Werte sichern durch Informationssicherheit. Wege zum ISMS nach ISO Dr. Bodo Glaser, Michael Nett, Hans Schmitz November 2013

Größe: px
Ab Seite anzeigen:

Download "Werte sichern durch Informationssicherheit. Wege zum ISMS nach ISO 27001. Dr. Bodo Glaser, Michael Nett, Hans Schmitz November 2013"

Transkript

1 Werte sichern durch Informationssicherheit Wege zum ISMS nach ISO Dr. Bodo Glaser, Michael Nett, Hans Schmitz November 2013

2 Agenda Information und Informationssicherheit Die Normfamilie ISO 2700x Was ist eigenlich das Informationssicherheitsmanagementsystem GAP- und Basisrisikoanalyse Umsetzen - Business Continutiy Management ISMS als laufender Prozess Kommunikation Werkzeug DocSetMinder 2

3 Information und Informationssicherheit 3

4 Über was wir heute reden? 'Failing to plan means planning to fail.' 4 of 17

5 Schutz von Informationen Informationen sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation sind und deshalb in geeigneter Weise geschützt werden müssen. sollten deshalb - unabhängig von ihren Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden. Quelle: ISO/IEC 17799:2005, Einleitung 5

6 Was bedeutet Informationssicherheit Was ist Informationssicherheit gem. ISO 27000ff? Informationssicherheit gewährleistet folgende Grundwerte für alle schutzwürdigen Informationen und informationsverarbeitenden Systeme : glaserbo SAP: Lotus: hasi123 Die Vertraulichkeit stellt sicher, dass bestimmte Informationen, d.h. geschäftskritische Informationen und Know How, personenbezogene Daten (MA, Kunden, Partner), nur durch berechtigte Personen, Instanzen oder Prozesse eingesehen werden können. Die Integrität sorgt für vollständige und unversehrte Daten (korrekt, unveränderbar oder unleugbar geloggt), Daten tragende Systeme und Daten verarbeitende Prozesse. Die Verfügbarkeit garantiert berechtigten Nutzern den Zugriff auf Informationen und Daten tragende Systeme zum jeweils erforderlichen Zeitpunkt. Kurz gesagt: Alle Geschäftsdaten und Systeme müssen zum erforderlichen Zeitpunkt ausschließlich den berechtigten Nutzern vollständig und unbeschädigt zur Verfügung stehen! 6

7 Informationssicherheit ist mehr wie IT-Sicherheit 7

8 IT Sicherheit ist ein Bestandteil der Informationssicherheit Sicherheitspolitik Sicherheitsprozesse Sicherheitsmanagement Firewalls / Virenschutz Informationssicherheit IS-Risikomanagement Secure Coding IT- Sicherheit Sicherheitsrichtlinien & -standards Security-Awareness Security-Audits 8

9 Informationssicherheit fängt beim Mensch an und zieht immer weitere Kreise Clear Desk Clear Screen Kommunikation Beauftragung Externer / Internet Mobiles Arbeiten Umgang mit Systemen und Passwörtern Home Office Verantwortung hasc SAP: Lotus: hansi123 Soziale Netzwerke Hochgradige Interaktion von Menschen und Technologie: Informationssicherheit ist mehr als nur IT-Sicherheit! Den Menschen als verantwortlichen Entscheider sehen: Informationssicherheit durch Aufklärung und geeignete Prozessgestaltung stärken, statt immer mit teuren technischen Maßnahmen zu bevormunden und die betriebliche Flexibilität unnötig einzuschränken. 9

10 Sicherheit manchmal führen auch andere Wege zum Ziel 10

11 Informationssicherheit schützt die Wertschöpfungskette Schutzbedarf der Wertschöpfungskette Wertschöpfungs-Management INPUT Transformation Output Hohe IT-Durchdringung Authentisierung Autorisierung Verbindlichkeit schützen Vertraulichkeit Integrität Verfügbarkeit 11

12 Hoher Schaden bei den Betroffenen 2011: Umfang und Schäden werden immer größer. Juli: REWE-Kunden müssen schnell prüfen, ob sie zu Hause oder im Büro andere Passwörter nutzen, als auf der REWE Seite April: Identitätsdiebstahl bei ca SONY-Kunden. Ihnen werden und Postadressen sowie Kreditkarten-Informationen gestohlen. Nicht nur die Kunden sind geschädigt, auch die Anleger: - der Börsenwert bricht nachhaltig ein. Gesamtschaden ca. 1,2 Mrd. US$ März: Social Engineering bringt die IT-Sicherheitsfirma RSA ins Wanken. Mittels 4 s verschaffen sich Hacker Zugang auf die Algorithmen der SecurID-Token von Kunden. Schaden: ca. 40 Mio Token werden weltweit ausgetauscht und ein angekratztes Image. 13

