Ziele
15 Verbesserung des Reifegrads NR Reifegrad Beschreibung / Leitfaden Der Prozess / das Kontrollziel sind nicht anwendbar (Begründung erforderlich). 0 unvollständig Der Prozess nicht implementiert oder verfehlt sein Ziel. Auf dieser Stufe gibt es kaum oder gar keine Hinweis auf eine systematische Erfüllung des Prozesszwecks. 1 durchgeführt Der Prozess ist ad-hoc, unorganisiert und abhängig vom Einsatz handelnder Personen. Grundlegend erfüllt der Prozess jedoch seinen Zweck. 2 gemanagt Der Prozess unterliegt einer strukturierten und wiederholbaren Vorgehensweise (Muster), um wesentlichen Risiken entgegenzusteuern. Der implementierte Prozess sowie dessen Arbeitsprodukte sind geplant, überwacht und abgestimmt, um die identifizierten Ziele zu erreichen. 3 etabliert Der Prozess ist definiert, dokumentiert und kommuniziert. Der implementierte Prozess basiert auf einem definierten und wirksamen (effektiven) Standardprozess. Der Standardprozess beinhaltet einen kontinuierlichen Feedbackzyklus für Prozessverbesserungen. 4 vorhersehbar Der Prozess ist überwacht, gemessen und voraussagbar. Ein voraussagbarer Prozess operiert innerhalb definierter Grenzen und ist auf Basis quantitativer Informationen gesteuert. 5 optimierend Der Prozess wird kontinuierlich verbessert, um relevante aktuelle und künftige Unternehmensziele zu erreichen. Quelle: COBIT5
16 Implikationen? Die Erhöhung der Stufe bedeutet die Steigerung des Reifegrades Schrittweise Erhöhung des Sicherheits-Niveaus Schrittweiser Übergang von rein reaktiv zu voraussehbar gesteuert Schrittweise Steigerung der Nachvollziehbarkeit und Messbarkeit Schrittweise Vereinfachung durch technologische Unterstützung Falls gewünscht, schrittweise Annäherung an die ISO27001 Reife Illusorische Vorstellung Erhöhung der Stufe bzw. Steigerung des Reifegrads ohne zusätzliche Ressourcen das geht schon noch nebenbei
17 Stufe 1 Sicherheitsbasis Beschränkter Zutritt zu bzw. Zugriff auf (kritischen) IT Systemen Kontrollierte Berechtigungsvergabe & starke Passwort Policy Netzwerkschutz (Firewall, VPN) Netzwerksegmentierung (zumindest DMZ, WLAN) Durchgängiges Anti-Virenkonzept Kontrolliertes Patch Management (Betriebssysteme, Applikationen) Backup Konzept Verschlüsselung Festplatten (Laptops) Service Level Agreements & Wartungsverträge für kritische Infrastruktur Dezidierte Zuweisung von Verantwortlichkeiten IT Personal mit aktuellem Security Know-How Verbindliche Endbenutzerrichtlinie
18 Stufe 2 Sicherheitsmanagement Etablierte Informationssicherheits-Organisation Dezidierte Strategie, Informationssicherheitsverantwortlichkeit, regelmäßige Abstimmungen mit operativer IT, Fachbereichen und Geschäftsführung Risikoorientierte Vorgehensweise Business Impact Analyse, Risiko Analyse, Maßnahmensteuerung, regelmäßige interne & anlassbezogene externe Qualitätssicherung Wesentliche Managementprozesse erfüllen Reifegrad 2+ Patch Management, Change Management, Vulnerability Management, Asset Management, Backup & Wiederherstellung, Incident Management, Notfallmanagement, Konfigurationen (Performance & Sicherheit/Hardening), Logging & Monitoring (Performance & Sicherheit), Dokumentation, Externe Review, Freigabe & Kontrolle Security Awareness Trainings Umgang mit sensiblen Informationen, Anti-Viren Maßnahmen, Netzwerkzugriff Dezidierter Schulungs- & Fortbildungsplan
