ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

Transkript

1 ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

2 Kurze Vorstellung...sind Wegweiser für Ihre Informationssicherheit, geben Orientierung in komplexen Themen, geben einen 360 Blickwinkel auf Ihre Prozesse, navigieren Sie durch Normen und Standards Ralf Wildvang 1

3 Agenda Anforderungen an Informationssicherheit Was ist ISIS12? ISIS12 und die DS-GVO Zertifizierung Ihres ISMS gemäß ISIS12 Einführung von ISIS Ralf Wildvang 2

4 Anforderung an Informationssicherheit Steigende Komplexität der Informationstechnik Grad der Vernetzung Abhängigkeit von der IT Angriffe von innen und außen Kosten für IT Kundenanforderungen Servicequalität Vertragliche Anforderungen Rechtliche Vorgaben

5 Rechtliche Rahmenbedingungen Umfangreiche Gesetze, Vorschriften, Regelungen und Verpflichtungen geben Rahmenbedingungen vor IT-Sicherheitsgesetz BDSG sowie Landes-Datenschutzgesetze Europäische Datenschutz Grundverordnung EU-DSGVO Vertragliche Vorgaben durch Auftraggeber Versicherungs-Policen Branchenspezifische Vorgaben

6 Beispiel: Vertragliche Anforderungen X (1) Der Auftragnehmer verpflichtet sich ein ISMS zur Einhaltung der Vertraulichkeit, Integrität und Verfügbarkeit... (2) Der Auftragnehmer sichert zu risikoreduzierende Sicherheitsmaßnahmen im Unternehmen... (3) Bei Verstößen gegen (1) und (2) haftet der Auftragnehmer für... (4) Bei Nichteinhaltung kann seitens des Auftraggebers die vertragliche Grundlage entzogen werden, sofern... Zur Erfüllung vertraglicher Anforderungen braucht ein Unternehmen ein Datenschutz- und IT-Sicherheitskonzept!

7 Beispiel: Die DSGVO Art geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten Es drohen empfindliche Bußgelder Bußgeld von bis zu 2%/10 Mio. EUR bis 4%/20 Mio. EUR, bezogen auf den weltweit erzielten Jahresumsatz des Unternehmens, je nachdem welcher der Beträge höher ist. (Art. 83) Seit Mai 2018 braucht jedes Unternehmen ein Datenschutz- und IT-Sicherheitskonzept!

8 Zwischenfazit Technische / Organisatorische Maßnahmen stellen sich oft als große Herausforderung heraus! Ralf Wildvang 7

9 Standards für Informationssicherheit und Kommunen

10 Was ist ISIS12? ISIS12 - Informations-Sicherheitsmanagement-System in 12 Schritten Verständlich beschriebener 12-stufiger Prozess, der den Einstieg in die Informationssicherheit (ISMS) erleichtert ISMS wird mit IT-Service Management verknüpft Entwickelt für KMU, Kommunen und NGO Spezifischer ISIS12-Maßnahmensatz wird vorgegeben 12-stufiger Prozess als Workflow abgebildet Herausgeber: Bayerischer IT-Sicherheitscluster e.v. Aktuelle Version: 1.9 (Januar 2018)

11 Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12

12 Datenschutz trifft Informationssicherheit Architektur Erweiterung DS-GVO DS-GVO DS-GVO DS-GVO Initialisierungsphase Schritte 1-2 DS-GVO DS-GVO DS-GVO DS-GVO Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 DS-GVO DS-GVO

13 ISIS12 und die DSGVO Schritt DS-GVO - Konformität und Artikel Schritt1 Erweiterung der Sicherheitsleitlinie zur Datenschutzrichtlinie Schritt 2 Datengeheimnis und Schulung Mitarbeiter DSAnpUG-EU: 53 - Schritt 3 Datenschutzbeauftragter DS-GVO: Art. 37,38, DSAnpUG-EU: 5, 7, Schritt 4 Dokumentationspflicht DS-GVO: Art. 4, 5, 12, 13, 14, 15, Schritt 5 Datenschutzprozesse DSAnpUG-EU: 29, 34, DS-GVO: Art. 15, 16, 17, 18, 19, 20, 21, 22, 33, Schritt6 Verarbeitung personenbezogenerdaten in Anwendungen Schritt 7 Sicherheit der Verarbeitung DS-GVO: Art. 32 Schritt 12 Zertifizierung DS-GVO: Art. 42 DS-GVO: Art. 6, 7, 8, 9, 24, 28, 30, 32, 35, 44...

14 Unterstützung durch Software

15 Zertifizierung nach ISIS12 Möglichkeit zur Zertifizierung durch die DQS GmbH Zertifikatsgültigkeit von 3 Jahren, inkl. 2 Überwachungsaudits Auditierung durch zertifizierte ISIS12- Auditoren Unterstützung durch ISIS12-Dienstleister möglich

16 Vorteile / Nutzen - Informationssicherheit mit ISIS12? Kundenanforderungen Rechtliche Vorgaben Eigeninteresse öffentliche Kunden Zuverlässige Serviceleistungen sichere Infrastrukturen E-Business Entwicklungspartnerschaft Know-how Schutz Cloud Thematik Open-Government Schutz der Kundendaten IT-Sicherheitsgesetz(IT-SiG) Risk Management z.b. KontraG Datenschutz BDSG Haftungsfragen Regulierung / Corp. Governance (z. B. SOX, Basel III) Compliance (regulatorische z.b. BNetzA) EU-Datenschutzgrundverordnung (EU- DSGVO) Schutz von Informationen und Wissen Schutz der Infrastrukturen Image in der Öffentlichkeit Cloud Thematik und Cloud-Lizenzmodelle Chancen und auch Herausforderungen der Digitalisierung Attraktivität des Arbeitgebers Moderne Arbeitsplatzgestaltungen Gefährdungslage Haftungsfragen

17 Vorteile / Nutzen - Zusammenfassung Vorteile eines ISMS mit ISIS12

18 Einführung von ISIS12 Unterstützung / Coaching durch zertifizierte Berater Hilfestellung Hilfe zur Selbsthilfe durch vordefinierte Arbeitspakete Optimierter Zeitansatz des Projektes Optimierung von Projektkosten Strukturierte Vorgehensweise Vollständige Projektdokumentation Ralf Wildvang 17

19 Abschluss Vielen Dank für die Aufmerksamkeit Ralf Wildvang 18

20 Kontaktinformationen Ralf Wildvang ISO Security Officer (TÜV Süd) ISO Auditor (ICO-Cert) Lizensierter / zertifizierter ISIS12 Berater (ICO-Cert) Sempacon GmbH & Co. KG Kerschensteinerweg Hilden Telefon: Mail: r.wildvang@sempacon.de Ralf Wildvang 19