13 Nicht immer sind es Computer, die angegriffen werden 15

14 NSA und Informationssicherheit hat das was miteinander zu tun? 16

15 DIE NORMFAMILIE ISO 2700X 17

16 ISO 2700x Historie Thomas Wennemer & Dr. Bodo Glaser GLS-Vorstellung ISO Projekt August

17 ISO/IEC 2700x im Überblick 19

18 Aufbau der ISO

19 Anforderungskatalog der ISO (Anhang A) 21

20 ISO <-> ISO

21 Die neue ISO 27001:

22 Rahmenwerke & Standards im Bereich Informationssicherheit ISO / ISO Internationaler Informationssicherheitsstandard Fokus: Etablierung eines ISMS BSI IT-Grundschutz Nationaler Sicherheitsstandard Empfehlung für (technische) Basis-Sicherheitsmaßnahmen COBIT Control Objectives for Information & related Technologie Modell zur Überwachung & Prüfung der IT ITIL / ISO Sicherheitsmanagement Sammlung von Best Practices Betrieb von IT-Infrastrukturen 24

23 WAS IST EIGENTLICH DAS INFORMATIONS-SICHERHEITS- MANAGEMENTSYSTEM 26

24 ISMS als Bestandteil des Managementsystems ISO :2011 Service Management ISO Information Security Management System ISO 9001: 2008 Quality Management System Management Systems ISO Business Continuity Management ISO Risk Management 27

25 IS-Grundwerte Geschäftsprozesse und Projekte Nutzer der Informationssicherheit Wertschöpfungs-Management Input Transformation Output Vertraulichkeit Authentisierung Integrität Autorisierung Verfügbarkeit Verbindlichkeit Geschäftsanforderungen IS- Governance IS-RMS IS-Richtlinien Allgem. IS-RiLi Spezielle IS-RiLi für Prozesse Konzept IS-Leitbild Definiert den Selbstanspruch an Informationssicherheit und enthält Vorgaben für die Regeln und Verantwortungen zur Implementierung von Informationssicherheit. IS-Risiko- Management Beschreibt das IS-Risiko- Management System (IS-RMS) als Bestandteil des allgem. Qualitäts- und Risiko- Managements IS-Regeln Beschreibt (1) die allgem. gültigen IS-Regeln und (2) die Sicherheitsanforderungen und die daraus resultierenden, systemunabhängigen Regelungen je Prozess 28

26 Von der Risikoerkenntnis zum Maßnahmenplan aber wie? Schadenhöhe in Mio existenzbed rohend > 50 Mio. schwerwiegend Mio. mittel 2,5-10 Mio. gering 0,5-2,5 Mio. unbedeutend < 0,5 Mio. Operatives Geschäft: ReWe Integrität durch Umlenkung von Zahlungen verletzbar Strateg. Projekt: XXX Bruch der Vertraulichkeit Vertrag kommt nicht zustande oder Erlös wird stark reduziert Strateg. Projekt: ZZZ Bruch der Vertraulichkeit Vertrag kommt nicht zustande oder Wertsteigerung wird stark reduziert Strateg. Projekt: YYY Bruch der Vertraulichkeit Vertrag kommt nicht zustande oder Wertsteigerung wird stark reduziert Reporting fast close Verfügbarkeit der zentralen Systeme unterbrochen Operatives Geschäft: Verfügbarkeit der zentralen Systeme unterbrochen Produktivitätsverlust, Work-arounds und Nebenbuchhaltung sind ca. Z Tage ertragbar hoch Nutzen niedrig Ableitung von Maßnahmen zur Risikoreduzierung? hoch Kosten? niedrig sehr unwahrscheinlich < 10 % unwahrscheinlich 10 % - 20 % möglich 20 % - 50 % wahrscheinlich 50 % - 90 % Eintrittswahrscheinlichkeit sehr wahrscheinlich > 90 % 29

27 DAS PROJEKT GAP- UND BASISRISIKOANALYSE 30

28 Vorgehensmodell gemäß Projekt-Standard in folgenden Phasen Projekt- Initiierung Risiko- Analyse durchführen Maßnahmen umsetzen IS-Konzept leben IS-Audit durchführen Welche Ziele sollen mit dem Projekt erreicht werden (Reputation, Werte, Compliance, Leib & Leben)? Rahmen - bereits existierende Strukturen und Projekte Was ist gehört zum Umfang und was definitiv nicht? Beteiligte: Sponsor und Stakeholder Interne Verantwortliche Ist-Situation: bekannte oder potenielle Risiken qualitativ und quantitativ erfassen Ziel-Situation: tragbares Risiko- Niveau beschreiben Ziel-Ist-Lücke: Design von Maßnahmen zur Reduktion der Risiken Beschluß des umzusetzenden Maßnahmenkatalogs Richtlinie entwerfen, von der Geschäftsleitung beschließen und kommunizieren Organisatorische Lösungen umsetzen: (1) IS-Rollen (2) Fachbereiche Technische und organisatorischtechnische Lösungen umsetzten Aufmerksamkeit erzeugen durch Kommunikationsplan IS-Maßnahmen eingebettet in Geschäftsleben einschwingen : Monitoring, Nachhalten und Korrigieren Aufmerksamkeit hoch halten durch Kommunikationsplan Audit-Vorbereitung: (1) Umfang definieren: IS-Management System als Teil des IKS vs. IS- Niveau (2) IS-Rollen bereiten Unterlagen vor (3) Sensibilisierung der Mitarbeiter auf Real-life Stichproben Begleitung des Audits durch IS- Rollen Externe Unterstützung 31