19 Stufe 2 Sicherheitsmanagement Kein Wildwuchs in der Infrastruktur Fortgeschrittener Netzwerkschutz IDS/IPS Vulnerability Scanner Dedizierte Segmente für Clients, Server, Management Kontrollierter Netzwerkzugriff (z.b.: 802.1x, NAC/NAP) Remote Access Konzept (inkl. 2-Faktor Authentifizierung) Fortgeschrittenes Anti-Malwarekonzept Mehrstufiges Konzept (Proxy, Mail, Clients/Server) Kontrollierter Internetzugriff (URL Filter, SSL Inspection) Application Management Fortgeschrittenes Datensicherheitskonzept Verschlüsselung (Laptops, Workstations, Server, SmartX, mobile Datenträger) Verschlüsselung Backup-Medien in Einklang mit Notfallkonzept Berechtigungsvergabe (je nach Schutzklasse und Ablageort) Fortgeschrittene Management Tools Vulnerability Management Secure Configuration Management Sicherer Softwareentwicklungslebenszyklus (SDLC)
20 Stufe 3 ISMS Alle Managementprozesse erfüllen Reifegrad 3+ Nachvollziehbares Management System Kontinuierlicher Verbesserungsprozess Regelmäßige Überprüfung der Wirksamkeit des ISMS Messung der Wirksamkeit der Maßnahmen Regelmäßige Überprüfung/Anpassung der Risikobewertung und Berücksichtigung von eventuell geänderten Rahmenbedingungen Durchführung interner ISMS Audits Durchführen von Überprüfung des ISMS durch das Management Aktualisierung von Sicherheitsplänen Aufzeichnen von Ereignissen, die die Wirksamkeit des ISMS beeinflussen können Umsetzung von identifizierten Verbesserungen Anwendung von Korrektur- und Vorbeugemaßnahmen Business Continuity Management (System)
21 Stufe 3 ISMS Fortgeschrittener Netzwerkschutz Web Application Firewall (WAF) Fortgeschrittenes Anti-Malwarekonzept Advanced Persistant Threats (APT) Fortgeschrittenes Datensicherheitskonzept Data Loss Prevention (DLP) Information Rights Management (IRM) Mobile Device Management (MDM) Fortgeschrittene Management Tools Security Incident and Event Management (SIEM) Identity & Access Management
22 Der/Die Informationssicherheitsverantwortliche Aufgedeckte Schwachstellen, Bedrohungen bzw. Risiken Maßnahmenstatus zur Risikobehandlung Laufende Kontrollen (Sicherstellung der Einhaltung der Security Mindeststandards) Qualitätssichernde Kontrollen Assets, die vom Standardkatalog abweichen Nicht-Umsetzung von State-of-the-Art Schutzmaßnahmen Geheimhaltungsvereinbarungen Verlust / Diebstahl von Assets Qualitätssicherung der Dokumentation (Fokus: Umsetzung der Mindeststandards und Einhaltung der IS Ziele) und Freigabe aus IS Sicht Freigabe von Projektanforderungen (vor Umsetzung) aus IS Sicht
23 Der/Die Informationssicherheitsverantwortliche Systeme ohne Testumgebung Systeme, die aus Geschäftsgründen, durchgängig verfügbar sein müssen Freigabe von Systemen, die vom Internet erreichbar sind Freigabe von Systemen, die keinem regelmäßigen (zumindest jährlichen) Sicherheitstest unterliegen Changes mit hoher Risikoeinschätzung (durch den System Owner) Notfall Changes Freigabe der Definition von pre-authorized Changes Vorfälle im Rahmen der Change Durchführung Audits
24 Der/Die Informationssicherheitsverantwortliche Freigabe von Accounts, die vom Standard abweichen Freigabe administrativer Accounts Freigabe permanenter Zutritt zu Rechenzentren Anomalien bei der Verwendung von Accounts Kündigung von Personal mit administrativen Accounts Security Incidents Freigabe der Risikobewertung aus IS Sicht von Projekten BCM Szenarien aus IS Sicht, die nicht getestet werden Freigabe von Assets, die nicht (laufend) aus IS Sicht gepatcht werden
25 Der/Die Informationssicherheitsverantwortliche Freigabe von Systemen, für die kein Backup durchgeführt wird Freigabe von Systemen, für die kein Wiederherstellungstest durchgeführt wird Nicht erfolgreiche Backups Nicht erfolgreiche Wiederherstellungstests Freigabe von Systemen, die keinem IS Monitoring unterliegen Freigabe von Systemen ohne Schutzmaßnahmen gegen schadhafte Software (z.b. Viren, Spam, etc.) Freigabe des Standardkatalogs mobiler Geräte Freigabe von mobilen Geräten, die vom Standardkatalog abweichen Anomalien im Netzwerkmanagement (vor allem Firewall, WAF, etc.)
