Informationssicherheits- Management
|
|
- Marielies Schwarz
- vor 8 Jahren
- Abrufe
Transkript
1 Elektronische Zahlungssysteme und Sicherheit Informationssicherheits- Management Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 1
2 Informationssicherheits-Management Ausgangssituation Externe Vorgaben MaH, FAIT, GoBS, ISO, BSI, KWG, KontraG, Organisations-Interne Umsetzung externer Vorgaben Policy, Richtlinien, Verfahrensanweisungen IT-Sicherheit Implementierung interner Vorgaben Verantwortung zur Umsetzung Organisationsstruktur IT- Sicherheit IT-Risiko IT-Security Sh-Konzept Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 2
3 Informationssicherheits-Management Ausgangssituation Externe Vorgaben MaH, FAIT, GoBS, ISO, BSI, KWG, KontraG, Organisations-Interne Umsetzung externer Vorgaben Policy, Richtlinien, Verfahrensanweisungen IT-Sicherheit Implementierung interner Vorgaben Verantwortung zur Umsetzung Organisationsstruktur IT- Sicherheit IT-Risiko IT-Security Sh-Konzept Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 3
4 Bedeutung der Informationen Arbeit Arbeit Kapital Kapital Unternehmen Boden Boden Information Information Marktchancen Missbrauch Risikopotential Geldkanäle Geldkanäle als als Objekt Objekt der der Begierde Begierde z.b z.b Beeinträchtigung Beeinträchtigung von von Geschäftsprozessen Geschäftsprozessen Umleitung/Manipulation Umleitung/Manipulation von von Transaktionen Transaktionen Erlangen Erlangen von von Kunden- Kundenund und Unternehmensinformationen Unternehmensinformationen elektronische elektronische Vertriebskanäle Vertriebskanäle z.b. z.b. Online Online Banking, Banking, Portale, Portale, externes externes Hosting, Hosting, RAS RAS Kommunikation Kommunikation ( ) ( ) wachsende wachsende Komplexität Komplexität lokale, lokale, globale globale Vernetzung Vernetzung technologische technologische Veränderungen Veränderungen Informationen sind heute neben Arbeit, Boden, Kapital der vierte bedeutende Produktionsfaktor für Unternehmen Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 4
5 Sicherer Umgang mit Informationen Wettberwerbsentscheidend Schutz finanzieller Interessen Kunde erwartet korrekte und vertrauliche Abwicklung Unternehmen hat Anspruch auf Schutz von Vermögen und Eigentum Persönlichkeitsschutz Recht jeder Person über die Preisgabe und Verwendung seiner persönlichen Daten selbst zu entscheiden (BDSG=BundesDatenSchutzGesetz) Schutz vor Imageverlust Verlorenes Vertrauen der Kunden Ruf des Unternehmens Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 5
6 Ausgangslage Geschäftsleitung trägt die Gesamtverantwortung für die Wettbewerbs- und Funktionsfähigkeit des Unternehmens. Sie haftet bei (grober) Fahrlässigkeit auch mit dem privaten Vermögen. Abhängigkeit von funktionsfähiger IT in den meisten Unternehmen systematisch unterschätzt! IT besitzt selten den angemessenen Stellenwert, IT-Sicherheit beschränkt sich oft auf einzelne technische Schutzsysteme wie Firewalls Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 6
7 Verpflichtung des Vorstandes zum Risikomanagement Deutscher Gesetzgeber hat in 81 und 91 AktG festgehalten, dass Früherkennungsmaßnahmen einzuführen sind und ein System zur Überwachung des Risikomanagements einzurichten ist (vgl. KontraG) In Österreich: Umsetzung in das Aktiengesetz und das GmbH-Gesetz durch das IRÄG 1997 (Einrichtung eines internen Kontroll-systems) Prüfung durch Aufsichtsrat und Wirtschaftsprüfer Beurteilung dieses Frühwarnsystems ist auch vor dem Hintergrund des 273 Abs 2 HGB wichtig Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 7
8 Warum IT-Sicherheitsmanagement? Langfristige Sicherung der Geschäftsgrundlage Umsetzung eines (auch wirtschaftlich) angemessenen Sicherheitsniveaus Schutz vor Gefährdungen von außen und innen Vermeidung von Straftaten durch Mitarbeiter oder Hacker Schutz personenbezogener Daten Erfüllung weiterer Verpflichtungen: TKG, KWG (BWG) Erfüllung vertraglicher Verpflichtungen Erfüllung Verpflichtungen aus Unternehmensrecht: AktG, GmbHG, HGB ordnungsgemäße Buchführung Basel II Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 8
9 IT-Sicherheitsmanagement Wachsende Anforderungen an die Informationstechnik Komplexität ständig gewachsen angemessenes IT-Sicherheitsniveau erfordert geplantes und organisiertes Vorgehen aller Beteiligten Voraussetzung für die sinnvolle Umsetzung und Erfolgskontrolle von IT-Sicherheitsmaßnahmen ist somit ein durchdachter und gesteuerter IT-Sicherheitsprozess. Diese Planungs- und Lenkungsaufgabe wird als IT- Sicherheitsmanagement bezeichnet. Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 9
10 Struktur IT-Sicherheitsmanagement Einbettung IT-Sicherheitsmanagement in die existierenden Managementstrukturen einer jeden Organisation Unmöglich, eine für jede Organisation unmittelbar anwendbare IT-Sicherheitsmanagement-Struktur anzugeben Vielmehr werden häufig Anpassungen an organisationspezifische Gegebenheiten erforderlich sein. Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 10
11 IT-Sicherheitsprozess Erstellung einer IT-Sicherheitsleitlinie Aufbau einer geeigneten Organisationsstruktur für IT- Sicherheit Erstellung einer Übersicht über vorhandene IT-Systeme Erstellung eines IT-Sicherheitskonzepts Umsetzung des IT-Sicherheitskonzepts nach einem Realisierungsplan Dokumentation des IT-Sicherheitsprozesses Erstellung eines Schulungskonzepts für IT-Sicherheit Sensibilisierung der Mitarbeiter für IT-Sicherheit Erstellung von Managementreports zur IT-Sicherheit Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 11
