Sind Ihre Informationen sicher?

Transkript

1 Sind Ihre Informationen sicher? Schritt für Schritt mehr Sicherheit durch ein Informations-Sicherheits-Management-System nach ISO 27001:2013 Referent: Dipl.-Informatiker Unternehmensberatung Vasen Quality Management Conference Hannover,

2 2 zur Person Diplom-Informatiker Inhaber und Geschäftsführer der Unternehmensberatung Vasen, Lüdenscheid Umfangreiche Erfahrung bei der Einführung, Weiterentwicklung und Zertifizierung von Informations- Sicherheits-Management-Systemen seit 1996 von der Deutschen Gesellschaft zur Zertifizierung von n (kurz DQS GmbH) als Senior Lead Auditor berufen Planung und Durchführung von Zertifizierungsaudits für Qualitäts-, Informations-Sicherheits-, Service- sowie Business Continuity Management in den Branchen allgemeine Dienstleistung, IT und Telekommunikation, Elektro, Energiewirtschaft und Automotiv

3 zum Vortrag Vorstellung der wesentlichen Forderungen des internationalen Standards ISO/IEC (kurzer Überblick) Anhand von Beispielen aus einem Einführungsprojekt wird die Auslegung von Forderungen exemplarisch dargestellt 3

4 Schutzziele der Informationssicherheit Informationen stellen für jedes Unternehmen einen Wert dar, die entsprechend ihrer Bedeutung geschützt werden müssen. Hierzu gehören insbesondere auch die Informationen (Werte) des Kunden. personenbezogene Daten aller Art (u.a. Personal-/Mitarbeiter-/Patientendaten), vertrauliche Informationen vom Kunden, Diagnoseergebnisse, Befunde Entwicklungsergebnisse (z.b. Rezepturen, Fertigungsverfahren, Konstruktionszeichnungen für Produkte, ) Wissen und Erfahrungen der Mitarbeiterinnen und Mitarbeiter 4

5 Schutzziele der Informationssicherheit Informationen einer Organisation oder eines Unternehmens einschließlich personenbezogener Daten müssen in Bezug auf folgende Aspekte geeignet geschützt werden: Vertraulichkeit Integrität Verfügbarkeit 5 Das Informationssicherheitsmanagement verfolgt das Ziel, Informationen des Unternehmens, wie andere Unternehmenswerte, gemäß der ihnen zukommenden Bedeutung, angemessen zu schützen.

6 personelle Sicherheit (Einstellung, Schulung, Sicherheitsbewusstsein) physische Schutzmaßnahmen für sensible Bereiche 6

7 Klassifikation und Nutzung sensibler Informationen Regelungen zur Nutzung sowie Schutz mobiler Endgeräte 7

8 Verfügbarkeit der IT (RZ Infrastruktur, Server, Netzwerke, ) 8 Vorbereitung auf den Ernstfall (Management der Geschäftskontinuität)

9 Ziel des IS Management Menschen Güter Informationen Bewusste Risiken 9

10 Die 27000er Normenreihe /1 ISO/IEC 27001:2013 Informationstechnik IT-Sicherheitsverfahren Informationssicherheits- Anforderungen - englische Originalfassung ISO/IEC 27001:2013 ist im Oktober 2013 veröffentlicht worden - deutsche Übersetzung DIN EN ISO/IEC 27001:2017 ist im Juni 2017 veröffentlicht worden 10 ISO/IEC 27002:2013 Informationstechnik IT-Sicherheitsverfahren Leitfaden für das Informationssicherheits-Management - englische Originalfassung ISO/IEC 27002:2013 ist im Oktober 2013 veröffentlicht worden - deutsche Übersetzung DIN EN ISO/IEC 27002:2017 ist im Juni 2017 veröffentlicht worden

11 11 Informations-Sicherheits-Management-System ISO/IEC 27001:2013 Gliederung 0 Einleitung 1 Anwendungsbereich 2 Normative Verweisungen 3 Begriffe 4 Kontext des Unternehmens (Kontext, interessierte Parteien) 5 Führung (Verpflichtung, Politik, Rollen u. Verantwortlichkeiten) 6 Planung (Risiken und Chancen, Ziele, Anwendungserklärung/SoA) 7 Unterstützung (Ressourcen, Kompetenz, Bewusstsein, Dokumentierte Informationen, Wissen) 8 Betrieb 9 Leistungsbewertung (Messung, Interne Audits, Review) 10 Verbesserung (Nichtkonformitäten, Verbesserung) Anhang A Maßnahmenziele und Maßnahmen

