IT EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe

Größe: px

Ab Seite anzeigen:

Download "IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe"

Gudrun Buchholz
vor 8 Jahren
Abrufe

1 IT EGGER ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe Michael Danzl, IT Security Officer, Fritz Egger GmbH und Co.OG

2 Inhalt Die EGGER Gruppe Die EGGER OrgIT Risikomanagement in der OrgIT ISMS und IKS Implementierung / Beispiele ISO Zertifizierung Fazit und Lessons Learned 2

3 Ziel des Vortrags Keine Erklärung der Normen und Anforderungen Hands-on : Basis und Hintergründe zur Zertifizierung nach ISO Übersicht des Information Security Management Systems (ISMS) bei EGGER anhand von Beispielen Erfahrungen bei EGGER 3

Zertifizierung nach ISO 27001 Übersicht des Information

4 Ein Familienunternehmen besonderer Prägung DIE EGGER GRUPPE 4

5 DIE EGGER GRUPPE Kurzüberblick Stammsitz in St. Johann in Tirol, Österreich 16 Werke in A, D, GB, FR, RU, RO, TR 21 Vertriebsbüros weltweit Beschäftigt rund Mitarbeiter Umsatz 2009/2010: Mio. Euro Starke Mitarbeiterorientierung 5

RO, TR 21 Vertriebsbüros weltweit Beschäftigt rund 6.

6 DIE EGGER GRUPPE Aus unserem Leitbild Mission und Vision Erstes EGGER Werk in St.Johann/Tirol

7 Abteilung für Organisation und Informationstechnik DIE EGGER ORGIT 7

8 Standardisierung und Zentralisierung der OrgIT 1 Interner Dienstleister für die EGGER Gruppe als Cost Center Virtuelle Organisation der ca. 100 Mitarbeiter: Support Mitarbeiter in AT, DE, GB, FR, RU, RO SAP Competence Center (SCC) mit ca. 25 internen Beratern (Stammdatenmanagement und hohes Prozesswissen in der IT) Eigene Mannschaft Rechenzentrum Organisatorische Zentralisierung der IT keine lokalen IT-Leiter, zentral verwaltetes IT-Budget zentrale Freigabe von Anwendungen und Hardware Fokus auf eigene Ressourcen, Externe nur für spezielle Projekte 8

25 internen Beratern (Stammdatenmanagement und hohes Prozesswissen in der IT) Eigene Mannschaft Rechenzentrum Organisatorische

9 Standardisierung und Zentralisierung der OrgIT 2 Komplette technische Zentralisierung der IT in St.Johann 1 Rechenzentrum, 1 SAP Mandant als führendes System Desktop Virtualisierung für 85% der Arbeitsplätze Produktionsnahe Subsysteme (Lagerverwaltung, Logistik, etc.), Netzwerk-Management, Druckmanagement, Asset Management, etc. zentralisiert und messbar Ressourcen damit homogen -> Hausaufgaben erledigt! 9

Arbeitsplätze Produktionsnahe Subsysteme (Lagerverwaltung, Logistik, etc.

10 Basis der IT-Sicherheit RISIKOMANAGEMENT 10

11 Business Impact Analyse 1. Wie wichtig sind die IT-Services für den jeweiligen Geschäftsbereich? 2. Je einfacher, desto besser für Fachbereiche verständlicher Ansatz: wie wirkt sich ein Ausfall eines (für den User wahrnehmbaren) IT-Services aus? Business Impact Analyse erfolgte im Rahmen der Notfallplanung für Endbenutzer IT intern: Jede Abweichung von 100% Verfügbarkeit ist zu diskutieren. 11

eines (für den User wahrnehmbaren) IT-Services aus?

12 Risikoidentifikation basierend auf mehreren Quellen 1. Abbilden der Abhängigkeiten in Fehlerbaum-Analyse mit für den IT-Service benötigter Hardware, Software und Prozessen 2. Brainstorming auf Basis der Grundschutz-Gefährdungen Key Player der OrgIT bewerten subjektiv sehr gute Ergebnisse 3... sowie aus dem internen Kontrollsystem: a) Externe Audits, b) Interne Audits, c) Web Penetration Tests, d) Lieferanten Risikomanagement, e) Tagesgeschäft, etc. 12

13 Risiko Bearbeitung / Maßnahmen / Reporting Risikomanagement als kontinuierlicher Prozess: 1. Hinweise auf Risiken aus unterschiedlichen Quellen werden zentral erfasst 2. Risiken werden mit Experten bewertet, priorisiert, Maßnahmen dazu abgeleitet 3. Risiko Reporting an die IT-Leitung 4. Freigabe der Maßnahmen oder Umwälzen der Risiken 5. Kontinuierliches Monitoring der Risiken und Updates (1 MA ca. 1,5 Tage pro Woche) 6. Kontinuierliches Nachverfolgen der Maßnahmen und deren Wirksamkeit 13

Risiken werden mit Experten bewertet, priorisiert, Maßnahmen dazu abgeleitet 3. Risiko Reporting an die IT-Leitung 4.