12 Informationssicherheits-Management Ausgangssituation Externe Vorgaben MaH, FAIT, GoBS, ISO, BSI, KWG, KontraG, Organisations-Interne Umsetzung externer Vorgaben Policy, Richtlinien, Verfahrensanweisungen IT-Sicherheit Implementierung interner Vorgaben Verantwortung zur Umsetzung Organisationsstruktur IT- Sicherheit IT-Risiko IT-Security Sh-Konzept Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 12
13 Gesetzliche/regulatorische Einflüsse auf Geschäftsleitungen/IT Entscheider Geschäftsleitung/ IT-Entscheider Vertragliche Regelungen KonTraG... Sicherheitsziele BGB AktG GmbHG HGB StGB DSG BAsel II Individueller Geschäftszweck Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 13
14 Externe Vorgaben BDSG GoB MaIR MaH MaK GDPdU AktG ISO ISO/TR HGB FAIT 1 Unternehmen Commerzbank AO GoBS Basel II KontraG FAIT 2 IDW PS 330 IDW PS 720 IAS KWG BSI... Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 14
15 Externe Vorgaben GoB MaIR MaH MaK GDPdU AktG Mindestanforderungen an die Ausgestaltung der Internen Revision der Kreditinstitute (MaIR) HGB BAFin, Grundlage ISO/TR 25a Abs. 1 Nr. 2 KWG und Abs. 2 AktG FAIT 1 IDW PS 330 Internes FAIT Kontrollsystem 2 Interne Revision Unterneh mung Unternehmen Internes Kontrollverfahren ( Internes Überwachungssystem ) = IDW PS 720 IAS KWG AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 15
16 Externe Vorgaben GoB MaIR MaH MaK GDPdU AktG ISO/TR Mindestanforderungen an das Kreditgeschäft (MaK) BAFin HGB Funktionstrennung FAIT 1 FAIT 2 IDW PS 330 Unterneh mung Unternehmen Dokumentation: Nachvollziehbarkeit der Geschäfte Leistungsfähigkeit der techn. org.ausstattung Funktionsfähigkeit der Datenbanken Schriftliche Notfallplanung Internes Kontrollsystem IDW PS 720 IAS KWG AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 16
17 Externe Vorgaben ISO 17799, British MaH GoB MaIRStandard 7799 MaK GDPdU Aufbau eines AktG IT-Sicherheitsmanagements + HGB Unterneh Verankerung in der Organisation mung ISO/TR FAIT 1 FAIT 2 IDW PS 330 Unternehmen Norm zur begutachtenden Wertung der Sicherheit von IT-Systemen Prüfstandard für das Management der IT-Sicherheit IDW PS 720 IAS KWG AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 17
18 Externe Vorgaben AktG ISO/TR Basel GoB II HGB FAIT 1 MaIR MaH Bedeutung der internen Kontrollsysteme für das Risikomanagement Operationelles Risiko Unterneh mung Unternehmen MaK die Gefahr von unmittelbaren oder mittelbaren Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und IDW Systemen oder PS von 330 externen Ereignisse IAS eintreten Messung FAIT 2 (Advanced IDW Measurement PS Approach) 720 Neu: explizite Eigenkapitalanforderung KWG GDPdU AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 18
19 Externe Vorgaben AktG Gesetz MaH GoB zur Kontrolle und Transparenz FAIT 1 FAIT 2 MaIR im Unternehmensbereich (KontraG) 91 Abs. 2 AktG - Risikofrüherkennungssystem IDW PS 330 IAS MaK HGB Unterneh Unternehmen s.a. 317 HGB Risiken mung der zukünftigen Entwicklung zutreffend darstellen. ISO/TR s.a. 289 HGB auf die Risiken der zukünftigen Entwicklung eingehen. IDW PS 720 KWG GDPdU AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 19
20 Externe Vorgaben MaH GoB Bundesamt für Sicherheit in der AktG Systeme HGB mit normalem Schutzbedarf Unternehmen ISO/TR FAIT 1 FAIT 2 MaIR Unterneh mung IDW PS 720 MaK Informationstechnik: IT-Grundschutz Standardsicherheitsmaßnahmen für typische IT- Darstellung der pauschal angenommenen Gefährdungslage Maßnahmenbeschreibungen als Umsetzungshilfe Beschreibung des Prozesses IDW zum Erreichen und PS 330 IAS Aufrechterhalten eines angemessenen IT- Sicherheitsniveaus KWG Verfahrensweise zur Ermittlung des erreichten IT- Sicherheitsniveaus in Form eines Soll-Ist-Vergleichs GDPdU AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 20
21 Externe Vorgaben GoB In Österreich: AktG ISO/TR HGB FAIT 1 MaIR MaH MaK Bundesministerium für Inneres: Österreichisches IT-Sicherheitshandbuch IDW organisatorischer, personeller, PS 330 infrastruktureller IAS und FAIT 2 Unterneh mung Teil 1: IT-Sicherheitsmanagement Unternehmen Etablierung eines umfassenden und kontinuierlichen IT-Sicherheitsprozesses Teil 2: IT-Sicherheitsmaßnahmen Grundlegende Sicherheitsmaßnahmen auf technischer Ebene IDW PS KWG GDPdU AO GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 21
22 Externe Vorgaben MaIR Kreditwesengesetz GoB (KWG) MaH MaK GDPdU 25 a KWG - Besondere Organisatorische Pflichten von KI AktG Regelungen HGB Unterneh Unternehmen AO mung zur Steuerung, Überwachung + Kontrolle der Risiken ISO/TR anhand derer sich die finanzielle Lage des Instituts jederzeit mit hinreichender Genauigkeit bestimmen lässt FAIT 1 FAIT 2 IDW PS 330 IDW PS 720 IAS KWG GoBS BSI ISO Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 22
23 Externe Vorgaben AktG ISO/TR GoB FAIT 1 FAIT 2 MaIR IDW PS 330 MaH IAS MaK IDW Prüfungsstandard 720 (IDW PS 720) Unterneh mung IDW PS 720 KWG GDPdU GoBS BSI ISO Fragenkatalog zur Prüfung der Ordnungsmäßigkeit der Geschäftsführung und der wirtschaftlichen Verhältnisse nach 53 HGB Unternehmen AO Haushaltsgrundsätzegesetz (HGrG) Fragenkatalog zum Risikomanagementsystem Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 23
24 Externe Vorgaben Grundsätze MaH GoB ordnungsmäßiger MaIR Buchführung MaK bei Einsatz von GDPdU Electronic Commerce (IDW ERS FAIT 2) Besondere AktG IT-Risiken aus der Kommunikation HGB aus der Verarbeitung ISO/TR FAIT 1 FAIT 2 IDW PS 330 Unterneh mung Unternehmen IDW PS 720 IAS KWG AO GoBS BSI ISO Sicherheit und Ordnungsmäßigkeit beim Einsatz von E-Commerce- Systemen Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 24
