Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Größe: px

Ab Seite anzeigen:

Download "Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom"

Roland Schäfer
vor 8 Jahren
Abrufe

1 Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

2 Ziel Einführung eines angemessenen, auf Ihre Unternehmung angepassten Datenschutzes Verhinderung von Verlust der Geschäftsdaten Verfügbarkeitsanforderungen bei einem allfälligen Systemausfall Falls noch nicht vorhanden: Pflichtenheft für IT Verantwortliche bzw. Zuständige Erstellen eines Benutzerreglements Erstellen eines Notfallplanes Zyklische Kontrolle der Massnahmen

allfälligen Systemausfall Falls noch nicht vorhanden: Pflichtenheft für IT Verantwortliche bzw.

3 IT Security als Managementaufgabe Wer als Geschäftsleiter ungenügende Vorkehrungen zum Schutz seiner Computersysteme trifft, handelt fahrlässig und muss allenfalls sogar mit Strafverfolgung rechnen. (Quelle: InfoSurance Mehr Informationssicherheit für KMU ) Kenntnis der gesetzlichen Erfordernisse Thematisierung der Informationssicherheit bei Sitzungen

allenfalls sogar mit Strafverfolgung rechnen.

4 Security als Vertrauensfrage CISA ist das einzig, weltweit anerkannte Zertifikat im Bereich der Revision, Kontrolle und Sicherheit von Informationssystemen. Der Beruf des CISA untersteht einem Ehrenkodex, welcher u.a. die laufende Weiterbildung und die Bewahrung von Verschwiegenheit und Vertraulichkeit fordert. Eine Nichtbefolgung des Berufsehrenkodex kann zu Ermittlungen und zu Disziplinarmassnahmen gegen den Inhaber des CISA-Titels führen. ISACA-Mitglied (Information Systems Audit and Control Association)

Eine Nichtbefolgung des Berufsehrenkodex kann zu Ermittlungen und zu Disziplinarmassnahmen gegen den Inhaber des CISA-Titels führen.

5 Umfang der Informationssicherheit DSG Firewall Passwörter Schutz der Daten gegen Verlust und unerlaubtem Zugriff IT Richtlinie Wartung SW Backup Antivirus

6 Abdeckung der Bedürfnisse Ausarbeitung eines Notfallplans bzw. Notfallhandbuches Einhaltung der gesetzlichen Richtlinien Schutz der Daten vor Verlust und Zerstörung Überprüfung der Vertraulichkeit Zugriffsschutz Bauliche Massnahmen Feuer- und Wasserschutz Notfall Gesetze Richtlinien Verfügbarkeit Vertraulichkeit Authentizität Logischer Schutz Physikalischer Schutz

Zerstörung Überprüfung der Vertraulichkeit Zugriffsschutz Bauliche Massnahmen Feuer- und

7 Unsere Stärken Sach- und Fachkompetenz Strukturiertes Vorgehen nach international anerkannten Standards und unter Einbezug des Datenschutzgesetzes, angepasst auf Ihre Bedürfnisse System- und Lieferantenunabhängigkeit (wir sind neutral) Dank laufender Ausbildung immer up to date August

Datenschutzgesetzes, angepasst auf Ihre Bedürfnisse System- und

8 Mögliches Szenario Erstellung einer Risikoanalyse Überprüfung der Systeme auf mögliche Schwachstellen Ausarbeitung der möglichen Schadens-Szenarien Festlegen der Security Strategie (vereinbart mit der Geschäftsleitung) Umsetzung der Massnahmen Periodische Kontrolle der Informationssicherheit August

der Security Strategie (vereinbart mit der Geschäftsleitung) Umsetzung der

9 Hauptvorteile Sensibilisierung der MitarbeiterInnen. Die MitarbeiterInnen wissen, wie sie die Informationsmittel einsetzen dürfen. Klare Aufgaben für den IT Verantwortlichen bzw. Zuständigen. Angemessene, auf Ihre Bedürfnisse angepasste Informationssicherheit nach internationalen Standards August

Klare Aufgaben für den IT Verantwortlichen bzw. Zuständigen.

10 Begriffsdefinitionen Vertraulichkeit Vertraulichkeit betrifft den Schutz von sensitiven Informationen vor unberechtigter Kenntnisnahme (Veröffentlichung) Verfügbarkeit: Verfügbarkeit bezieht sich darauf, dass Informationen dann verfügbar sind, wenn sie durch den Geschäftsprozess benötigt werden (aktuell und in der Zukunft). Integrität: Integrität steht im Zusammenhang mit der Richtigkeit und Vollständigkeit von Informationen sowie ihrer Übereinstimmung mit betriebswirtschaftlichen Werten und Erwartungen. Nachvollziehbarkeit/Nachprüfbarkeit: Die in einem Informationssystem (IS) verarbeiteten Informationen und die dadurch getätigten Vorgänge sind kontrollier- und prüfbar. Authentizität: Authentizität ist der Schutz vor falscher Zurechnung von Aktionen/Daten oder auch die Identifikation der Identität von Benutzern. Authentisierung ist der Nachweis der Behauptung über die Identität eines Benutzers. Informationssicherheit: Viele Definitionen beschreiben die Sicherheit als Schutz der Vertraulichkeit, Verfügbarkeit und Integrität. Andere ergänzen diese mit Nachvollziehbarkeit resp. Nachprüfbarkeit (auch Verbindlichkeit genannt). Die Kombination dieser vier Faktoren gilt als klassische Definition der Informatiksicherheit oder Kurz Authentizität. Katastrophe: Eine Katastrophe ist das Eintreten eines Vorfalls der nicht durch eine andere Massnahme verhindert werden konnte. Daraus entsteht meistens ein Materieller oder/und auch ein personeller Schaden. Sicherheitsvorfall: Ist ein Zwischenfall, bei dem unberechtigter Zugriff auf Daten und/oder Services verschafft wurde oder diese beeinträchtigt, gestohlen, verändert oder zerstört wurden. Dies kann durch interne oder externe Personen geschehen sein.

Integrität: Integrität steht im Zusammenhang mit der Richtigkeit und Vollständigkeit von Informationen sowie ihrer Übereinstimmung mit betriebswirtschaftlichen Werten und Erwartungen.

Ähnliche Dokumente

Sichere E-Mail Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere E-Mail. der

Sichere E-Mail Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere E-Mail. der Sichere E-Mail der Nutzung von Zertifikaten / Schlüsseln zur sicheren Kommunikation per E-Mail mit der Sparkasse Germersheim-Kandel Inhalt: 1. Voraussetzungen... 2 2. Registrierungsprozess... 2 3. Empfang