26 Zusammenfassung
27 Zusammenfassung ISO27001 Zertifizierung ist (sofern benötigt) absolut machbar wenn nicht als nebenbei zum Tagesgeschäft angesehen ISO27001 Zertifizierung ist absolut sinnvoll Verbesserung der Strukturiertheit, Nachvollziehbarkeit & Planbarkeit Von reaktiv zu proaktiv Vom Bauchgefühl zu dokumentiertem Wissen Informationssicherheitsverantwortliche ist kein armes Schwein allein auf weiter Flur so lange richtig vom Unternehmen eingesetzt
28 Vielen Dank!
SBA Research. ISO 27001 Vorbereitung Theorie und Wirklichkeit
SBA Research ISO 27001 Vorbereitung Theorie und Wirklichkeit Wir forschen Area 1 (GRC): Governance, Risk and Compliance Area 2 (DSP): Data Security and Privacy Area 3 (SCA): Secure Coding and Code Analysis
CYBERCRIME & CYBERSECURITY Wie schützt man sich in der Praxis? hannes.czamai@avl.com atomek@sba-research.org 1
CYBERCRIME & CYBERSECURITY Wie schützt man sich in der Praxis? hannes.czamai@avl.com atomek@sba-research.org 1 Hannes Czamai Manager IT Security Manager IT Client Competence Center hannes.czamai@avl.com
Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001
Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen
IT-Grundschutz nach BSI 100-1/-4
IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management
BCM Schnellcheck. Referent Jürgen Vischer
BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz
Effizientes Sicherheits-Management von Endbenutzergeräten
Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com
IT-Security Portfolio
IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training
TÜV Rheinland. ISO 27001 / Aufbau eines ISMS
TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung
4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management
1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT
Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions
Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen
Einführung eines ISMS nach ISO 27001:2013
Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:
Aus Liebe zu Sicherheit und Qualität.
Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter
Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl
Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl AGENDA Business Continuity Management System Regulatorische / gesetzliche Anforderungen Projektvorgehen
ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten
ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001
Aktuelle Bedrohungslage
Aktuelle Bedrohungslage Seite 1 Seite 2 Waltenhofen Neuss Wiesbaden Waltenhofen Neuss Wiesbaden Security Webinar Der Weg zu Ihrem ganzheitlichen Security-Konzept in 6 Schritten Die nachfolgende Ausarbeitung
Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH
Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log
Automatisierung eines ISMS nach ISO 27001 mit RSA Archer
Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825
Lösungen die standhalten.
Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen
Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin
Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren
Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen
Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen
ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System
ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System 7. INFORMATION-SECURITY-SYMPOSIUM, WIEN 2011 DI Markus Hefler, BSc, Florian Hausleitner 1 Agenda 1. Kurze Vorstellung
IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014
IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen
ITIL IT Infrastructure Library
ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support
Compliance mit dem IEM Endpoint Manager durchsetzen
Compliance mit dem IEM Endpoint Manager durchsetzen PPPvorlage_sxUKMvo-05.00.potx santix AG Mies-van-der-Rohe-Straße 4 80807 München www.santix.de santix AG 2 Sicherheit in der IT Was bedeutet Sicherheit
IT-Security Portfolio
IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen
Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin
Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin INFORA GmbH Martin Krause Cicerostraße 21 10709 Berlin Tel.: 030 893658-0 Fax: 030 89093326 Mail: info@infora.de www.infora.de Agenda Die Ausgangssituation
Informations- / IT-Sicherheit - Warum eigentlich?
Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297
EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009
EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung
IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH
IT-Zertifizierung nach ISO 27001 Riskmanagement im Rechenzentrum des KH St. Wolfganger Krankenhaustage 16. und 17. Juni 2011 Agenda Die Probleme und Herausforderungen Datenskandale in jüngster Zeit Der
CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH
Ein Partner der QA CIS Certification & Information by Security CIS GmbH Services GmbH CIS Certification & Information Security Services: Akkreditierte Zertifizierungsanstalt für ISO 27001 Information Security
Data Leakage ein teures Leiden
Data Leakage ein teures Leiden Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die
esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008
esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz
ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de
ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor
Industrial Defender Defense in Depth Strategie
Industrial Defender Defense in Depth Strategie Security aus der Sicht eines Dienstleisters Michael Krammel KORAMIS Unternehmensverbund mit 80 Mitarbeitern in 7 regionalen Niederlassungen in D und CH Seit
BearingPoint RCS Capability Statement
BearingPoint RCS Capability Statement - Security Governance - Juli 2015 Agenda 1 2 3 Herausforderungen Unser Angebot Ihr Nutzen 2 Information Security Governance muss vielen Herausforderungen begegnen
IT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.
Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit
Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de
Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information
Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
......... http://www.r-tec.net
Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet
Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -
Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2
27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich
ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für
Informationssicherheits-, Risiko- und Compliance-Management
Informationssicherheits-, Risiko- und Compliance-Management Professionelles Informationssicherheits-, Risiko- und Compliance-Management ISO 27001, Risiko- und Compliance-Management, Prozesse, Policies,
Information Security Management
Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget Agenda 1. Die treibenden
ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014
ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration
IT- Sicherheitsmanagement
IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH
Effizienz mit System. Implementierung von Informationssicherheit nach ISO 27001
Effizienz mit System Implementierung von Informationssicherheit nach ISO 27001 Dipl.-Ing. Berthold Haberler, Information Security Officer, LINZ AG Telekom LINZ STROM GmbH, Abt. f. Übertragungstechnik Der
BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012
BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your
Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.
Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)
Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung
Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien
Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen
IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.
IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main
Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com
Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13
Service Transition Martin Beims WKV SS13 Karsten Nolte Inhalt Einführung & Ziele Transition Planning & Support Change Management Service Asset & Configuration Management Release & Deployment Management
ITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement
Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag
ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*
ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* *DDDP = Do-Do-Do-Panic Mission und Vision Die CETUS Consulting GmbH
Zukunftsforum E-Health und Krankenhausinformationssysteme
Zukunftsforum E-Health und Krankenhausinformationssysteme IT-Service-Management im Gesundheitswesen Dipl.-Inform. Dörte Jaskotka 2008 MASTERS Consulting GmbH Release 2.2 Seite 1 MASTERS Consulting GmbH
Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central
Modernes Vulnerability Management Christoph Brecht Managing Director EMEA Central Definition Vulnerability Management ist ein Prozess, welcher IT Infrastrukturen sicherer macht und Organisationen dabei
Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June
Software EMEA Performance Tour 2013 Berlin, Germany 17-19 June Change & Config Management in der Praxis Daniel Barbi, Solution Architect 18.06.2013 Einführung Einführung Wer bin ich? Daniel Barbi Seit
Risikoanalyse mit der OCTAVE-Methode
Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte
CRAMM. CCTA Risikoanalyse und -management Methode
CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick
Modul 3: Service Transition Teil 4
Modul 3: Service Transition Teil 4 1. Ziel, Wert und Aufgaben von Service Transition? 2. Prozess: Projektmanagement (Transition Planning and Support) 3. Prozess: Change Management 4. Prozess: Change-Evaluierung
Informationssicherheitsmanagement
Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage
IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium
IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung
Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC 20000 für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb
sverzeichnis Christian Wischki, Lutz Fröhlich ITIL & ISO/IEC 20000 für Oracle Datenbanken Praxisleitfaden für die Einführung und den Betrieb ISBN: 978-3-446-41978-0 Weitere Informationen oder Bestellungen
Änderungen ISO 27001: 2013
Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar
MIS Service Portfolio
MIS Service Portfolio Service Level Management o Service Management o Customer Satisfaction Management o Contract Management & Accounting o Risk Management Event Management o Monitoring und Alerting Services
Informationssicherheit (k)eine Frage für Ihr Unternehmen?
Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele
Dieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
Prüfkatalog nach ISO/IEC 27001
Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl
Umsetzung BSI Grundschutz
Umsetzung BSI Grundschutz ISO 27001 auf der Basis von IT-Grundschutz - ein Erfahrungsbericht An den Steinen, die einem in den Weg gelegt werden, erkennt man erst, wo es langgeht IT-Grundschutztag 9.2.2012
Einführung und Umsetzung eines IT-Sicherheitsmanagements
Einführung und Umsetzung eines IT-Sicherheitsmanagements Datum: 22.09.15 Autor: Olaf Korbanek IT Leiter KTR Kupplungstechnik GmbH AGENDA Vorstellung KTR Kupplungstechnik IT-Sicherheit ein weites Feld IT-Sicherheit
Inhaltsverzeichnis. Einleitung 15
Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig
Outpacing change Ernst & Young s 12th annual global information security survey
Outpacing change Ernst & Young s 12th annual global information security survey Alfred Heiter 16. September 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft
Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012
ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,
SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht -
SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht - Christina Dreller Christina.Dreller@stuttgarter-volksbank.de Übersicht I. Theoretische Grundlagen II. ITIL bei der Stuttgarter Volksbank
Sicherheit um jeden Preis? Bietet die zertifizierte Sicherheit garantierte Sicherheit?