25 Externe Vorgaben AktG ISO/TR GoB HGB FAIT 1 MaIR IDW PS 330 MaH Unternehmen IAS MaK ISO Technical Committee ISO/TC 68, Subcommittee SC 2 Security Management GDPdU AO ISO Technical Report ISO/TR 13569, , Banking and related financial services Basel II Beschreibt Komponenten eines Sicherheitskonzeptes KontraG GoBS mit der Umsetzung beschäftigte Tätigkeitsprofile FAIT 2 Unterneh mung Information security guidelines: IDW PS 720 KWG BSI Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 25
26 Externe Vorgaben AktG ISO/TR GoB HGB FAIT 1 FAIT 2 MaIR IDW PS 330 MaH Unternehmen IDW PS 720 IAS MaK AktG 91 Organisation. Buchführung GDPdU vom / nach dem Stand des Gesetzes vom (1) Der Vorstand hat dafür zu sorgen, daß die erforderlichen Handelsbücher geführt werden. Unterneh mung KWG AO GoBS BSI ISO (2) Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Basel II KontraG Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 26
27 Externe Vorgaben AktG ISO/TR GoB HGB FAIT 1 MaIR MaH MaK GDPdU Der Vorstand hat dafür zu sorgen, dass ein Rechnungswesen und ein internes Kontrollsystem geführt werden, die den ISO Anforderungen des Unternehmens entsprechen AktG Rechnungswesen 22 GmbHG IDW PS 330 Commerzbank Basel II Die Geschäftsführer haben dafür zu sorgen, dass ein Rechnungswesen und ein internes Kontrollsystem geführt werden, KontraGdie GoBS den Anforderungen des Unternehmens entsprechen FAIT 2 Unterneh mung IDW PS 720 IAS KWG AO BSI Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 27
28 Externe Vorgaben <=> Sicherheitsziele Funktionstrennung User Access Rights, Access Control Nachvollziehbarkeit Audit Trail Authentifikation kontrollierter Zugang Nachvollziehbarkeit nachweisbar Dokumentation, Changes, PEV Internes Kontrollsystem, Risc Control Reconciliation Business Continuity, Disaster Recovery Performance Datenschutz Integrität fälschungssicher Verfügbarkeit Durchsatz Vertraulichkeit abhörsicher Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 28
29 Informationssicherheits-Management Ausgangssituation Externe Vorgaben MaH, FAIT, GoBS, ISO, BSI, KWG, KontraG, Organisations-Interne Umsetzung externer Vorgaben Policy, Richtlinien, Verfahrensanweisungen IT-Sicherheit Implementierung interner Vorgaben Verantwortung zur Umsetzung Organisationsstruktur IT- Sicherheit IT-Risiko IT-Security Sh-Konzept Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 29
30 Interne Umsetzung externer Vorgaben GoB MaIR MaH MaK GDPdU AktG ISO/TR HGB FAIT 1 IT-Sicherheits- Commerzbank Policy, -Richtlinien und -Verfahrensanweisungen AO GoBS ISO Basel II KontraG FAIT 2 IDW PS 330 IDW PS 720 IAS KWG BSI Gelb : Grün : bereits besprochen Beispiele für weitere Vorgaben Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 30
31 Security Policy Folgende Inhalte sollten enthalten sein: Zweck der Policy Geltungsbereich Begriffsdefinitionen Sicherheitsziele Beschreibung des Security Teams Aufgaben, Verantwortungen, Rechte und Rollen Pflichten der einzelnen Rollen Mögliche Sanktionen Mögliche Sanktionen Beschreibung der Sicherheitsniveaustufen Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 31
32 Security Policy Die Security Policy ist die Verfassung und muss daher langlebig sein. Die konkreten, evtl. kurzlebigeren Gesetze (z.b. welche konkreten Maßnahmen und Produkte eingesetzt werden) werden in separaten Richtlinien definiert. Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 32
33 Einordnung der Dokumente Warum (business goals and directions) Was Policy Richtlinien Ebene 1 Ebene 2 Wie Verfahrensanweisungen Ebene 3 IT Sicherheitshandbücher Leitfäden,Standards...etc. unterstützende Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 33
34 Policy definiert die übergeordneten Grundlagen Verbindlicher Rahmen Kernthemen Zielgruppen Sicherheitsziele Angemessenheit Einhaltung Policy Ebene 1 Ebene 2 Ebene 3 unterstützende Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 34
35 IT Sicherheitsrichtlinien (1) Grundlegende Richtlinien IT Sicherheitsorganisation IT Sicherheitsmanagement Business Continuity Management Allgemeine Richtlinien IT Sicherheit am Arbeitsplatz Mobile Computing Kommunikation und physische Mediensicherheit Richtlinien Ebene 1 Ebene 2 Ebene 3 unterstützende Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 35
36 IT Sicherheitsrichtlinien (2) Spezielle Richtlinien für AE und Produktion Physische IT-Sicherheit IT-Benutzerverwaltung Firewall Richtlinie IT-Sicherheitsbetrieb Netzwerksicherheit Verschlüsselungsverfahren und Schlüsselmanagement IT-Sicherheitsanalyse und IT- Sicherheitsprotokollierung Virenschutz IT-Sicherheit von Software bei Entwicklung, Einsatz und Wartung Richtlinien Ebene 1 Ebene 2 Ebene 3 unterstützende Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 36
37 Verfahrensanweisungen IT Sicherheit (übergreifend) Sicherheitsvorgaben Windows NT Sicherheitsvorgaben Windows NT Server Sicherheit RZ Krisenmanagement UNIX Sicherheit Set of Rules Open VMS Security... Verfahrensanweisungen Ebene 1 Ebene 2 Ebene 3 unterstützende Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 37
38 Leitfäden, Handbücher etc. Entwicklung sicherer Web Anwendungen Leitfaden generisches Sicherheitskonzept Sicherheit Netz-WAN Erläuterungen zu Verschlüsselungsverfahren und Schlüsselmanagement Leitfaden zu den Richtlinien der IT Sicherheit... IT Sicherheitshanbücher:...Leitfäden, Standards...etc Ebene 1 Ebene 2 Ebene 3 unterstützende Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 38