29 Transparenz durch GAP-Analyse Regelwerk und Policy (was möchten wir?) Organisation (wer ist verantwortlich?) Assetmanagement (was wird geschützt?) Personelle Sicherheit (wer verarbeitet Informationen) Physische Sicherheit (wie werden sensible Bereiche geschützt?) Betriebsmanagement (welche Abläufe und Vorgehensweisen gibt es? Prozesse, Veränderungen usw.) Beschaffung, Entwicklung und Wartung von IT-Systemen (wo werden IT- Systeme bezogen und entwickelt?) Management von Sicherheitsvorfällen (wie wird mit Sicherheitsvorfällen umgegangen?) Business Continuity Management ( wie werden bei mangelnder Verfügbarkeit von Informationssystemen die Geschäftsprozesse aufrecht erhalten) Compliance (wie werden Verstöße gegen Gesetze, Verträge oder Sicherheitsregeln vermieden) 32

30 Das Risikomanagement initiieren 1 1.PRIORISIERUNG: relevante Geschäftsprozesse auswählen 2 Risk Assessment + 2. PRIORISIERUNG: relevante Risiken auswählen Risiken 5 Aggregation der Maßnahmen über alle Risiken: - Kosten der Maßnahmen (in $) vs. - Reduktion des Risikoerwartungswertes (in $) + 3. PRIORISIERUNG: Kosten-Nutzen geeignete Maßnahmen auswählen 3 elementare Verletzlichkeiten 4 für Risiken ableiten ökonomisch sinnvolle Maßnahmen erarbeiten 33

31 Die 2 Wege in das IS-Risk Management 1. Systematische Erfassung und Bewertung von potentiellen IS-Risiken IS-Risk Potentials Matrix IS-Risk Potentials Evaluation Risiken und Risiko- Ursachen identifizieren Existierende Controls erfassen Risiko-Register & Controls-Register IS-Risk Register Risiko- Identifikation Risiko- Bewertung Wahrscheinlichkeit und Schadenhöhe bewerten (quantitativ und qualitativ) Akzeptanz-Niveau feststellen 2. Prozess orientierte Erfassung und Bewertung von IS-Risiken durch Interviews Risiko- Bewältigung Risiko- Controlling IS-Measures Register IS-Risiko Steckbrief Überwachung und Reporting von Risiken und Maßnahmen Maßnahmen zur Risikosenkung festlegen und umsetzen 34

32 Basisrisikoanalyse 35

33 Schade n Risikoanalyse durch Prozessinterviews Gespräch mit Experten? Analyse der Arbeitsweise? Wie fließen die Informationen? Welche IT-Systeme gibt es? Gefahren im Prozess identifizieren! W kei t kritisch wichtig moderat niedrig 36

34 Nicht erfüllte Anforderungen werden zu Maßnahmen Anforderungen Maßnahmen % % % 20 0 ISO- Anforderungen gesamt davon nicht relevant für UD Relevante Anforderungen für UD davon bereits erfüllt 35 davon noch zu schließen 35 Gaps konsolidiert in 11 Maßnahmen 3 Muss - Maßnahmen 8 Sollte - Maßnahmen 37

35 Maßnahmen sind konkret IS Risiko-Management-System (exemplarisch) Präambel Bezug auf Konzernziele und Werte Stellenwert der IS zur Erreichung der Konzernziele Definition Informationssicherheit Erklärung der Grundwerte Begriffseinführung IS-Konzept Konkrete Ziele des IS-RMS (mit Bezug auf Konzernziele und -werte) gem. SMART formulieren Konkrete Aufgaben URENCO IS-RMS Struktur des IS-RMs - Regelungsheriarchie: IS-Gov -> RiLi IS-RM -> IS-RiLi Allgem und IS-RiLi für spezielle Prozesse - Verantwortung: zentrales IS-RM Controlling und operatives IS-RM in den Prozessen IS-RM Prozess-Zyklus & Verantwortlichkeiten - Prozessphasen und Objekte bzw. Ergebnistypen - Roles & Responsibilities (IS Management, Rollen und Funktionen für IS, Organisatorische Umsetzung) IS-RM Ausnahme bzw. Notfall-Prozesse: - Incident & Problem Management - Eskalationsphasen - Kommunikation (intern / extern) Technische Umsetzung Tool-Unterstützung des Prozesses Anhänge Rahmen: in existierendes Konzept Integriertes Manangement Handbuch integrieren Adressaten: GF, Process-Owner Stabilität des Dokuments: 3-5 Jahre 38

