TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

Größe: px

Ab Seite anzeigen:

Download "TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit"

Annika Geiger
vor 8 Jahren
Abrufe

1 ISMS Portfolio Sicher. Besser.

2 TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

3 TÜV TRUST IT GmbH Daten und Fakten Seit 1872 Die Marke TÜV Neutralität und Unabhängigkeit 99% Kenne ich: JA NEIN DACH TÜV TÜV - Tätigkeiten Unser Team Bewerten Opti mieren Zertifi-zieren über 30 IT-Sicherheitsexperten mit langjähriger Berufserfahrung und breitem Branchen - Know-how

Unser Team Bewerten Opti mieren Zertifi-zieren über 30

4 TÜV TRUST IT GmbH Unsere Leistungsbereiche Management der Informationssicherheit Cloud-Security Sicherheit von Systemen, Applikationen und Rechenzentren IT-Revision IT-Risikomanagement IT-Compliance Mobile Security Organisatorische und strategische Beratung Systembewertung (Assessment) International anerkannte Zertifizierungen Technische Prüfungen Schulungen Gestellung von externen CISO und DSB

IT-Compliance Mobile Security Organisatorische und strategische Beratung Systembewertung

5 TÜV TRUST IT GmbH Herausstellungsmerkmale Neutral, unabhängig und objektiv Innovativ und flexibel Hochqualifizierte Mitarbeiter Vom BSI zertifiziert Nachhaltige Problemlösungsorientierung International anerkannte Zertifikate als Qualitätsnachweis für Ihre Kunden

BSI zertifiziert Nachhaltige Problemlösungsorientierung

6 ISMS Bestandsaufnahme Einführung eines ISMS:

7 ISMS Bestandsaufnahme Ablauf der Gap-Analyse Für den definierten wird eine ISMS Gap-Analyse durchgeführt: Zeitraum: Zwei Tage vor Ort Das Vorgehen bei der ISMS Bestandsaufnahme wird analog einer ISO 27001:2013 Zertifizierung durchgeführt, d.h. Prüfung auf: Vollständigkeit gegenüber der Norm Angemessenheit Wirksamkeit der umgesetzten Maßnahmen

8 ISMS Bestandsaufnahme Methodik Als Grundlage der Bewertung dient folgende Skala basierend auf der Norm ISO/IEC 15504: N (not) = nicht umgesetzt (0% 15%) P (partially) = teilweise umgesetzt (16% - 50%) L (largely) = weitgehend umgesetzt (51% - 85%) F (fully) = voll umgesetzt (86% - 100%) Die ISMS Gap-Analyse erfolgt in Form von Interviews, Dokumentensichtung und Begehungen

umgesetzt (16% - 50%) L (largely) = weitgehend umgesetzt (51% - 85%) F (fully) = voll

9 ISMS Bestandsaufnahme Prüfungsgrundlage ISO/IEC 27001:2013, sowie alle anwendbaren Normen aus der ISO/IEC 270xy-Familie insbesondere branchenspezifische Technische Richtlinien, wie z.b. ISO/IEC TR 27019:2013 für die Energiewirtschaft Praxiserprobte TÜV TRUST IT Verfahren zur Durchführung von ISMS Bestandsaufnahmen TÜV TRUST IT Assessment Toolbox nach ISO 15504

z.b. ISO/IEC TR 27019:2013 für die Energiewirtschaft Praxiserprobte TÜV TRUST IT Verfahren

10 ISMS Bestandsaufnahme Geprüfte Bereiche nach ISO 27001:2013

11 ISMS Bestandsaufnahme TÜV TRUST IT Assessment Toolbox

12 ISMS Bestandsaufnahme TÜV TRUST IT Assessment Toolbox

13 ISMS Bestandsaufnahme TÜV TRUST IT Assessment Toolbox

14 ISMS Bebauungsplan Problematik bei der Einführung von ISMS Die s von ISMS Einführungsprojekten sind oft zu groß! Resultierende Probleme: Projektlaufzeiten sind lang, notwendige Optimierungen unüberschaubar und notwendige Budgets sehr hoch Demotivation der Beteiligten durch fehlende Teilerfolge Nachweis von Zielen z.b. durch Zertifikat erst nach sehr langer Zeit ISMS Integration unwichtigerer Segmente mit hohem Aufwand und aus Risikosicht geringem nutzen Oft wird erst sehr spät sichtbar, ob der richtige Weg beschritten wurde. Die letzten Jahre haben gezeigt: Viele ISMS Projekte scheitern oder führen nicht zum gewünschten Ziel.

durch fehlende Teilerfolge Nachweis von Zielen z.b.