39 IT-Security-Richtlinien: Überblick Organization and Definitions of IT Security Policy IT-Security Guideline IT-Security Organization Guideline IT- Security Management IT End User Guideline Mobile Computing Guideline Communications- and physical Media Security Guideline IT-Security at the Workplace Project Management Production Management Guideline Business Continuity Management (BCM) Guideline Physical IT Security Guideline IT User Administration Guideline IT Security of Software during Development, Installation and Maintenance Guideline IT Security Operations Guideline Network Security Guideline Firewall Guideline Encryption Methods and Key Management Guideline IT Security Analysis and Security Logging Guideline Virus Protection Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 39
40 Umsetzung der Vertraulichkeit Admission Control Guideline Physical IT-Security Zugangs- und Zugriffskontrolle (Authentifikation und Autorisation) inklusive Need to Know -Prinzip für Informationen Guideline IT-Benutzerverwaltung Vorgaben zum Umgang mit physischen Medien und zum Verhalten bei der Kommunikation Guideline Kommunikations- und physische Mediensicherheit Verschlüsselung Guideline Verschlüsselungsverfahren und Schlüsselmanagement Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 40
41 Umsetzung der Verfügbarkeit Datensicherung sowie Erstellen und Testen von IT-Notfallplänen Guideline Business Continuity Management (BCM) Sicherer und zuverlässiger Betrieb der IT-Systeme Guideline IT-Sicherheitsbetrieb Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 41
42 Umsetzung der Integrität Zugriffskontrolle inklusive 4-Augen -Prinzip Guideline IT-Benutzerverwaltung Korrekte Entwicklung, Implementierung, Inbetriebnahme und Änderung von Software und IT-Systemen Guideline IT-Sicherheit von Software bei Entwicklung, Einsatz und Wartung Einsatz elektronischer Signaturen Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 42
43 Umsetzung der Authentizität Authentifikation Guideline IT-Benutzerverwaltung Erzwungener Passwortwechsel Einsatz elektronischer Signaturen und Zertifikate auf Software- auf Hardware-Ebene Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 43
44 Umsetzung der Nachvollziehbarkeit Protokollierung und Auswertung von sicherheitskritischen Ereignissen Guideline IT-Sicherheitsanalyse und IT-Sicherheitsprotokollierung Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 44
45 Weitere Technische Maßnahmen zur Umsetzung der IT- Security-Guidelines Einsatz von Firewalls und Kommunikationssicherheit Guideline Netzwerksicherheit Guideline Firewall Einsatz von Virenscannern Guideline Virenschutz Einsatz von Intrusion Detection Systemen Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 45
46 Organisatorische Maßnahmen zur Umsetzung der IT- Security-Guidelines Etablierung eines Sicherheitsprozesses Guideline IT-Sicherheitsmanagement Guideline IT-Sicherheitsorganisation 4-Augen -Prinzip Unterschrift, Kontrollliste Pflicht zur Pflege der Dokumentation Sicherheitskonzept Gezielte, aufgabenbezogene Schulung von Mitarbeitern... Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 46
47 IT-Security-Guidelines: Relevanz Gültigkeit weltweit für gesamten Konzern Grundsätzlich bindend für jeden! Interne, externe Mitarbeiter Mitarbeiter externer Partner, Dienstleister Verbindlich als Prüfungsgrundlage für interne und externe Audits Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 47
48 Informationssicherheits-Management Ausgangssituation Externe Vorgaben MaH, FAIT, GoBS, ISO, BSI, KWG, KontraG, Organisations-Interne Umsetzung externer Vorgaben Policy, Richtlinien, Verfahrensanweisungen IT-Sicherheit Implementierung interner Vorgaben Verantwortung zur Umsetzung Organisationsstruktur IT- Sicherheit IT-Risiko IT-Security Sh-Konzept Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 48
49 IT-Sicherheitsorganisation Definition des Rahmen der internen Umsetzung Steuerung, Überwachung, Fortentwicklung, Reporting, Management Schaffung klarer Verantwortungsregelungen systematische Erfassung und Eindämmung von IT spezifischen Risiken Festlegung eines unternehmensspezifischen IT Sicherheitsniveaus Einheitliche Dokumentation der organisatorischen und technischen Schutzmaßnahmen Etablierung von Schulungs-/Sensibilisierungsmaßnahmen Sicherstellung eines laufenden Sicherheitsprozesses Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 49
50 Zentrale IT-Sicherheitsorganisation Erstellung Policy, Richtlinien und übergreifende Verfahrensanweisungen Technische Analysen Votierung von Abweichungen zu zentralen Vorgaben Beratung und Unterstützung der Projekte Themen mit MaH, BCC und Basel II Relevanz Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 50
51 Beispiel: Organisationsstruktur IT-Security Senior- Management (..., CIO) Richtlinien entscheiden IT Security Board (CIO, CISO, Leiter Unternehmensbereiche, interne Revision) Richtlinien vorbereiten Central IT security organization IT Security Council Officers CISO, Z-LSO's, CSO's Richtlinien umsetzen Decentralized division Unternehmensbereich 1 (Z-LSO) Decentralized division Unternehmensbereich 2 (Z-LSO) Decentralized division' 'n' (Z-LSO 'n') Infrastructure/Technology Support... CIO Chief Information Officer / CISO Chief Information Security Officer / CSO Continental Security Officer / Z-LSO Central Local Security Officer Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 51