12 Informationssicherheitsrisiken erkennen und managen Sicherheitspolitik Risikoidentifikation und bewertung Schritt für Schritt dokumentieren & kommunizieren Risiken identifizieren Prozesse analysieren & bewerten Ziele ableiten Managementprozesse Operative Prozesse Maßnahmen ergreifen reflektieren & verbessern 12

13 Beispiele für zu betrachtende Risikofelder Politisch instabiler Standort Naturgewalten wie Erdbeben Überschwemmungen Sturm, Feuer, Blitz Flugzeugabsturz Einbruch Maschinenschaden Unfälle Umwelteinwirkungen Transportschäden Einkauf Fertigung Vertrieb Personal EDV Dokumente Kunde 13 Zukaufteile Abhängigkeit von Lieferanten Sprunghafte Änderung der Lieferzeiten oder Preise Qualitäts- und Terminabweichungen Abfluss/Weitergabe vertraulicher Informationen Verlust von Know-how Funktionsausfall Datenverlust Verlust technischer Unterlagen Qualitätsabweichungen Produkthaftung Finanzen Liquidität Märkte und Mitbewerber Währungsschwankung en

14 Risikoanalyse und -bewertung Risikoportfolio Eintrittswahrscheinlichkeit fast sicher hoch mittel gering D G C E Maßnahmen unwahrscheinlich F A unbedeutend gering spürbar kritisch existentiell Auswirkung / Schaden 14

15 Risikoanalyse (Beispiel) 15

16 ISO 27001: Annex A - Controls A.5 Informationssicherheitspolitik A.6 Organisation der Informationssicherheit A.7 Personelle Sicherheit A.8 Asset Management A.15 Lieferantenbeziehungen A.16 Umgang mit Informationssicherheitsereignissen A.17 Aspekte der Informationssicherheit für das Management der Geschäftskontinuität A.18 Einhaltung von Vorgaben (Compliance) A.9 Zugangskontrolle 16 A.14 Beschaffung, Entwicklung und Wartung von Informationssystemen A.13 Kommunikationssicherheit A.12 Betriebssicherheit A.11 Physische und umgebungsbezogene Sicherheit A.10 Kryptographie

17 Projektstart Projektplan (Beispiel) M1 Kick-Off durchführen M2 M3 ISMS Scope, Projektziele. Projektorganisation und Projekmanagement festschreiben Projektteam zusammenstellen und detaillierte Projektphasenplanung erstellen Projekt Setup abgestimmt M4 M5 Analyse der vorhandenen Policies / Regelungen M6 M7 M8 = Meilenstein Delta-Analysen an Standorten durchführen und konkrete Implementierungsplanung festlegen Interviews incl. Begehungen HQ und ausgewählte Standorte ISMS an Standorten implementieren Delta-Analyse und Erstellung AIL ISMS Policies / Regelungen auf HQ Ebene erstellen, abstimmen und freigeben SoA und Rolloutplanung erstellen ISMS Regelungen auf HQ Ebene erstellt und freigegeben Readiness Check an Standorten durchführen ISMS offiziell zu einem intern festgelegtem Stichtag in Kraft setzen ISMS in Kraft gesetzt Interne Audits durchführen Managementreview durchführen Zertifizierungsfähigkeit gegeben 17 Phase 1 Projekt Setup M1 Phase 2 Corporate ISMS M2 M3 M4 Phase 3 Implementierung / Rollout Phase 4 - Betrieb / Monitoring M5 M6 M7 M8

18 Anwendbarkeitserklärung SoA (Beispiel) 18

19 Dokumentenlenkung (Beispiel) 19

20 Berechtigungsvergabe (Beispiel) 20

21 Notfallprozess (Beispiel) 21

22 Management technischer Schwachstellen (Beispiel) 22

23 Interne Auditplanung (Beispiel) 23

24 Managementsystembewertung (Beispiel) 24

25 Projektstatusbericht (Beispiel) A.17 Information security aspects of business continuity management A.16 Information security incident management A.18 Compliance 4 Context of the organization 10 5 Leadership + A.5 Information security policies Planning 7 Support A.15 Supplier relationships Operation A.14 System acquisition, development and maintenance 0 9 Performance evaluation A.13 Communications security 10 Improvement A.12 Operations security A.6 Organization of information security A.11 Physical and environmental security A.7 Human resource security A.10 Cryptography A.9 Access control A.8 Asset management 25 Target Jun-17

26 Zertifikat (Beispiel) 26

27 Vielen Dank für Ihre Aufmerksamkeit! Für weitere Fragen stehe ich Ihnen gerne zur Verfügung: Dipl.-Inform., Tel. +49 (0) , 27