ISO Zertifizierung

Save this PDF as:

WORD PNG TXT JPG

Größe: px

Ab Seite anzeigen:

Download "ISO 27001 Zertifizierung"

Jonas Adrian Glöckner
vor 2 Jahren
Abrufe

Transkript

ISO 27001 Zertifizierung - Zertifizierte

1 ISO Zertifizierung - Zertifizierte IT-Sicherheit nach internationalen Standards Trigonum GmbH

2 Trigonum Wir machen Unternehmen sicherer und IT effizienter! - 2 -

Kombinierte Sicherheit Datenschutz und IT-Sicherheit Kombinierte Sicherheit Durch Informationssicherheit und Datenschutz Risiken beherrschen und Wettbewerbsvorteile erschließen.

3 Kombinierte Sicherheit Datenschutz und IT-Sicherheit Kombinierte Sicherheit Durch Informationssicherheit und Datenschutz Risiken beherrschen und Wettbewerbsvorteile erschließen. Strategie- und Konzeptberatung Informationssicherheits- Management Statusbestimmung / Audits Datenschutz- Management IT Sicherheits- Check ISO27001 Zertifizierung IT-Grundschutz Datenschutz-Check Fokussierte Beratungen Aufbau von Sicherheits- Managementsystemen Aufbau von Datenschutz- Managementsystemen Notfallmanagement Risikomanagement Erstellung von Sicherheitskonzepten Erstellung von Datenschutzkonzepten Erstellung von Richtlinien & Policies Trainings und Coaching zur Mitarbeitersensibilisierung Erstellung von Verfahrensverzeichnissen Auftragsdatenverarbeitung Services Externer Sicherheitsbeauftragter Externer Datenschutzbeauftragter Standards ISO BSI IT-Grundschutz Datenschutzgesetze - 3 -

Fokussierte Beratungen Aufbau von Sicherheits- Managementsystemen Aufbau von Datenschutz- Managementsystemen Notfallmanagement Risikomanagement Erstellung von Sicherheitskonzepten Erstellung von

4 Status der Informationstechnologie im Unternehmen 97% aller deutschen Unternehmen mit mehr als 20 Mitarbeitern setzen Informationstechnologie ein. Die Informationstechnologie unterstützt fast alle Unternehmensprozesse. Fast alle kritischen Unternehmensdaten werden elektronisch verarbeitet. Ein Ausfall wichtiger Systeme kann meistens maximal für 1 Tag toleriert werden. Aber Nur ca. ¼ der Unternehmen verfügt Notfallpläne. Weniger als 50% der Unternehmen haben schriftlich fixierte Sicherheitsrichtlinien. Mehr als 60% der Unternehmen erlauben die uneingeschränkte Nutzung der Hardware durch alle Mitarbeiter

Ein Ausfall wichtiger Systeme kann meistens maximal für 1 Tag toleriert werden. Aber Nur ca. ¼ der Unternehmen verfügt Notfallpläne.

5 Informationswerte sind gefährdet Katastrophen: Blitzeinschlag Brand Wassereinbruch Fremdpersonal: Gebäudezutritt Systemzugang Techn. Mängel: Serverausfall Datenverlust Angriffe durch (Ex-)Mitarbeiter : Datenmanipulation Datendiebstahl Spionage Informationswerte Industriespionage: Konstruktionsdaten Finanzdaten Forschungsergebnisse Organ. Mängel: Berechtigungen Verschlüsselung Verantwortlichkeiten Hacker: IT-Betrieb Datensicherheit Ungeschulte Mitarbeiter: Internetnutzung Umgang mit Informationen Unachtsamkeit

Mängel: Serverausfall Datenverlust Angriffe durch (Ex-)Mitarbeiter : Datenmanipulation Datendiebstahl Spionage Informationswerte

6 Die häufigsten Versäumnisse Sicherheit hat einen zu geringen Stellenwert Dauerhafte Prozesse zur Beibehaltung des Sicherheitsniveaus fehlen Sicherheitsvorgaben sind nicht dokumentiert Die Rechtevergabe wird nicht restriktiv genug gehandhabt Sicherheitsmaßnahmen werden aus Bequemlichkeit vernachlässigt Mit Passwörtern wird zu sorglos umgegangen Anwender und Administratoren sind mangelhaft geschult - 6 -

Rechtevergabe wird nicht restriktiv genug gehandhabt Sicherheitsmaßnahmen werden aus Bequemlichkeit

7 Informationswerte müssen geschützt werden Katastrophen: Blitzeinschlag Brand Wassereinbruch Fremdpersonal: Gebäudezutritt Systemzugang Techn. Mängel: Serverausfall Datenverlust Angriffe durch (Ex-)Mitarbeiter : Datenmanipulation Datendiebstahl Spionage Rechtliche Aspekte Service-/ Produktbezogene Aspekte Informationswerte Betriebswirtschfte Aspekte Industriespionage: Konstruktionsdaten Finanzdaten Forschungsergebnisse Service-/ Produktions- u. technologiebezogene Aspekte Organ. Mängel: Berechtigungen Verschlüsselung Verantwortlichkeiten Hacker: IT-Betrieb Datensicherheit Ungeschulte Mitarbeiter: Internetnutzung Umgang mit Informationen Unachtsamkeit

Informationswerte Betriebswirtschfte Aspekte Industriespionage: Konstruktionsdaten Finanzdaten Forschungsergebnisse Service-/ Produktions- u.

