IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?"

Katarina Ritter
vor 5 Jahren
Abrufe

1 IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen? 1 1

Kritischen Infrastrukturen KRITIS Nachweiserbringung bzgl.

2 Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme Betroffen sind Unternehmen der sog. Kritischen Infrastrukturen KRITIS Nachweiserbringung bzgl. eines geeigneten Systems zur Informationssicherheit ca Unternehmen in Deutschland 2 2

3 Lieferanten 3 3

Europäische Datenschutz-Grundverordnung - EU-DSGVO vereinheitlicht EU-weit die Anforderungen für eine Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen Gilt

4 Europäische Datenschutz-Grundverordnung - EU-DSGVO vereinheitlicht EU-weit die Anforderungen für eine Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen Gilt unmittelbar in allen EU-Mitgliedstaaten ab dem 25. Mai 2018 verbindlich Es ist grundsätzlich nicht erlaubt, den von der Verordnung festgeschriebenen Datenschutz durch nationale Ergänzungsregelungen abzuschwächen Öffnungsklauseln, ermöglichen den Mitgliedstaaten, bestimmte Aspekte der Verordnung national weiterführend zu konkretisieren Alle Unternehmen in Deutschland! Die Anforderungen der EU-DSGVO entsprechen grundsätzlich den Vorgaben eines Informationssicherheits-Managementsystems gem. ISO 27001, bezogen auf personenbezogene Daten 4 4

5 Haftungsrisiken (1/2) Konkrete Verpflichtungen durch diverse nationale Rechtsvorschriften u.a. zur Gewährleistung eines angemessenen IT-Sicherheitsniveaus mit unmittelbaren Handlungs- und Haftungsverpflichtungen für Geschäftsführung bzw. Vorstand KonTraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Aktiengesetz: Vorstand haftet persönlich, wenn er Entwicklungen, die zukünftig ein Risiko für das Unternehmen darstellen könnten, nicht durch ein Risikomanagement überwacht und durch geeignete Maßnahmen vorbeugt 5 5

6 Haftungsrisiken (2/2) GmbH-Gesetz: Geschäftsführern einer GmbH wird die Sorgfalt eines ordentlichen Geschäftsmannes auferlegt Handelsgesetzbuch: verpflichtet Abschlussprüfer zu prüfen, ob die Risiken der künftigen Entwicklung zutreffend dargestellt sind 6 6

7 Die Norm ISO/IEC 27001:2013 spricht für sich selbst (1/2) Einführung eines Informationssicherheits-Managementsystems (ISMS) als strategische Entscheidung für eine Organisation Erstellung und Umsetzung eines ISMS innerhalb einer Organisation nach deren individuellen Anforderungen und Zielen als integraler Bestandteil der bestehenden Strukturen Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von unternehmensrelevanten Information unter Anwendung eines Risikomanagementprozesses 7 7

8 Die Norm ISO/IEC 27001:2013 spricht für sich selbst (2/2) Vertrauen für interessierte Parteien in eine angemessene Steuerung von Risiken international anerkannte Norm als Grundlage für interne und externe Parteien, die Fähigkeit einer Organisation zur Einhaltung ihrer eigenen Informationssicherheitsanforderungen zu beurteilen 8 8

9 Aufbau und Implementierung eines ISMS Ist immer ein Projekt mit unternehmensspezifischen Aufwand! Unternehmenspräsentation 9 9

10 Aufbau und Implementierung eines ISMS Wichtigste Aufwandsindikatoren: Größe Unternehmen Status Informationssicherheitsstruktur im Unternehmen Status vorhandene Dokumentation Qualifizierte Gap-Analyse hinsichtlich Anforderungskonformität als effiziente Vorgehensweise, um die tatsächlich erforderlichen Aufwände bereits im Vorfeld des eigentlichen Projektstartes zu identifizieren Grundlage für eine valide Planung der weiterführenden Aktivitäten und zur maximal ressourcenoptimierten Definition der tatsächlich erforderlichen Maßnahmen 10 10

11 Konformitätsprüfung gem. ISO/IEC 27001:2013 ISO/IEC 27001:2013 Anforderungskatalog ISO/IEC 27001:2013 Testat Konformitätsprüfung Optional: bei erfolgreicher Konformitätsprüfung Dokumentation Implizite Strukturen Strukturen Roadmap Qualifizierter Abschlussbericht grundsätzliche Normkonformität zum Prüfungszeitraum Handlungsfelder zur Verbesserung der Umsetzungsqualität Bewertung der Aufwände zum Erreichen der Zertifizierungsreife 11 11

12 Phasen einer ISMS-Einführung Initiating Planning Executing Closing Festlegung Geltungsbereich des ISMS Identifikation und Information der Verantwortlichen Benennung des designierten ISMS-Beauftragten 1. Bestandsaufnahme und Prüfung der vorhandenen Dokumentation 2. SOLL-/ IST-Darstellung 3. Analyse und Erstellung Blueprint 4. Aufbau des individuellen ISMS 5. Implementierung und Roll-Out 6. Vorbereitung der Zertifizierung Optional: 7. Begleitung der Zertifizierung (Defense) Projektdauer max. 1 / 2 Kalenderjahr 12 12

13 Aufbau und Implementierung eines ISMS Initiating Planning Festlegung des Geltungsbereichs des ISMS Vorgabe der Informationssicherheits-Leitlinie und der -Ziele Planen eines Informationssicherheits- Risikomanagements Schulungsbedarfe in der Organisation ermitteln 13 13

14 Aufbau und Implementierung eines ISMS Executing Integration der Anforderungen eines ISMS in die Prozesse der Organisation Planung und Steuerung der Umsetzung von Maßnahmen zum Umgang mit Risiken und Chancen Erstellen einer Erklärung zur Anwendung der erforderlichen Maßnahmen (SoA) aus Anhang A Bewusstseinsbildung bei den Mitarbeitern der Organisation herbeiführen Interne und externe Kommunikation zur Informationssicherheit durchführen Dokumentenmanagement durchführen Leistung des ISMS überwachen, messen, analysieren und auswerten Interne Audits managen und durchführen Überprüfung des ISMS durch die Leitung Fehlermanagement implementieren und Einhaltung überwachen Laufende Verbesserung implementieren und Umsetzung steuern 14 14

15 Aufbau und Implementierung eines ISMS Closing Zertifizierung des Informationssicherheits-Managementsystems durch eine akkreditierte Zertifizierungsstelle und damit internationale Akzeptanz der Bestätigung der Wirksamkeit des ISMS Zertifikat ISO

16 Bei uns ist Ihr Unternehmen in guten Händen 16 16

Ähnliche Dokumente

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

ConformityZert GmbH. Zertifizierungsprozess ISO 27001 ConformityZert GmbH Zertifizierungsprozess ISO 27001 ISO/IEC 27001 Ein ISO 27001 Zertifikat ist das offizielle Gütesiegel für Informationssicherheit. Kunden und Geschäftspartnern beweist es, dass im zertifizierten