Sicherheit um jeden Preis? Bietet die zertifizierte Sicherheit garantierte Sicherheit? Roman Haltinner Senior Manager, KPMG Head Information Protection and Business Resilience Glattbrugg, 13.03.2014 Vorstellung
Amtliches Mitteilungsblatt
Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................
der sichere Weg zum ganzheitlichen Information-Security- nach ISO 27001
der sichere Weg zum ganzheitlichen Information-Security- Management-System (ISMS) nach ISO 27001 Version: 1.2 / 02.03.2009 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz
BCM Business Continuity Management
BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.
Informationssicherheit mehr als Technologie. Herzlich willkommen
Informationssicherheit mehr als Technologie Herzlich willkommen AL Conuslt 2012 Vorstellung Schwerpunkte IT-Strategie und IT-Strategieentwicklung (z.b. mit CObIT) IT Service-Management (ITIL und ISO 20000)
Service Management schrittweise und systematisch umsetzen. Andreas Meyer und Dr. Andreas Knaus santix AG Wien, 24. Juni 2009 IBM Software Experience
Service schrittweise und systematisch umsetzen Andreas Meyer und Dr. Andreas Knaus santix AG Wien, 24. Juni 2009 IBM Software Experience santix in Kürze santix ist Unternehmensberatung und Lösungsanbieter
IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon
11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit
IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe
IT Security @ EGGER ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe Michael Danzl, IT Security Officer, Fritz Egger GmbH und Co.OG Inhalt Die EGGER Gruppe Die EGGER OrgIT
Sicherheitsnachweise für elektronische Patientenakten
Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele
SECURITY INFORMATION MANAGEMENT UND IDENTITY MANAGEMENT. Novell Security Konferenz, Wien 3. April 2008
SECURITY INFORMATION MANAGEMENT UND IDENTITY MANAGEMENT Marc Heuse Novell Security Konferenz, Wien 3. April 2008 AGENDA Security Information was ist das? wie bindet man es ein? Identity & Access Management
Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation. organisiert
? organisiert Was muss ich noch für meine Zertifizierung tun, wenn meine Organisation ist? Sie müssen ein QM-System: aufbauen, dokumentieren, verwirklichen, aufrechterhalten und dessen Wirksamkeit ständig
Informationssicherheit in handlichen Päckchen ISIS12
Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts IT-Grundschutz und Datenschutz im Unternehmen implementieren Heiko Behrendt ISO 27001 Grundschutzauditor Fon:
C R I S A M im Vergleich
C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799
PKI-Forum Schweiz, 15. Mai 2002. Erfahrungsbericht über den Aufbau der PKI der
PKI-Forum Schweiz, 15. Mai 2002 Erfahrungsbericht über den Aufbau der PKI der 2002 by Agenda Über diesen Vortrag Vorstellung der Applikationen Anforderungen an die PKI Herausforderungen Phasen und Resultate
Audit in real life Auf was sollte man vorbereitet sein?
IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist
Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de
Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0
ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014
: die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG
Maturity Assesment for Processes in IT
Maturity Assesment for Processes in IT Was ist MAPIT? Maturity Assessment for Processes in IT Werkzeug zur Reifegradbestimmung von IT Service Management Prozessen hinsichtlich ihrer Performance und Qualität
4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen
4. Stuttgarter Sicherheitskongress: IT-Sicherheit in industriellen Anlagen Henning Sandfort Siemens AG, Sector Industry SIMATIC Produkt- & Systemmanagement Allgemeine Security-Bedrohungen in der Automatisierung
Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun?
Dipl.-Wirtsch.-Ing. Frank Hallfell Dipl.-Ing.(FH) Günther Orth enbiz gmbh, Kaiserslautern Das neue IT-Sicherheitsgesetz: Welche Unternehmen sind betroffen? Was ist zu tun? IT-Tag Saarbrücken, 16.10.2015
Qualitätsmanagementsystem nach DIN EN ISO 9001:2015
Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting