Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Save this PDF as:

WORD PNG TXT JPG

Größe: px

Ab Seite anzeigen:

Download "Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen."

Irma Heinrich
vor 3 Jahren
Abrufe

Transkript

1 Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

2 Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO Firmenkultur Angemessenheit Notfallfähigkeit IT-Sicherheit Risikomanagement Reputation Wirtschaftlichkeit Wirtschaftsprüfer Branchenstandards Dienstleister BSI IT-Grundschutz Kunden Lieferanten Risikoorientierung Supply Chain Informationssicherheit Geschäftsanforderungen Gesetzliche Anforderungen Interne Regularien 2

Notfallfähigkeit IT-Sicherheit Risikomanagement Reputation Wirtschaftlichkeit Wirtschaftsprüfer

3 Informationssicherheit. Definition. Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen 1 Informationssicherheit beinhaltet IT-Sicherheit als Leistungsdomäne Informationssicherheit berücksichtigt zusätzlich weitere Themen, z.b. - Strategie, Compliance, Prozesse - Personal Sicherheit, Physische Sicherheit - Business Continuity Management - Risikomanagement - Techn. und org. Maßnahmen Fokus auf Schutzbedarf der Informationen - Vertraulichkeit, Verfügbarkeit, Integrität 1 (ISO/IEC 27001) 3

IT-Sicherheit als Leistungsdomäne Informationssicherheit be

4 Ausgangslage. Problemstellungen. Informationssicherheit. Problemstellungen Deutsche Unternehmen im Fokus von Unternehmen Cyber-Kriminellen Informationssicherheit in vielen Unternehmen ein Begriff Strategisch gesteuerte Informationssicherheit oft ein Lippenbekenntnis Aufbau von ISMS ohne Wandel in Kultur und Philosophie Reduktion von Informationssicherheit auf IT-Sicherheit Rudimentäre Ausrichtung an Unternehmenszielen und -strategie Keine angemessene Risikokultur Historische Aufteilung von Verantwortlichkeiten (Kompetenzgerangel) Keine gemeinsame, Unternehmensübergreifende Strategie Zielsetzung 4

gesteuerte Informationssicherheit oft ein Lippenbekenntnis Aufbau von ISMS ohne Wandel in Kultur und Philosophie Reduktion von Informationssicherheit

5 Management der Informationssicherheit. Ein Lösungsansatz. Strategische Ausrichtung Informationssicherheits-Managementsystem (ISMS) Interaktion mit bestehenden Managementsystemen (z.b. QMS, Riskmgmt) Ausrichtung an Unternehmenszielen und -strategie Integration Top-Level Management Anpassung von Firmenkultur und -philosophie Organisatorische und betriebliche Maßnahmen ISMS Prozesse (z.b. Riskmanagement, Management Reviews, Metriken) Verfahrens- und Arbeitsanweisungen Sicherheitsbewusstsein schaffen Awareness Betriebsprozesse standardisieren, dokumentieren Technische Maßnahmen Netzwerk Clients Server Gebäudesicherheit! Zielsetzung: GANZHEITLICHE LÖSUNG. Steuerung durch Top-Level Management. 5

6 Ein Beispiel. IS Management durch ein ISMS. Organisation ISMS Management Strategien, Planungen, Visionen Management Commitment Bereich Organisation Prozesse, Rollen, Strukturen Security Forum, Policies Fachbereiche Verfahren, Lösungen Technische/Organisatorische Maßnahmen Informationstechnik Prozesse, Kommunikation, Daten Technische/Organisatorische Maßnahmen Infrastruktur-Technik Gebäude, Infrastruktur Technische Maßnahmen! Ca. 80% der Maßnahmen bei der Einführung eines ISMS sind organisatorischer Art! Dienstleistung ISMS-Forderungen Betriebliche Anforderungen 6

Forum, Policies Fachbereiche Verfahren, Lösungen Technische/Organisatorische Maßnahmen Informationstechnik Prozesse, Kommunikation, Daten

7 Informationssicherheit. Erfolgsfaktoren Top-Level Management Strategie Interaktion Wandel Ermutigung Risikokultur Informationssicherheit als Aufgabe des Top-Level Management 1 Ausrichtung an Firmenstrategie und -zielen 2 Interaktion mit bestehenden Managementsystemen und zwischen Geschäftsbereichen 3 Wandel bestehender Strukturen (org. und kulturell) 4 Ermutigung aller Mitarbeiter zu offener, risikoorientierter Kommunikation 5 Etablierung einer Risikokultur 6 7

Aufgabe des Top-Level Management 1 Ausrichtung an Firmenstrategie und -zielen 2 Interaktion mit bestehenden

8 Der Weg zum Ziel. Ganzheitlicher Ansatz. Politik Organisation Umweltfaktoren IM HR Governance ISO27001 ISO31000 COSO Gesellschaft BCM RMS ISMS DS CRM Risk Compliance CobiT BS25999 IT-Grundschutz Mensch Information Prozesse Ziele Zeit Technik Wertschöpfung 8

ISO31000 COSO Gesellschaft BCM RMS ISMS DS CRM Risk Compliance

9 Hersteller. Kompetenzen. 9

10 Kunden. Referenzen. 10

11 Auf allen Kontinenten zuhause. Kennzahlen 2013 Umsatz in Mio Auslandsanteil (in %) 48,4 EBIT (in %) 7,3 Mitarbeiter (-innen) Auslandsanteil (in %) 59,1 Standorte: Über 500 in 65Ländern 11

601 Auslandsanteil (in %) 48,4 EBIT (in %) 7,3

12 Umsatz in % nach Geschäftsbereichen. ICT & Business Solutions Academy & Life Care Systeme 10% 8% 6% 29% Industrie Service Mobilität 24% 23% Produkte 12

13 Die Welt von ICT & Business Solutions. Umsatz 2014: Circa 133 Mio. Geschäftsfelder IT Services & Cyber Security Telco Solutions, Business & Engineering Services Management Consulting R&D Management Weltweite Standorte 13

14 VIELEN DANK FÜR IHRE AUFMERKSAMKEIT! Regelmäßig aktuelle Informationen im Newsletter und unter 14

15 Kontakt. Name: Funktion: Fachgebiet: Kontakt: Arne P. Helemann Principal Consultant TÜV Rheinland GRC, ISMS, ISO Lead Auditor IT-Notfallmanagement; BCM Telefon:

ISO 22301 Lead Auditor IT-Notfallmanagement; BCM

Ähnliche Dokumente

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management