36 Rollen und Verantwortungen im ISMS GF delegiert Verantwortung für ISMS und IS-Transparenz Gesamtverantwortung für Ergebnis, Risken und Compliance delegiert Prozessverantwortung ISM IS-Board Verantwortung für Funktionieren des ISMS Operative Verantwortung für Durchführung des IS-RMS-Zyklus fordert Mitwirkung im IS-RMS ein macht IS- Vorgaben für Prozesse Repräsentanten der Funktionen Security IT (Plant, Non-Plant) non-it basierte Informationen QM & Internal Audit HR & Kommunikation (incl. Datenschutz und Betriesrat) Exportkontrolle Beratung des ISM IS-Vorgaben Prozesse Begleitung von Change Management: Anforderung, Abnahme von Konzepten und Kontrolle der Umsetzung LPOs LPOs LPOs Verantwortung für Ergebnis, Risken und Compliance des delegierten Prozesses IS-Aufgaben (UA): Bewertung von Risiken, Überwachung der Controls im Prozess, Maßnahmen zur Risiko-Mitigation 39

37 UMSETZEN IT-CONTINUITY MANAGEMENT

38 IT-Continuity ist Bestandteil eines Systems VA ISMS (IS-RMS) Informationen & Nutzer IS als Teil der Kontinuität IS bei Veränderungen VA mm Regelungen zum Geheimschutz und zur Vertraulichkeit VA nn Continuity Management VA nn Change Management VA nn intern eingestufte Dokumente und Verschlußsachen VA aa Backup Richtlinie VA nn Zeit-Synchronisation VA nn Allgem. Anwender Richtlinie VA nn IT-Security Monitoring & Log-Analyse VA nn IT-Maintenance, Monitoring & Revision IS-Vorsorge 41

39 IT Continuity ist Teil der Business Continuity Definitionen: Business Continuity: strategische und taktische Fähigkeit der Organisation zur Planung und Reaktion auf Zwischenfälle und Betriebsstörungen zur Fortsetzung der Geschäftstätigkeiten auf einer als akzeptabel vordefinierten Stufe. (BS 25999) IT-Continuity: Strategische und taktische Fähigkeit der Organisation zur Planung und Reaktion auf Zwischenfälle und Betriebsstörungen, die eine Auswirkung auf die Bereitstellung von IT-Services für geschäftskritische Prozesse haben, damit diese auf einer als akzeptabel vordefinierten Stufe fortgesetzt werden können. (MBa & BGr) 42

40 Vorbereitung auf Ereignisse EREIGNIS Wertschöpfungs-Management Anlieferung Anreicherung Auslieferung Hohe IT-Durchdringung 3. REAKTION planen und üben 43

41 Die zwei wesentlichen Aktivitäten des IT-Continuity Managements 1. Widerstandsfähigkeit planen und prüfen 2. Reaktion planen, schulen und üben 44

42 Voraussetzungen für das IT-Continuity Management 1. Priorisierung der Prozesse bzgl. Kritikalität für Business Continuity 3. BIA 2. Aktueller Katalog der IT (IT-Architecture) Matthias Buschmann & Dr. Bodo Glaser IT-Continuity - Vorbereitung des Konsens ISO Projekt Mai

43 Ablauf der Planung der Widerstandsfähigkeit eines IT-Services Geschäftsprozesse: BK 5 WF- Konzept Nutzen- Kosten- Abnahme IT-Services: fordern unterstützen ermöglichen Fachlichtechnische Abnahme IT-Service BK 5 WF- Konzept IT-Systeme: besteht aus IT-System i.w.s. Herunterbrechen der Anforderungen Zusammenfassen IT-Komponenten: IT-System: Anwendung von an IT-System: Interface Herunterbrechen der Anforderungen WF- Pläne Zusammenfassen Hardware sonstige IT-Infrastruktur Betriebs- system- Software Applika- tions- Software Netzwerk- Komponenten WF- Pläne 46

44 Was bringt Business Continuity-Planung über die Notfall-Planung hinaus? Notfallplan: beendet die betroffenen betrieblichen Aktivitäten schnell und sicher Notfallplan mit Business Continuity Plan: hält den Kern des Geschäftes am Laufen (Produktion & Auslieferung ggf. in reduziertem Umfang) sorgt für schnelle und koordinierte Wiederherstellung Abschaltung nur als Ultima Ratio Widerstandsfähigkeitsplan Kontinuitätsplan Notfallplan Reaktionsplan Notbetrieb Wiederher- stellung Notfallplan 47

45 ITSM ALS LAUFENDER PROZESS

46 ITSM ist ein laufender Prozess und kein Zustand 49

47 Umsetzen der Anforderungen Laufende Umsetzung der Anforderungen GAP Analyse Risikoanalyse Audits Umsetzung nach Vorgehensmodell aus der Planungsphase Klares Zuordnen von Verantwortungen Schulung der Mitarbeiter 50

48 Überprüfung und Überwachung Wurden die Maßnahmen wie geplant umgesetzt? Wurden die Zielstellungen erreicht? Wurde das gewünschte Sicherheitsniveau erreicht? Haben sich Anforderungen geändert? Gibt es weiteres Verbesserungspotential? Sind alle Feststellungen dokumentiert? 51