52 Organisationsstruktur IT-Security Richtlinien entscheiden Richtlinien vorbereiten Richtlinien umsetzen übergreifende Adressierung Senior- Management IT sicherheitsrelevanter (..., CIO) Themen Bestätigung des empfohlenen IT Sicherheitsniveaus Entscheidung bei Dissensthemen Central IT security organization Decentralized Eskalationsgremium division Decentralized der division IT Unternehmensbereich 1 (Z-LSO) Unternehmensbereich 2 Sicherheitsorganisation (Z-LSO) IT Security Board (CIO, CISO, Leiter Unternehmensbereiche, interne Revision) IT Security Council Officers CISO, Z-LSO's, CSO's Decentralized division' 'n' (Z-LSO 'n') Infrastructure/Technology Support... CIO Chief Information Officer / CISO Chief Information Security Officer / CSO Continental Security Officer / Z-LSO Central Local Security Officer Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 52
53 Organisationsstruktur IT-Security Richtlinien entscheiden Richtlinien vorbereiten Richtlinien umsetzen Festlegung von Senior- Management Kernprozessen in (..., der CIO) IT Sicherheit Empfehlung des IT Sicherheitsniveaus an IT Security Board Festlegung des Rahmens Unternehmensbereich 1 Central IT security organization und der Inhalte des Sicherheitslageberichts Priorisierung vom Decentralized division Maßnahmen Decentralized division Unternehmensbereich 2 (Z-LSO) (Z-LSO) Inhaltliche Freigabe neuer/modifizierter Richtlinien Infrastructure/Technology Support... IT Security Board (CIO, CISO, Leiter Unternehmensbereiche, interne Revision) IT Security Council Officers CISO, Z-LSO's, CSO's Decentralized division' 'n' (Z-LSO 'n') CIO Chief Information Officer / CISO Chief Information Security Officer / CSO Continental Security Officer / Z-LSO Central Local Security Officer Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 53
54 Organisationsstruktur IT-Security Richtlinien entscheiden Richtlinien vorbereiten Richtlinien umsetzen Koordination und Senior- Management Unterstützung der (..., CIO) operativen Umsetzung Aktive Steuerung hinsichtlich Einhaltung und Umsetzung von Vorgaben Status IT Sicherheit an Zentrale IT- Unternehmensbereich 1 Central IT security organization Sicherheitsorganisation ständiges Mitglied im IT Decentralized Security division Council direkte Anweisung zu Decentralized division Unternehmensbereich 2 Umsetzung (Z-LSO) und Einhaltung (Z-LSO) der IT-Sicherheitsvorgaben an die Mitarbeiter in der OE Infrastructure/Technology Support... IT Security Board (CIO, CISO, Leiter Unternehmensbereiche, interne Revision) IT Security Council Officers CISO, Z-LSO's, CSO's Decentralized division' 'n' (Z-LSO 'n') CIO Chief Information Officer / CISO Chief Information Security Officer / CSO Continental Security Officer / Z-LSO Central Local Security Officer Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 54
55 Der IT-Sicherheitsbeauftragte als... Ansprechpartner in allen Fragen zum Thema IT-Security; Unterstützung bei der Umsetzung der Sicherheitsvorgaben im Projektablauf, beispielsweise bei der Erstellung von Sicherheitskonzepten; Koordinator und Gehmigungsinstanz, falls Ausnahmeanträge zu bestehenden IT-Sicherheitsrichtlinien notwendig sind; Vermittler in strittigen Fragen zum Thema IT-Security zwischen OE und Zentraler Sicherheitsabteilung sowie OE-interne Anlaufstelle für dessen Mitarbeiterinnen und Mitarbeiter bei sicherheitsrelevanten Beobachtungen und Vorfällen. Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 55
56 In the end... If you don t write a policy, you re under risk. If you do write a policy and you don t follow it, you re under more risk Candy Security : Complex controls in operation Virus Protection Firewalls etc. Don t forget the back door! Human Error, HOAX Social Engineering Quelle: Austin Hill, Zero Knowledge Systems Institut für Informatik und Gesellschaft, Abt. Telematik, Albert-Ludwigs -Universität Freiburg 56
Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.
NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische
MehrIT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS
IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit
MehrSicherheitsaspekte der kommunalen Arbeit
Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,
MehrIT-Revision als Chance für das IT- Management
IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT
MehrAgenda: Richard Laqua ISMS Auditor & IT-System-Manager
ISMS Auditor & IT-System-Manager IT-Sicherheit Inhaltsverzeichnis 1 Ziel der Schulung Werte des Unternehmens Datenschutz und IT-Sicherheit 2 Gesetze und Regelungen Mindestanforderungen der IT-Sicherheit
MehrPensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione
Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes
MehrAusgewählte Rechtsfragen der IT-Security
Ausgewählte Rechtsfragen der IT-Security Steht man als Verantwortlicher für IT-Security bereits mit einem Bein im Gefängnis? Dr. Markus Junker, Rechtsanwalt markus.junker@de.pwc.com HEUSSEN Rechtsanwaltsgesellschaft
MehrC R I S A M im Vergleich
C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799
MehrElektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit
Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit
MehrSecurity. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.
Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch
MehrChancen und Risiken. The risk of good things not happening can be just as great as that of bad things happening."