14 Nachhaltig besser werden: ISMS UND IKS IMPLEMENTIERUNG 14

15 Internes Kontrollsystem in der OrgIT IT-Governance, Service Management und Security Management werden als sehr ähnliche Themen wahrgenommen Struktur nach Cobit-Prozessen Master Framework (Wording und Ziele angepasst an Anforderungen) Alle Controls der ISO sind für uns relevant WICHTIG: Klare Priorisierung der Prozesse ermöglicht Bearbeitung und Konzentration auf das Wesentliche 15

(Wording und Ziele angepasst an Anforderungen) Alle Controls der ISO 27001 sind für uns relevant

16 TOP priorisierte Prozesse für die OrgIT (siehe Cobit) 1. IT Planung 2. IT Prozesse und IT Organisation 3. IT Personalwesen 4. IT Risk Management 5. Changemanagement 6. Continuity Management 7. Security Management 8. Incident Management 9. Beherrschung des physichen Umfelds 10.IT Governance sicherstellen 16

Changemanagement 6. Continuity Management 7. Security Management 8.

17 Internes Kontrollsystem (IKS) IKS für unterstützende Bereiche bei EGGER: HR, Kreditmanagement, Recht/Steuern, Controlling, Treasury und IT führen interne Audits in allen Ländern durch Speziell für die IT: Interne Audits auf Basis von Best Practices in allen Standorten Basierend auf den Controls der ISO Zentrales Reporting und Maßnahmendefinition 17

allen Ländern durch Speziell für die IT: Interne Audits auf Basis von Best Practices in

18 Review Aufbauorganisation Ablauforganisation Prozessspezifisch Inhalte / Prüffelder im Standard Audit Punkte aus dem letzten Audit, Defizite und Verbesserungspotenziale Organisationsstruktur Vertretungsregelungen Stellenbeschreibungen Schulungsbedarf Ist der Wertbeitrag zum Gesamterfolg von EGGER klar? Zieldefinitionen klar? Handbücher, Richtlinien und Anweisungen vorhanden, aktuell und kommuniziert? ISO Controls für den Standort Prüffelder und Detailfragen je Bereich individuell Soweit möglich ebenfalls standardisiert Freies Gespräch Standardisierter Audit Bericht Maßnahmen 18

von EGGER klar? Zieldefinitionen klar? Handbücher, Richtlinien und Anweisungen vorhanden, aktuell und kommuniziert?

19 Die Institutionalisierung ISO 27001: ISMS 19

20 Hintergrund der Zertifizierung Keine Zertifizierung gefordert von Vorstand oder Behörden (!) Gründe für die Zertifizierung: Verankern der Anforderungen in der Organisation Schaffen von Awareness intern: Projektmarketing IT Security Externe Unterstützung für Kontinuierliche Verbesserung der Leistung der OrgIT Schutz der Mitarbeiter durch den Nachweis, dass die Best Practices eingehalten werden 20

Awareness intern: Projektmarketing IT Security Externe Unterstützung für Kontinuierliche

21 Architektur des ISMS Strategisch ISMS Management verantwortlich CIO, ITSO ISMS Policy (langfristig) Standards (langfristig, Regelungen zu Themenbereichen, Basis für Audits) Operativ technisch orientiert verantw. Gruppenleiter SARGS (technische Anweisungen, Umsetzung der Standards, laufender Review) Technische Dokumentation (aktuell, von Experten gepflegt) 21

22 Beispiel: Change Management Pragmatische Richtlinie (2 Seiten): 4-Augen Prinzip, Lückenlose Dokumentation SAP: Transportsystem zwischen Entwicklung, Test und Produktivsystem Changes am Produktivsystem nur 1 Stunde pro Woche NON SAP inkl. DB, Server, Netzwerk, Desktop, Computing, etc.: Change Workflow lückenlos in SAP Solution Manager Definierte Ausnahmen: preauthorized changes Persönliche Verantwortlichkeit der System Owner inkl. Unterschrift 22

23 Mapping unterschiedlicher Frameworks / Dokumente Im Wissensmanagement der OrgIT erfolgt Mapping der unterschiedlichen Standards ALLE ISO Controls werden auf Cobit-Prozesse gemappt Zuweisen von Verantwortlichen Zuweisen von relevanten Richtlinien und Dokumenten Durch interne Audits werden ISO-Controls überprüft. Verständnis und Akzeptanz besser durch Mapping auf Prozesse 23

24 Prozesse inkl. Mapping / relevante Dokumente 24

25 Prozesse inkl. Mapping / relevante Controls 25

26 ISO 27000ff bei EGGER CONCLUSIO 26

27 ISO speziell bei EGGER ISO-Zertifizierung ist internes Zugpferd für IT-Sicherheit um laufend im Thema zu bleiben um kontinuierliche Bearbeitung und Weiterentwicklung sicherzustellen ermöglicht Transparenz für Risiken und Maßnahmen schafft klare Verantwortlichkeiten ISO Kontroll-Audits verpflichten alle Organisationsteile zu Kontinuität im Security Management Durch nachweisbare Sicherheit entsteht Freiraum für Innovation. 27

28 Danke. Für Fragen und Diskussionen:

Ähnliche Dokumente

EggiPedia Wissensmanagement in der EGGER IT

EggiPedia Wissensmanagement in der EGGER IT Ein Praxisbericht von Erich Ebbrecht, Projektbegleitung Egger IT Mag.(FH) Michael Danzl, Leitung IT Qualitätsmanagement und Prozessmanagement 1 Agenda EGGER