49 Verbesserung Welche Ergebnisse hat die Überwachungsphase hervorgebracht? Wo sind kleine Feineinstellungen erforderlich? Gibt es Quickwins? Welche größeren Aufgaben müssen über eine Planungsphase neu bearbeitet werden? Erneuter Start in die Planungsphase 52

50 KOMMUNIKATION

51 Informationssicherheit für jedermann lebbar machen IS Richtlinien Clear Desk Clear Screen Verantwortung Kommunikation Teil I. Allgemeine IS-Anweisung: Verhalten am Arbeitsplatz (Tisch, PC, Papier, Fax, Telefonie) mit Bezug auf allgem. Vertraulichkeitseinstufung Einbindung von Geschäftspartnern Verhalten in der Öffentlichkeit (z.b. Sportverein, Kneipe und Parties, Internet und Social-Media) Value Chain Management Process-Owner Teil II. Spezielle IS-Richtlinien für Prozesse: unterhalb der Allgem Arbeitsplatz RiLi als Spezialisierung oder Konkretisierung für bestimmte Prozesse je Prozess: schutzwürdige Objekte, Verletzlichkeiten bzw. Schutzziele, Controls, Control-Manager, Prüfung der Control- Effektivität, Verweis auf Prozess- und Betriebshandbücher (dort mit jew. aktuellem Systembezug!), etc. Control Manager 1 Control Manager 2 Process Step Control Step Adressaten: alle Mitarbeiter sowie Externe (Teil I. und ggf. Ausschnitte von Teil II.) Stabilität der Dokuments: 2-3 Jahre 54

52 Informationssicherheit ist vom Menschen abhängig 55

53 Mit den Mitarbeitern in Kommunikation treten Informationskanäle Adressaten Bemerkung A. Anprache im URENCO -Dialog B. Information im about U C. Information im Intranet von UD Alle Mitarbeiter Zuerst direkte Ansprache im URENCO -Dialog Dann einleiten der Info- Kampagne im Intranet durch aboutu IS-Verpflichtung durch HR ausrollen Abschluß der Kampagne durch Auflösen des Gewinnspiels D. Live-Demo (ggf. im Rahmen des URENCO-Dialog) E. Information in gedruckter Form F. Individuelle Anprache Selektive Gruppen von Mitarbeitern Ausgewählte Mitarbeiter der Gruppe Geschäftspartner Für Maßnahmen aus Datensicherung, Zeitsynch., IT- Wartung, etc Für Mitarbeiter, die von anderen StdO kommen und hier mit Informationen oder IT umgehen Für Geschäftspartner, die für oder bei UD mit Informationen oder IT umgehen. 56

54 Warten Sie nicht auf den Bildschirmschoner! Sie wollen schnell mal weg von Ihrem Schreibtisch... 2 Tasten schaffen Sicherheit + L Fragen oder Informationen zum Thema Informations-Sicherheit: Intranet Site Security oder fragen Sie ISM (- 200) oder BIM (-222).... soviel Zeit muss sein!

55 Wie Ihre Unterwäsche ist Ihr Benutzer-Passwort Je länger desto sicherer Schützen Sie sich und unsere Daten 2. Regelmäßig wechseln Fragen oder Informationen zum Thema Informations-Sicherheit: Intranet Site Security oder fragen Sie den ISM (- 200) oder den BIM (- 222).

56 Da wird der Drucker zum Schwarzen Brett! Sie wollen das Need-to-know- und Need-to-use-Prinzip leben und niemanden in Versuchung führen... Nichts im Drucker oder Kopierer vergessen? Fragen oder Informationen zum Thema Informations-Sicherheit: Intranet Site Security oder fragen Sie den ISM (- 200) oder den BIM (- 222).... soviel Zeit muss sein!

57 DEN PROZESS MIT WERKZEUGEN UNTERSTÜTZEN DOCSETMINDER

58 DocSetMinder ISMS / Prozesse 61

59 DocSetMinder - Netzwerkkomponente 62

60 DocSetMinder Risikoanalyse / Personalausfall 63

61 Ihre Ansprechpartner Hans Schmitz Sen. Management Consultant T: +49 (0) F: +49 (0) M: +49 (0) E: Michael Nett Bereichsleiter Managementsysteme T: +49 (0) F: +49 (0) M: +49 (0) E: AKRA Business Solutions GmbH Domstraße Hamburg Germany HRB

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Informationssicherheit in handlichen Päckchen ISIS12

Informationssicherheit in handlichen Päckchen ISIS12 Informationssicherheit in handlichen Päckchen ISIS12 Der praxistaugliche Sicherheitsstandard für kleine und mittelgroße Unternehmen IT-Trends Sicherheit, 20. April 2016 Referentin Claudia Pock Sales Managerin

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

ITIL V3 zwischen Anspruch und Realität

ITIL V3 zwischen Anspruch und Realität ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager & ISO 20000 Consultant 9. März 2009 IT-Service Management ISO 20000, ITIL Best Practices, Service

Mehr

Aus Liebe zu Sicherheit und Qualität.