Sicherheit Absolute Sicherheit in der Datenverarbeitung gibt es nicht; K+P kann die Sicherheit jedoch durch geeignete Maßnahmen entscheidend verbessern! Chancen und Risiken The risk of good things not
MehrIT-Sicherheitsorganisationen zwischen internen und externen Anforderungen
IT-Tagung 2012 IT-Sicherheitsorganisationen zwischen internen und externen Anforderungen Kontrollaufgaben im IT-Security-Kontext 1 Agenda Aufgaben einer IT-Sicherheitsorganisation Zusammenspiel IT-Security,
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrI n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000
Leitfaden I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000 Inhalt 1 Einleitung... 2 2 Übersicht Dokumente... 2 3 Umsetzung der Anforderungen an
MehrInformations- / IT-Sicherheit Standards
Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für
Mehr4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management
1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT
MehrMedizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong
Medizintechnik und Informationstechnologie im Krankenhaus Dr. Andreas Zimolong DIN EN 80001-1:2011 Anwendung des Risikomanagements für IT-Netzwerke, die Medizinprodukte beinhalten Teil 1: Aufgaben, Verantwortlichkeiten
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrRisikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement
SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent
MehrWie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner
Mehreco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008
eco AK Sicherheit Rechtliche Stellung des CISO - Handlungsrahmen und pflichten - Köln, 3. September 2008 Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf 1 CISO Eine Positionsbestimmung 2 Aufgaben, Pflichten
MehrCloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl
Cloud-Computing - rechtliche Aspekte Forum 7-it RA Rainer Friedl München, 16. November 2015 Verpflichtung zur IT-Compliance: Haftung des Vorstands/Geschäftsführer für IT-Risiken» Vorstandspflicht bei AGs
MehrDatenschutz und Informationssicherheit 03.09.2015
Datenschutz und Informationssicherheit 03.09.2015 Vertrauen in öffentliche Institutionen in Deutschland ist hoch Studie der GfK: Global Trust Report (2015) Staatliche Institutionen führen das Vertrauensranking
MehrIT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom 17.06.2004 netformat GmbH
IT-Sicherheit ein Thema für das Management? Herzlich Willkommen Zirngibl Langwieser Inhaltsübersicht 1. Pflichten des Managements in Bezug auf die IT-Sicherheit 2. Instrumente der Pflichterfüllung und
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem
MehrDienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden
Dienstleistungen Externer Datenschutz Beschreibung der Leistungen, die von strauss esolutions erbracht werden Markus Strauss 14.11.2011 1 Dienstleistungen Externer Datenschutz Inhalt 1. Einleitung... 2
MehrIT-Dienstleistungszentrum Berlin
IT-Dienstleistungszentrum Berlin»Private Cloud für das Land Berlin«25.11.2010, Kai Osterhage IT-Sicherheitsbeauftragter des ITDZ Berlin Moderne n für die Verwaltung. Private Cloud Computing Private Cloud
MehrVertragsmanagement mit smartkmu Contract. smartes Vertragsmanagement für effiziente Abläufe
Vertragsmanagement mit smartkmu Contract smartes Vertragsmanagement für effiziente Abläufe Warum Verträge Wertschöpfungskette Kundenvertrag Lieferantenverträge Verträge mit Partnern und Dienstleistern
MehrBETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT
FÜR INFORMATIONSSICHERHEIT FÜR INFORMATIONSSICHERHEIT Informationssicherheit bedingt höhere Anforderungen und mehr Verantwortung für Mitarbeiter und Management in Unternehmen und Organisationen. Awareness-Trainings
MehrRudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz
Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand
MehrMaRisk. Beratung zu MaRisk AT 7.2
MaRisk Beratung zu MaRisk AT 7.2 Ausgangssituation Komplexität meistern! Handlungsbedarf ergibt sich vor allem für den Einsatz von selbsterstellten Anwendungen. Darunter fallen nicht nur klassische Softwareprogramme,
MehrUnternehmens durch Integratives Disaster Recovery (IDR)
Effizienter Schutz der Finanz- und Controllingdaten Ihres Effizienter Schutz der Finanz und Controllingdaten Ihres Unternehmens durch Integratives Disaster Recovery (IDR) IT DISASTER RECOVERY Sind Ihre
MehrNeue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses. EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr.
Neue Pflichten für den Aufsichtsrat: Die Aufgaben des Prüfungsausschusses EURO-SOX Forum 2008 31.03. bis 01.04.2008 Köln Dr. Holger Sörensen Die Aufgaben des Prüfungsausschusses: Agenda Gesetzestexte Organisatorische
MehrRSP International. Ihr Partner in Osteuropa und Zentralasien
Interne Kontrolle Empfehlungen des Finanzministeriums und praktische Aspekte Hamburg, 4. Juli 2014 RSP International Ihr Partner in Osteuropa und Zentralasien Internes Kontrollsystem (IKS) als Element
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrFORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager
FORUM Gesellschaft für Informationssicherheit mbh ForumBankSafe-IT Der IT-Sicherheitsmanager Was leistet die Software und wozu wird sie benötigt? ForumBankSafe-IT einführen ForumBankSafe-IT bietet ein
MehrIT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein
der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein Teilnehmende Institutionen Flensburg Universität Flensburg Christian- Albrechts- Universität IFM-GEOMAR Kiel Muthesius Kunsthochschule
MehrSchon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge
Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen
MehrBCM Schnellcheck. Referent Jürgen Vischer
BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz
MehrSicherheitsnachweise für elektronische Patientenakten
Copyright 2000-2011, AuthentiDate International AG Sicherheitsnachweise für elektronische Patientenakten Christian Schmitz Christian Schmitz Copyright 2000-2011, AuthentiDate International AG Seite 2 Systemziele
MehrErläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)
Erläuternder Bericht des Vorstands der Demag Cranes AG zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB) Erläuternder Bericht des Vorstands 1 Rechtlicher Hintergrund Das
MehrDr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen
Dr. Christian Thiel Institut für Informations- und Prozessmanagement FHS ST. Gallen Und was meinst Du mit IT Sicherheit? Was ist IT-Sicherheit aus rechtlicher Sicht? Definition in 2 Abs. 2 BSI-Gesetz:
MehrLösungen die standhalten.
Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen
MehrInformations- / IT-Sicherheit - Warum eigentlich?
Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297
MehrVom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements
Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen
MehrEinführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT
Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research
MehrRechtliche Aspekte der IT-Security.
Rechtliche Aspekte der IT-Security. Gesellschaft für Informatik, 27.05.2005 IT Security und Recht. IT-Security hat unterschiedliche juristische Aspekte: Strafrecht: Hacking, Computerbetrug, DoS, etc. Allg.
MehrDirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen
Dirk Loomans, Micha-Klaus Müller Bedrohungs- und Schwachstellenanalysen Übersicht über die Arbeitshilfen risikoanalyse.doc Das Klammersymbol Checkliste zur Durchführung einer Risikoanalyse im Text verweist
MehrEinführung eines ISMS nach ISO 27001:2013
Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:
MehrDer IT Security Manager
Edition kes Der IT Security Manager Aktuelles Praxiswissen für IT Security Manager und IT-Sicherheitsbeauftragte in Unternehmen und Behörden Bearbeitet von Heinrich Kersten, Gerhard Klett 4. Auflage 2015.
MehrA u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n
Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...
MehrWBH Wirtschaftsberatung GmbH Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T
Wirtschaftsprüfungsgesellschaft Steuerberatungsgesellschaft Hannover K U R Z T E S T A T über die Softwarezertifizierung des Programms tacoss.etrade Tacoss Software GmbH Tarp Inhaltsverzeichnis Seite 1.
MehrBausteine eines Prozessmodells für Security-Engineering
Bausteine eines Prozessmodells für Security-Engineering Ruth Breu Universität Innsbruck M. Breu Mai-03/1 Motivation Entwicklung einer Methode zum systematischen Entwurf zugriffssicherer Systeme Integration
MehrIT-Grundschutz praktisch im Projekt Nationales Waffenregister
IT-Grundschutz praktisch im Projekt Nationales Waffenregister Günther Ennen Bundesamt für Sicherheit in der Informationstechnik 19. Berliner Anwenderforum E-Government am 19. und 20. Februar 2013 Fachforum
MehrRichtlinien über das Betriebskonzept für Einrichtungen der Heimpflege für Kinder und Jugendliche
Richtlinien über das Betriebskonzept für Einrichtungen der Heimpflege für Kinder und Jugendliche vom 1. April 2007 Gestützt auf Art. 2 der Verordnung über Kinder- und Jugendheime vom 21. September 1999
MehrSicherheitsanalyse von Private Clouds
Sicherheitsanalyse von Private Clouds Alex Didier Essoh und Dr. Clemens Doubrava Bundesamt für Sicherheit in der Informationstechnik 12. Deutscher IT-Sicherheitskongress 2011 Bonn, 10.05.2011 Agenda Einleitung
MehrSiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)
Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche
MehrRonny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom
Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom +423 392 28 78 2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten
Mehr3 Juristische Grundlagen
beauftragter - Grundlagen Ziele: Einführung in das recht Kennen lernen der grundlegenden Aufgaben des beauftragten (DSB) Praxishinweise für die Umsetzung Inhalte: Ziele des es Zusammenarbeit mit Datensicherheit/IT-Sicherheit
MehrProjekt H.I.D.E. Ralf Watermann (IT-Abteilung) Theo Douwes (Organisation)
Projekt H.I.D.E Ralf Watermann (IT-Abteilung) Theo Douwes (Organisation) Zunächst ein bisschen Grundsätzliches Grundsatz Sicherheit ist kein Zustand sondern ein Prozess! Was heute noch sicher ist, kann
MehrInternational anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz
MehrInformationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.
Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG Torsten Hemmer Berlin, 15. September 2015 Agenda Vorstellung der GDV Dienstleistungs-GmbH (GDV-DL) Die Informationssicherheit
MehrKirchlicher Datenschutz
Kirchlicher Datenschutz Religionsgemeinschaften können in ihrem Zuständigkeitsbereich ihre Angelegenheit frei von staatlicher Aufsicht selbst regeln. Dieses verfassungsrechtlich verbriefte Recht umfasst
MehrWir organisieren Ihre Sicherheit
Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Unternehmen Die VICCON GmbH versteht sich seit 1999 als eigentümergeführtes und neutrales Unternehmen für Management- und Sicherheitsberatung.
MehrCISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke
CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management
MehrBSI Technische Richtlinie
Seite 1 von 8 BSI Technische Richtlinie BSI Bezeichnung: Technische Richtlinie De-Mail Bezeichnung: Anwendungsbereich: Kürzel: De-Mail Dokumentenablage IT-Sicherheit BSI TR 01201 Anwendungsbereich: Version:
MehrBusiness Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess
Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz
MehrÜbersetzung des englischen Berichts. SAS 70 Type II. Bericht über implementierte Kontrollen und Wirksamkeit eingerichteter Kontrollverfahren.
SAS 70 Type II Bericht über implementierte Kontrollen und Wirksamkeit eingerichteter Kontrollverfahren DATEVasp Für den Zeitraum: 1. Januar 2010 bis 30. September 2010 Inhaltsverzeichnis SEKTION I... 3
MehrSicherheit - Dokumentation. Erstellt von James Schüpbach
- Dokumentation Erstellt von Inhaltsverzeichnis 1Einleitung...3 1.1Definition der Sicherheit...3 1.2Mindmap Sicherheit...3 2Datenschutz in der Schweiz...3 2.1Zulässiger Umgang mit Personendaten...3 3Sicherheitskonzept...4
MehrGÖRG Wir beraten Unternehmer.
GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte
MehrGovernance, Risk & Compliance für den Mittelstand
Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Deutsche Telekom AG Products & Innovation T-Online-Allee 1 64295 Darmstadt für das IT-System Developer Garden
MehrIT-Beauftragter der Bayerischen Staatsregierung IT-Sicherheitsstrukturen in Bayern
IT-Sicherheitsstrukturen in Bayern Dr. Andreas Mück Agenda 1. Technische Rahmenbedingungen 2. Sicherheitsorganisation 3. Leitlinie zur IT-Sicherheit 4. Aktuelle Projekte Bayerisches Staatsministerium der
MehrDie Telematikinfrastruktur als sichere Basis im Gesundheitswesen
Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen conhit Kongress 2014 Berlin, 06.Mai 2014 Session 3 Saal 3 Gesundheitsdaten und die NSA Haben Patienten in Deutschland ein Spionageproblem?
MehrMITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09.
MITsec - Gelebte IT-Sicherheit in KMU - IT - Sicherheitsforum Erfurt 2015 23.09.2015 TÜV Thüringen Informationssicherheit Informationen sind das schützenswerte Gut ihres Unternehmens Definition: Eine Information
MehrAspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen-
Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden Vorgehen, Werkzeuge, Erfahrungen- BSI IT-Grundschutz-Tag Berlin 13. Februar 2014 Jens Syckor IT-Sicherheitsbeauftragter Matthias
MehrBearbeitungsreglement. Extern
Bearbeitungsreglement Extern Ausgabe 2014 Inhaltsverzeichnis 1. Allgemeines 1 1.1. Rechtliche Grundlage 1 1.2. Ziel des Bearbeitungsreglementes 1 2. Kurzbeschreibung Krankenkasse Birchmeier 1 3. Organisation
MehrÜbersicht Kompakt-Audits Vom 01.05.2005
Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis
Mehr1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.
Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang
MehrIT-Sicherheit im Rathaus Alles nach Plan?
IT-Sicherheit im Rathaus Alles nach Plan? Neues IT-Rahmensicherheitskonzept seit 2009: Muster-IT-Rahmensicherheitskonzept steht allen Verbandsmitgliedern des ZV ego-mv kostenfrei zur Verfügung wurde bisher
MehrGrundsätze zur Ausgestaltung von Qualitätsmanagementsystemen. im gesundheitlichen Verbraucherschutz formuliert.
Grundsätze zur Ausgestaltung von Qualitätsmanagementsystemen im gesundheitlichen Verbraucherschutz 1 Vorwort Die in der Verordnung (EG) Nr. 882/2004 des Europäischen Parlaments und des Rates über amtliche
MehrSicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3
Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Agfa HealthCare GmbH Konrad-Zuse-Platz 1-3 53227 Bonn für das IT-System IMPAX/web.Access die Erfüllung aller
MehrInformationssicherheit ein Best-Practice Überblick (Einblick)
Informationssicherheit ein Best-Practice Überblick (Einblick) Geschäftsführer der tgt it- und informationssicherheit gmbh Geschäftsführer am TZI, Universität Bremen Lehrbeauftragter an der Hochschule Bremen
MehrIT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen
IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung
MehrGrundlagen des Datenschutzes und der IT-Sicherheit (12) Vorlesung im Sommersemester 2005 von Bernhard C. Witt
und der IT-Sicherheit (12) Vorlesung im Sommersemester 2005 von Struktur der heutigen Vorlesung Lösung potentieller Prüfungsfragen Fortsetzung der Vertiefung zu grundlegenden Anfragen: Risikobewertung
MehrISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz
ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit
MehrFreifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234
IT Sicherheitskonzept Registernummer bei der Bundesnetzagentur: 14/234 1. Geltungsbereich 1.Dieses IT-Sicherheitskonzept gilt strukturell für Systemkomponenten des Freifunknetzes, welche vom selbst betrieben
MehrDatenschutz Schnellcheck. Referent Jürgen Vischer
Datenschutz Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein
MehrManagements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY
Grundlagen des Change Managements Anforderungen und Möglichkeiten für einen sauberen Änderungsprozess Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY Hauptrisikofaktoren für IT-Sicherheit Patches
MehrDATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher
DATENSCHUTZBERATUNG vertrauensvoll, qualifiziert, rechtssicher SIND SIE WIRKLICH SICHER? Wer sorgt in Ihrem Unternehmen dafür, dass die rechtlichen Anforderungen des Datenschutzes und der Datensicherheit
MehrMuster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz
Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Antragsteller: Zertifizierungskennung: BSI-XXX-XXXX Der Inhalt
MehrAufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.
Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds
MehrUnternehmensvorstellung
Stand zum 12. September 2014 If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology - Bruce Schneier Unabhängige Prüfung
MehrDatenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN. sicher bedarfsgerecht gesetzeskonform
Datenschutzaudit DATENSCHUTZ & DATENSICHERHEIT IM UNTERNEHMEN sicher bedarfsgerecht gesetzeskonform Zielgruppe Unser Beratungskonzept ist für die Unternehmensleitungen kleiner und mittelständischer Unternehmen
Mehrbei der MEKRA Lang GmbH & Co. KG
IT-Sicherheit bei der MEKRA Lang GmbH & Co. KG 27.03.2003 Vortrag IKT-Forum 03.04.2003 Seite 1 MEKRA Lang GmbH & Co. KG Automobil Zulieferer Entwicklung, Produktion und Vertrieb von Rückblicksystemen 8
MehrBeraten statt prüfen Betrieblicher Datenschutzbeauftragter
Beraten statt prüfen Betrieblicher Datenschutzbeauftragter Bestellpflicht zum Datenschutzbeauftragten Nach 4 f Bundesdatenschutzgesetz (BDSG) müssen Unternehmen einen betrieblichen Datenschutzbeauftragten
MehrDer betriebliche Datenschutzbeauftragte
Der betriebliche Datenschutzbeauftragte W A R U M? W E R I S T G E E I G N E T? W O F Ü R? Christoph Süsens & Matthias Holdorf Projekt Agenda Vorstellung Präsentation der betriebliche Datenschutzbeauftragte
Mehr