Mit ISIS12 zur ISO/IEC 27001

Transkript

1 Nürnberg, Dipl. Inform. (Univ.) Thorsten Dombach Geschäftsführer mabunta, Ismaning mabunta 2013 Version: Seite 1

2 Herausforderungen ISO/IEC Einführung Die Herausforderungen sind vielfältig: Die Anerkennung/Bedeutung der IS durch die Geschäftsleitung ist absolut notwendig! Wie gestaltet man den Geltungsbereich? Bei der Projektplanung und -durchführung wird die Komplexität und der Bedarf interner Ressourcen unterschätzt. Die richtige Herangehensweise ist unklar Schwenk der Unternehmenskultur von organisatorisch zu prozessual mabunta 2013 Version: Seite 2

3 Herausforderungen ISO/IEC Einführung Die Folge: Zeitplanung läuft aus dem Ruder Budgets werden nicht eingehalten Interne Ressource stehen aufgrund von Fehlplanung nicht zur Verfügung Den Schwenk zur prozessualen Unternehmen lähmt den Projektfortschritt mabunta 2013 Version: Seite 3

4 Herausforderungen ISO/IEC Einführung Mit zur ISIS12 ISO/IEC mabunta 2013 Version: Seite 4

5 Vorteile Sie können folgende Vorteile nutzen: Klares, schrittweises Vorgehensmodell -> 12 Schritte Ermittlung der schützenswerten Anwendungen und deren Schutzbedarf - keine umfassende Risikoanalyse, keine Gefährdungsermittlung Ausformulierte Maßnahmen aber nicht zu umfangreich Unterstützung bei der Einführung von Service- Management-Prozesses -> Schritt zur prozessualen Organisation Bausteine und Maßnahmen ermöglichen eine einfache Strukturierung ohne den Umweg über Gefährdungen mabunta 2013 Version: Seite 5

6 Voraussetzungen für den Weg zur ISO/IEC Es sollte selbstverständlich sein und steht hier nur der Vollständigkeit halber: ISIS12 muss vollständig eingeführt sein, die Punkte und Maßnahmen müssen umgesetzt sein. -> Machen Sie sich jetzt Gedanken, ob etwas fehlt Die im Rahmen von ISIS12 eingeführte Informationssicherheit muss von allen in der Organisation, also von der GF bis zum Mitarbeiter gelebt und unterstützt werden. -> Kein Papiertiger mabunta 2013 Version: Seite 6

7 Zwei Wege ein Ziel Basis ISIS12: Delta ermitteln ein Projekt aufsetzten Umsetzten Basis ISO/IEC 27001: Eigenen Weg finden Anforderungen gegen ISIS12 prüfen Add-Ons einarbeiten bzw. weiter entwickeln Vertrautes Vorgehen vs. Punkte übersehen Alle Punkte erfasst vs. Sinnvolles Vorgehen mabunta 2013 Version: Seite 7

8 Lösung - ISIS12 als Hilfe DIE 12 SCHRITTE ALS PROJEKTPLAN ZUR MIGRATION Bietet eine gewohnte Struktur und ein gewohntes Umfeld Die Norm ISO/IEC als neuen Leitfaden, um die Deltas zu ermitteln Vertrautes Vorgehen UND Vereinfachte Einführung der neuen Punkte mabunta 2013 Version: Seite 8

9 Was fehlt organisatorisch? Folgende Aufgaben: Mehr Aufgaben und Verantwortlichkeiten für die GF Aktualisierter Schulungsplan mit Disziplinarverfahren und Kompetenzen für IS Dokumentierter Kontakt zu Behörden und anderen Stakeholdern IS muss ins Projektmanagement-Handbuch aufgenommen werden Konsequentere Funktionstrennung Kontinuitätsplanung Klassifizierung und Kennzeichnung von Informationen Behandlung von Sicherheitsvorfällen Inventar der Werte Prozess zur IS-Risikoeinschätzung Erstellung der Erklärung zur Anwendbarkeit (SoA) Restrisiken freigeben und dokumentieren Bei Änderungen Ad-Hoc Risikoeinschätzung Wirksamkeit und Kosten des ISMS auswerten Interne Audits mabunta 2013 Version: Seite 9

10 Mit ISIS12 zur ISO Welche Maßnahmen fehlen noch? Folgende Aufgaben: A.6.2.2: Telearbeit A.8.1.2: Zuständigkeit für Werte A.8.3.2: Handhabung von Werten A : Richtlinie zur Gebrauch von kryptographischen Maßnahmen A : Schlüsselverwaltung A : Sicherheit von Geräten, Betriebsmitteln und Werten außerhalb der Räumlichkeiten A : Uhrensynchronisation A : Trennung in Netzwerken A : Schutz der Transaktionen bei Anwendungsdiensten A : Beschränkung von Änderungen an Softwarepaketen A : Sichere Entwicklungsumgebung A : Testen der Systemsicherheit A : Verantwortlichkeiten und Verfahren A : Beurteilung von und Entscheidung über IS- Ereignisse A : Reaktion auf IS-Vorfälle A : Erkenntnisse aus IS-Vorfällen A : Sammeln von Beweismaterial A : Schutz von Aufzeichnungen mabunta 2013 Version: Seite 10

11 Herausforderungen ISO/IEC Einführung Die Herausforderungen sind gelöst: Die Anerkennung/Bedeutung der IS durch die Geschäftsleitung ist absolut notwendig! durch ISIS12 schon abgedeckt Wie gestaltet man den Geltungsbereich? aus Erfahrung mit ISIS12 Bei der Projektplanung und -durchführung wird die Komplexität und der Bedarf interner Ressourcen unterschätzt. Reduziert, da Teile schon vorhanden durch ISIS12 Die richtige Herangehensweise ist unklar Adaption der 12 Schritte Schwenk der Unternehmenskultur von organisatorisch zu prozessual schon durch ISIS12 passiert mabunta 2013 Version: Seite 11

12 mabunta Ihr Ansprechpartner mabunta GmbH Thorsten Dombach Gutenbergstr. 1 DE Ismaning Mail: thorsten.dombach@mabunta.de Tel Fax Besuchen Sie uns in Halle 9 Stand mabunta 2013 Version: Seite 12