Aus Liebe zu Sicherheit und Qualität. Aus Liebe zu Sicherheit und Qualität. ECO Verband Frankfurt 30.01.2015 1 2013 - Auf allen Kontinenten zuhause. Überblick TÜV Rheinland Ca. 600 Standorte in 65 Ländern ca. 1,6 Mrd. Umsatz ca. 18.000 Mitarbeiter

Mehr

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Informationssicherheit (k)eine Frage für Ihr Unternehmen?

Informationssicherheit (k)eine Frage für Ihr Unternehmen? Ziele Informationssicherheit (k)eine Frage für Ihr Unternehmen? SSV bei connect Schnelligkeit, Sicherheit, Verfügbarkeit Vortrag von Ingrid Dubois, dubois it-consulting gmbh Informationssicherheit: Ziele

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller

ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller ISO 27000 mit oder ohne BSI-Grundschutz? Oliver Müller Agenda ISO 27001+BSI IT Grundschutz ISO 27001 nativ Eignung Fazit http://www.bsi.bund.de Grundsätzlicher Analyseansatz Prozess benötigt Anwendungen

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement

Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement Das Sicherheitsprofil Software-as-a-Service im Anwendungsfall Kundenbeziehungsmanagement (CRM) Dr. Patrick Grete Referat B22 Analyse von Techniktrends in der Informationssicherheit 2. IT-Grundschutz Tag

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Einführung eines ISMS nach ISO 27001. Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Einführung eines ISMS nach ISO 27001 Kai Wittenburg, Geschäftsführer/CEO, ISO27001-Auditor (BSI) Was ist Informationssicherheit? Vorhandensein von Integrität Vertraulichkeit und Verfügbarkeit in einem

Mehr

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath

BSI-Standard 100-4. der neue deutsche Standard zum Notfallmanagement. Dr. Marie-Luise Moschgath BSI-Standard 100-4 der neue deutsche Standard zum Notfallmanagement Dr. Marie-Luise Moschgath Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Das BSI Das

Mehr

Wie viel IT-Sicherheit braucht mein Unternehmen? Was ist IT-Sicherheit? Prozess Chefsache Management-Tool Notwendigkeit Warum IT-Sicherheit? Gesetze Rechtsverordnungen Kunden Öffentlichkeit Geschäftspartner

Mehr

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group.

Security. Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch Web www.tan-group. Security Felix Widmer TCG Tan Consulting Group GmbH Hanflaenderstrasse 3 CH-8640 Rapperswil SG Voice +41 (0)55 214 41 56 Fax +41 (0)55 214 41 57 Mobile +41 (0)79 336 56 76 E-Mail felix.widmer@tan-group.ch

Mehr

Informationssicherheit. Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU

Informationssicherheit. Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU Informationssicherheit - betrifft das unser Unternehmen? Meldungen über Hacker, Verletzung von Datenschutz (Diebstahl

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Enterprise Risikomanagement nach ISO 31000 MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Basis des operativen Risikomanagement Was ist unter dem Begriff Risiko zu verstehen? GEFAHR? Begutachtung

Mehr

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main

IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Advisory Services Information Risk Management Turning knowledge into value IT-Risiko- und Sicherheitsmanagement Workshop der GI Fachgruppe SECMGT am 28. Januar 2005 in Frankfurt/Main Markus Gaulke mgaulke@kpmg.com

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

Integriertes Management der Informationssicherheit im Krankenhaus

Integriertes Management der Informationssicherheit im Krankenhaus Integriertes Management der Informationssicherheit im Krankenhaus IEC 80001-1 & ISO 27001:2008 Themenflyer mit Leistungsangebot Think.Guide.Ready Mission und Vision Die CETUS Consulting GmbH ist ein Premium-

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren Präventive Planung - Ereignisbewältigung und Rückführung Blanche Schlegel, Swissi AG 11. September 2014 Workshop "Integriertes Risikomanagement in der Prozessindustrie" 11.09.2014 Swissi AG 2 Fachbereiche

Mehr

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014 ISO 27001:2013 - ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT PERSICON@night 16. Januar 2014 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration

Mehr

Informationssicherheit

Informationssicherheit Informationssicherheit Ein 10 Punkte Programm für wirksame Informationssicherheit in KMU Wir bauen Brücken zwischen der IT Strategie und effizienten IT Prozessen sowie zwischen den Kunden, der Informatik

Mehr

BSI-Standard 100-4 Notfallmanagement

BSI-Standard 100-4 Notfallmanagement BSI-Standard 100-4 Notfallmanagement Isabel Münch Bundesamt für Sicherheit in der Informationstechnik IT-Sicherheitsmanagement und IT-Grundschutz Dr. Marie-Luise Moschgath PricewaterhouseCoopers AG Folie

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch?

6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit. Informationssicherheit in Unternehmen Schwachstelle Mensch? 6. Cyber-Sicherheits-Tag der Allianz für Cyber-Sicherheit Informationssicherheit in Unternehmen Schwachstelle Mensch? Berlin, 22. September 2014 Franz Obermayer, complimant AG Informationssicherheit ist

Mehr

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE

T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013. Werte- und prozessorientierte Risikoanalyse mit OCTAVE T.I.S.P. Community Meeting 2013 Berlin, 04. - 05.11.2013 Werte- und prozessorientierte Risikoanalyse mit OCTAVE Christian Aust.consecco Dr. Christian Paulsen DFN-CERT Was Sie erwartet Vorstellung von OCTAVE:

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Wesentliche Änderungen Anwendung der High Level Structure 10 Kapitel Verstärkte Anforderungen an die oberste

Mehr

Technische Aspekte der ISO-27001

Technische Aspekte der ISO-27001 ISO/IEC 27001 - Aktuelles zur IT-Sicherheit Technische Aspekte der ISO-27001 Donnerstag, 19. September 2013, 14.00-18.30 Uhr Österreichische Computer Gesellschaft. 1010 Wien Überblick Norm Anhang A normativ

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

Leitlinien für Informationssicherheit. Düsseldorf, 12.11.2009

Leitlinien für Informationssicherheit. Düsseldorf, 12.11.2009 Leitlinien für Informationssicherheit Düsseldorf, 12.11.2009 Kurzer Überblick 47.000 Beschäftigte 50 Polizeibehörden 600 Standorte Einsatz Kriminalität Verkehr Verwaltung IT - Infrastruktur 30.000 PC 1.500

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

Chancen und Risiken bei der Implementierung eines Risikomanagementsystems

Chancen und Risiken bei der Implementierung eines Risikomanagementsystems Chancen und Risiken bei der Implementierung eines Risikomanagementsystems Samuel Brandstätter 23.09.2013 2013 avedos business solutions gmbh Seite 1 Agenda Ausgangssituationen Charakteristik von GRC Prozessen

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

IT-Sicherheit in der Energiewirtschaft

IT-Sicherheit in der Energiewirtschaft IT-Sicherheit in der Energiewirtschaft Sicherer und gesetzeskonformer IT-Systembetrieb Dr. Joachim Müller Ausgangssituation Sichere Energieversorgung ist Voraussetzung für das Funktionieren unseres Gemeinwesens

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Security Governance - Juli 2015 Agenda 1 2 3 Herausforderungen Unser Angebot Ihr Nutzen 2 Information Security Governance muss vielen Herausforderungen begegnen

Mehr

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

(IT-) Notfallmanagement. gemäß BSI-Standard 100-4. Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Kammer-Workshop 2014 (IT-) Notfallmanagement gemäß BSI-Standard 100-4 Vorschlag: Screenshot-Folie (auch unter den Masterfolien angelegt) Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH Agenda

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Zusammenfassung IT SEC + MAN

Zusammenfassung IT SEC + MAN Zusammenfassung IT SEC + MAN Zusammenfassung aus den Vorlesungen Sicherheitswahrnehmung Sicherheitsrelease Ausbreitung Funktionalität-Sicherheit Post-Incident-Verhalten (Das Verhalten nach dem Vorfall)

Mehr

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz AUTOMOTIVE INFOKOM VERKEHR & UMWELT LUFTFAHRT RAUMFAHRT VERTEIDIGUNG & SICHERHEIT International anerkannter Standard für IT-Sicherheit: ISO27001 - Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Mehr

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx 2012 1 1 Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik Helmut Gottschalk AeroEx 2012 1 Agenda Definitionen Assessments in der Aviatik Audits in der Aviatik Interne Audits im Risk Management

Mehr

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC 20000. Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg sverzeichnis Christian Wischki ITIL V2, ITIL V3 und ISO/IEC 20000 Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg ISBN: 978-3-446-41977-3 Weitere Informationen oder Bestellungen

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT

Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT Einführung eines ISMS an Hochschulen Praxisbericht: Informationssicherheitsmanagement am KIT STEINBUCH CENTRE FOR COMPUTING - SCC KIT University of the State of Baden-Wuerttemberg and National Research

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012

BYOD und ISO 27001. Sascha Todt. Bremen, 23.11.2012 BYOD und ISO 27001 Sascha Todt Bremen, 23.11.2012 Inhalt Definition BYOD Einige Zahlen zu BYOD ISO 27001 Fazit Planung & Konzeption Assets Bedrohungen/Risiken Maßahmen(ziele) BYOD Definition (Bring Your

Mehr

Informations-Sicherheit mit ISIS12

Informations-Sicherheit mit ISIS12 GPP Projekte gemeinsam zum Erfolg führen www.it-sicherheit-bayern.de Informations-Sicherheit mit ISIS12 GPP Service GmbH & Co. KG Kolpingring 18 a 82041 Oberhaching Tel.: +49 89 61304-1 Fax: +49 89 61304-294