15 ISMS Bebauungsplan Die Lösung: Schritt für Schritt ans Ziel Der ISMS Bebauungsplan hilft Aufwand und Nutzen in ein gutes Verhältnis zu bringen. Effizienz durch risikobasiertes Vorgehen Überschaubare Häppchen Frühe Erfolgsnachweise Motivation durch Teilerfolge

16 ISMS Bebauungsplan Umsetzung Step 1: Intelligentes Scoping Clusterung des Unternehmens und Bilden von Teilscopes Mögliche Cluster (in Anlehnung an Kap der ISO 27001): Organisatorische Einheiten Services oder Applikationen Standorte Geschäftsprozesse oder ein Mix aus den Clustern.

17 ISMS Bebauungsplan Umsetzung Step 2: Erstellung des Bauplans Auswahl von Clustern und Abfolge der ISMS Bebauung Priorisierungskriterien: Besonders sensible Cluster (hohe Informationswerte) Quick Wins (schnell in das ISMS integrierbar) Politisch / strategisch wichtige Cluster Prio1 Prio1 Prio1 Prio1

sensible Cluster (hohe Informationswerte) Quick Wins (schnell in das ISMS

18 ISMS Bebauungsplan Umsetzung Step 3: Schaffen eines ISMS Fundaments Das ISMS wird in fundamentale und modulare Bestandteile untergliedert. Fundamentale Elemente (Beispiele): Gesamtes ISMS Prozessmanagement inkl. IT-Risikomanagement Personelle Sicherheit Physische Sicherheit (Gebäude, RZ, etc) Security Incident Management Modulare Elemente (Beispiele): ISMS Fundamentale Elemente Prio1 Betriebsdokumentation eines Clusters Prio1 IT Continuity Management für einen Cluster Kennzeichnung von Informationswerten Prio1 Prio1

IT-Risikomanagement Personelle Sicherheit Physische Sicherheit (Gebäude, RZ, etc) Security Incident Management Modulare Elemente

ISMS Bebauungsplan Umsetzung Step 4: Auswahl eines Initialscopes Umsetzung des ISMS für einen ersten mit anschließender Zertifizierung Implementierung des ISMS für den Initialscope Etablierung der

19 ISMS Bebauungsplan Umsetzung Step 4: Auswahl eines Initialscopes Umsetzung des ISMS für einen ersten mit anschließender Zertifizierung Implementierung des ISMS für den Initialscope Etablierung der fundamentalen Elemente für weitere s Zertifizierung des initialen ISMS inkl. der fundamentalen Elemente als Dach-Zertifikat Danach werden weitere Cluster sukzessive unter die Kontrolle des ISMS gebracht und zertifiziert. ISMS Fundamentale Elemente Prio1 Initial Prio1 Prio1

für weitere s Zertifizierung des initialen ISMS inkl.

20 ISMS-Framework

21 ISMS-Framework Personalisiertes ISMS-Framework mit Vorlagen für 14 Pflichtdokumente gemäß der Anforderungen aus Kap der ISO/IEC 27001:2013 Vorlagen für weitere Nachweisdokumente aus Annex A der Norm 3 Consulting Tage vor Ort zur Nutzung und Einführung des ISMS Frameworks Optional Schulung zum zertifizierten ISMS Auditor über Akademie

22 ISMS Einführung Beispielhafter zeitlicher Ablauf: Q1 Q2 Q3 Q4 Projektbezeichnung Grundlagen des ISMS Umsetzung des ISMS Betrieb des ISMS Vorbereitung Grundlagen des ISMS Umsetzung des ISMS Betrieb des ISMS Opt. Auditvorbereitung Wirksames ISMS

23 Fazit: ISMS Lösungsbild Scoping + + Grundlagen des ISMS Umsetzung des ISMS Betrieb des ISMS Opt. Auditvorbereitung Wirksames ISMS

24 In Kontakt bleiben Ihr persönlicher Ansprechpartner Stefan Möller TÜV TRUST IT GmbH Standort Deutschland Waltherstraße Köln Tel.: +49 (0) Fax: +49 (0)

Ähnliche Dokumente

Informationssicherheit mit Zertifikat! Dr. Holger Grieb. IT Sicherheitstag NRW Köln, 04. Dezember 2013

Informationssicherheit mit Zertifikat! Dr. Holger Grieb IT Sicherheitstag NRW Köln, 04. Dezember 2013 Dr. Holger Grieb Lead Consultant Management & IT Beratungsfeld: Strategie- und Organisationsberatung