Das Managementsystem der ISO 27001 ISO 27001 ISO 9001 Management- Elemente ISO 14001 Managementelemente der Norm finden sich auch in anderen Managementstandards wieder.

8 Das Managementsystem der ISO ISO ISO 9001 Management- Elemente ISO Managementelemente der Norm finden sich auch in anderen Managementstandards wieder. Die Norm ist mit den Normen ISO 9001:2000 sowie ISO 14001:2005 abgestimmt worden. Falls eine Organisation bereits ein funktionierendes Managementsystem eingerichtet hat, können die Anforderungen der ISO innerhalb des existierenden Managementsystems umgesetzt werden. Ein Vergleich mit der ISO 9001 sowie ISO14001 ist im Anhang C der ISO enthalten

Falls eine Organisation bereits ein funktionierendes Managementsystem eingerichtet hat, können die Anforderungen der ISO 27001

9 Alternativen zur Erlangung einer ISO Zertifizierung Für den Aufbau und die Umsetzung eines zertifizierungsfähigen Informationssicherheitsmanagementsystems, gibt es die folgenden unterschiedlichen Ansätze: ISO 27001:2005 (ergänzt um ISO 27002) Die Auswahl und Umsetzung der Maßnahmen erfolgt anhand der vorher durchgeführten detaillierten Risikoanalyse. Diese basiert wiederum auf den ermittelten Informationswerten des Anwendungsbereichs. 135 Kontrollziele Wenig Hilfe zur konkreten Umsetzung IT Grundschutz (ISO auf Basis IT Grundschutz) Der IT Grundschutz verzichtet auf eine Risikoanalyse. Hier werden die erforderlichen Maßnahmen über die Modellierung des IT Verbunds bestimmt. Mehr als 60 Bausteine mit mehr als 1000 Maßnahmen Detaillierte Vorgaben zur Umsetzung aber dadurch auch Lieferung konkreter - 9 -

Diese basiert wiederum auf den ermittelten Informationswerten des Anwendungsbereichs.

10 Ziele eines IT-Sicherheitsmanagements Gesteigerte Sicherheit als integraler Bestandteil der Geschäftsprozesse Kenntnis und Kontrolle über IT-Risiken / -Restrisiken erlangen Dokumentation von Strukturen und Prozessen Sicherheit des Geschäftsbetriebes sicherstellen durch: Business Continuity Management Kostenreduktion durch transparente und optimierte Strukturen (ggf. auch Versicherungen) Gesteigertes Sicherheitsbewusstsein der Mitarbeiter Beurteilung der Organisation und Prozesse nach Sicherheitsgesichtspunkten Weltweit anerkannter Standard erlangen (Nachweis der Sicherheit gegenüber Gesetzgebern, Kunden und Partner) Wettbewerbsvorteil: "Dokumentierte Qualität" durch eine unabhängige Instanz

11 Was bedeutet Informationssicherheit? Informationssicherheit oder IT-Sicherheit bedeutet den Schutz von Informationswerten. Dies beinhaltet Sicherungsmaßnahmen für die Grundwerte der Informationswerte. Zu diesen Grundwerten zählen: 1.) Vertraulichkeit Vertrauliche Daten werden nur berechtigt zur Kenntnis genommen oder weitergegeben. 2.) Integrität Sicherung der Korrektheit der Daten und der Funktionsweise von Systemen. 3.) Verfügbarkeit Garantieren, dass autorisierte Benutzer auf Daten und Systeme ungehindert zugreifen können

) Vertraulichkeit Vertrauliche Daten werden nur berechtigt zur Kenntnis genommen oder weitergegeben. 2.

12 Übersicht über den IT-Sicherheitsprozess 1 Initiative der Geschäftsführung Analyse: Geschäftsprozesse, Unternehmensziele IT-Sicherheitsleitlinie IT-Sicherheitsorganisation 2 Analyse der Rahmenbedingungen Informationen, IT-Systeme, Anwendungen Schutzbedarf (Szenarien) 3 Sicherheitscheck Sicherheitsmaßnahmen Identifikation von Sicherheitslücken

2 Analyse der Rahmenbedingungen Informationen, IT-Systeme, Anwendungen Schutzbedarf

Übersicht über den IT-Sicherheitsprozess 4 Planung von Maßnahmen Liste geeigneter Maßnahmen Kosten- und Nutzenanalyse Auswahl umzusetzender Maßnahmen Dokumentation des Restrisikos 5

13 Übersicht über den IT-Sicherheitsprozess 4 Planung von Maßnahmen Liste geeigneter Maßnahmen Kosten- und Nutzenanalyse Auswahl umzusetzender Maßnahmen Dokumentation des Restrisikos 5 6 Umsetzung von Maßnahmen Sicherheit im laufenden Betrieb Implementierung Test Notfallvorsorge Sensibilisierung Schulung Audit, Kontrollen, Monitoring, Revision Notfallvorsorge

Umsetzung von Maßnahmen Sicherheit im laufenden Betrieb Implementierung Test

14 Der Weg zur ISO Zertifizierung auf Basis IT Grundschutz! Ca. 92% der IT-Grundschutzmaßnahmen umgesetzt 2 Jahre gültig Wiederholbar Ca. 55% der IT-Grundschutzmaßnahmen umgesetzt 2 Jahre gültig Nicht wiederholbar Auditor-Testat Aufbaustufe ISO Zertifikat Auditor-Testat Einstiegsstufe Ca. 72% der IT-Grundschutzmaßnahmen umgesetzt 2 Jahre gültig Nicht wiederholbar

55% der IT-Grundschutzmaßnahmen umgesetzt 2 Jahre gültig Nicht wiederholbar Auditor-Testat

15 Nutzen von zertifizierter IT-Sicherheit nach ISO Erschließen neuer Kundengruppen die ähnlich wie bei den bekannten Qualitätsmanagementsystemen nach ISO 9001 von Ihren Partnern den Nachweis einer sicheren IT fordern Höhere Betriebssicherheit und Minimierung des Ausfallrisikos - damit Verringerung der Volatilität im Unternehmen Abheben vom Wettbewerb durch nachgewiesene (zertifizierte) IT-Sicherheit als Zusatznutzen für Ihre Produkte / Dienstleistungen gegenüber Ihren Kunden Reduzierung der Abhängigkeit vom Wissen einzelner Mitarbeiter und damit Verringerung der Anfälligkeit Ihres Unternehmens für Fluktuationsfolgen Realisierung dauerhafter Kosteneinsparungen durch Prozessoptimierungen in der IT-Betriebsführung Argument für Konditionenverbesserung Ihres Versicherungsportefolios Nachweis eines aktiven Risikomanagements gegenüber Behörden und Geschäftspartnern oder im Falle von Schadenersatzforderungen

IT-Sicherheit als Zusatznutzen für Ihre Produkte / Dienstleistungen gegenüber Ihren Kunden Reduzierung der Abhängigkeit vom Wissen einzelner Mitarbeiter und damit Verringerung der Anfälligkeit Ihres

16 TOOL gestützt zur ISO Für unser Vorgehen zur ISO Zertifizierung setzen wir ISMS-Framework ein. Basis ist das Audit Tool, bzw. das Grundschutztool des Bundesamtes für Sicherheit in der Informationstechnik. Die Daten werden in SQL Datenbanken abgelegt. Die eingesetzten Reporting Services liefern Berichte, die uns beim Vorgehen zur ISO Zertifizierung unterstützen. Trigonum ISMS-Framework Reporting Services SQL Server ISO27001 Reporting Audit Tool

Die Daten werden in SQL Datenbanken abgelegt.

17 Trigonum ISMS-Framework 1. Businessanalyse 5. Maßnahmenumsetzung 2. Risikoanalyse 3. Gap-Analyse 4. Anwendbarkeitserklärung

Ablauf einer Zertifizierung nach ISO 27001 8. Auskunft über die Zertifikatsgültigkeit Zertifizierungsstelle 5. Auditresultate 2. Ernennung Geschäftspartner der Organisation 1.

18 Ablauf einer Zertifizierung nach ISO Auskunft über die Zertifikatsgültigkeit Zertifizierungsstelle 5. Auditresultate 2. Ernennung Geschäftspartner der Organisation 1. Zertifizierungsanfrage 6. Ausstellung des Zertifikat 3. Durchführung des Audits Auditoren-Team 7. Veröffentlichung des Zertifikats Minimax Unternehmen GmbH 4. Report des Audits Quelle: TUVIT

Ernennung Geschäftspartner der Organisation 1. Zertifizierungsanfrage 6.

19 Für weitere Fragen stehen wir Ihnen jederzeit gern zur Verfügung. TRIGONUM GmbH Notkestrasse Hamburg Peter Bodino Dipl. Wirtschaftsinformatiker Telefon: +49(0) Fax: +49(0) Stephan Ernst Dipl. Wirtschaftsingenieur Telefon: +49(0) Fax: +49(0)

Wirtschaftsinformatiker Telefon: +49(0)40 3199 1618 3 Fax: +49(0)40 3199 1618 8 E-Mail: Peter.

Ähnliche Dokumente

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin, 24.06.2009

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen IT Profis Berlin, 24.06.2009 Leistungsspektrum Trigonum GmbH Geschäftsprozess- und Organisationsmanagement Erfolgreich Prozesse und