Mehr

Zertifizierung IT-Sicherheitsbeauftragter

Zertifizierung IT-Sicherheitsbeauftragter Zertifizierung IT-Sicherheitsbeauftragter Prof. Jürgen Müller Agenda Begrüßung Gefährdungen und Risiken Sicherheitsanforderungen und Schutzbedarf Live-Hacking Rechtliche Aspekte der IT- Sicherheit Vorgaben

Mehr

IT Service Management und IT Sicherheit

IT Service Management und IT Sicherheit 5. FIT-ÖV V am 9.2. in Bochum IT Management und IT Sicherheit Volker Mengedoht krz Lemgo Logo IT- Management und IT-Sicherheit Agenda 1. Einführung - Definitionen 2. IT- Management (ITSM) und IT Infrastructure

Mehr

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* *DDDP = Do-Do-Do-Panic Mission und Vision Die CETUS Consulting GmbH

Mehr

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan

AGENDA. Einleitung. Warum IT-Notfallplanung. Was ist IT-Notfallplanung. Der IT-Notfallplan IT-Notfallplanung AGENDA Einleitung Warum IT-Notfallplanung Was ist IT-Notfallplanung Der IT-Notfallplan Es kommt nicht darauf an, die Zukunft zu wissen, sondern auf die Zukunft vorbereitet zu sein (Perikles)

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

IS-Revision in der Verwaltung

IS-Revision in der Verwaltung IS-Revision in der Verwaltung Dr. Gerhard Weck INFODAS GmbH, Köln 27. November 2009 Inhalt Nationaler Plan zur Sicherung der Informationsinfrastrukturen (NPSI) Umsetzungsplan KRITIS Umsetzungsplan Bund

Mehr

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015

IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 IT-NOTFALL ÜBEN MACHT STARK! PERSICON@night 15. Oktober 2015 Agenda 1. IT-Notfall üben macht stark! 2. Übungen im Kontext des Notfallmanagements 3. Praxisbeispiel einer Notfallübung 4. Erkenntnisse aus

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Sicherheitsaspekte der kommunalen Arbeit

Sicherheitsaspekte der kommunalen Arbeit Sicherheitsaspekte der kommunalen Arbeit Was ist machbar, finanzierbar, umzusetzen und unbedingt notwendig? Sicherheit in der Gemeinde Bei der Kommunikation zwischen Behörden oder zwischen Bürgerinnen,

Mehr

Zertifikatsstudiengang Certified Security Manager (CSM)

Zertifikatsstudiengang Certified Security Manager (CSM) Zertifikatsstudiengang Certified Security Manager (CSM) Mit Security Management sind Sie gut vorbereitet Das Thema Sicherheit im Unternehmen wird meist in verschiedene Bereiche, Unternehmenssicherheit,

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl

Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl Implementierung eines Business Continuity Management Systems ISACA Trend Talk 28.04.2016 - Bernhard Zacherl AGENDA Business Continuity Management System Regulatorische / gesetzliche Anforderungen Projektvorgehen

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant. 13. Januar 2011 ITIL V3 zwischen Anspruch und Realität Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO 20000 Consultant 13. Januar 2011 IT Service Management ISO 20000, ITIL, Process Modelling,

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

Dr. Andreas Gabriel Ethon GmbH 24.09.2015

Dr. Andreas Gabriel Ethon GmbH 24.09.2015 Wie meistern Sie nachhaltig die Kann Ihnen eine Zertifizierung ISO 27001 helfen? Dr. Andreas Gabriel Ethon GmbH KURZE VORSTELLUNG 2 Profil der Ethon GmbH; Ulm Über die Ethon GmbH Informationssicherheit

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. NetworkedAssets GmbH Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07. Dezember 2006 Rechtliche Aspekte Administration Gliederung Praktische

Mehr

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit

Elektronische Signatur praktischer Nutzen für Unternehmen. Grundlagen der Informationssicherheit Elektronische Signatur praktischer Nutzen für Unternehmen Grundlagen der Informationssicherheit Knut Haufe Studium der Wirtschaftsinformatik an der Technischen Universität Ilmenau Vom Bundesamt für Sicherheit

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Informationssicherheit - Last oder Nutzen für Industrie 4.0 Informationssicherheit - Last oder Nutzen für Industrie 4.0 Dr. Dina Bartels Automatica München, 4.Juni 2014 Industrie braucht Informationssicherheit - die Bedrohungen sind real und die Schäden signifikant

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Kochbuch für eine Business Impact Analyse. von bcm-news.de

Kochbuch für eine Business Impact Analyse. von bcm-news.de Kochbuch für eine Business Impact Analyse von bcm-news.de Phasen zur Durchführung einer Business Impact Analyse Scope und Konzeption Erhebung Analyse und Entscheidung Festlegung des Umfangs der BIA Konzeption

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Internes Kontrollsystem in der IT

Internes Kontrollsystem in der IT Internes Kontrollsystem in der IT SOA 404 und SAS 70 stellen neue Anforderungen an Qualität und Sicherheit der IT 2007 by Siemens AG. All rights reserved. Neue Sicherheitsanforderungen durch SOX ENRON,

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr