ITIL UND ISO Erfolgreich integriert umsetzen und zertifizieren

Größe: px

Ab Seite anzeigen:

Download "ITIL UND ISO 27001. Erfolgreich integriert umsetzen und zertifizieren"

Damian Lange
vor 8 Jahren
Abrufe

1 ITIL UND ISO Erfolgreich integriert umsetzen und zertifizieren

2 Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration (MBA) Mitautor BSI IT-Grundschutzhandbuch bzw. BSI IT-Grundschutzkataloge Zertifizierter Auditor für ISO der Basis von IT-Grundschutz (BSI) Zertifizierter IS-Revisions-und IS-Beratungsexperte (BSI IS-Revisor) ITIL Expert (APMG) Lehrtätigkeiten: Fachhochschule Brandenburg Duale Hochschule Baden-Württemberg Hochschule für Wirtschaft und Recht Berlin 2

BSI IT-Grundschutzkataloge Zertifizierter Auditor für ISO 27001 der Basis von IT-Grundschutz (BSI) Zertifizierter

3 PERSICON Spezialistfür Beratung und Zertifizierung sowie Schulung im Bereich IT-Sicherheit, Notfallwesen und Datenschutz Neutralität und Unabhängigkeit aufgrund nicht vorhandenem Lösungs-und Umsetzungsgeschäft Gegründet: Mitarbeiter Hauptsitz: Friedrichstraße 100, Berlin, weitere Büros in Düsseldorf und Kiel 3

aufgrund nicht vorhandenem Lösungs-und Umsetzungsgeschäft Gegründet: 2003 50

Alleinstellungsmerkmale (Auszug) Akkreditierte Zertifizierungsstelle für ISO 27001 & ISO 20.

Zertifizierte Prüfstelle für PCI DSS (Payment) Ausbilder der BSI -Auditoren ISO 9001-zertifiziertes

4 Alleinstellungsmerkmale (Auszug) Akkreditierte Zertifizierungsstelle für ISO & ISO Mitautor BSI IT-Grundschutz Sachverständige Prüfstelle für Datenschutz und IT- Sicherheit (ULD) Zertifizierte Prüfstelle für PCI DSS (Payment) Ausbilder der BSI -Auditoren ISO 9001-zertifiziertes Qualitätsmanagement Zertifizierter IT- Sicherheitsdienstleister des Bundes Rechtskonformität und Vertrauensschutz durch Einsatz von Berufsträgern 4

5 Referenzen (Auszug) Bundesministerium der Finanzen Bundesministerium des Inneren Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben Wasser-und Schifffahrtsverwaltung des Bundes Deutsche Post, Deutsche Telekom HOCHTIEF, Pfizer E.ON, RWE, EnBW Bertelsmann, arvato Rolls Royce, MAN Nutzfahrzeuge VHV Versicherung/Talanx Microsoft, IBM, Nokia, Sennheiser PERSICON unterstützt das BSI seit Jahren konstant bei der Weiterentwicklung von Sicherheitsstandards: Strategiekonzept für die Weiterentwicklung der IT-Sicherheitsprodukte des BSI Erstellung des Bausteins Windows Server 2003 für die BSI IT-Grundschutz-Kataloge, Ausbildung der BSI-Auditoren (Auditteamleiter für ISO Audits auf der Basis von IT-Grundschutz" und IS- Revisoren) Erstellung des Bausteins Client unter Windows 7 für die BSI IT-Grundschutz- Kataloge 5

ON, RWE, EnBW Bertelsmann, arvato Rolls Royce, MAN Nutzfahrzeuge VHV Versicherung/Talanx Microsoft, IBM, Nokia, Sennheiser PERSICON unterstützt das BSI seit Jahren konstant bei der Weiterentwicklung

6 Grundlagen Integriertes Managementsystem 6

7 Managementsystemansatz Managementsystem (MS) Gesamtheit alle organisatorischen, technischen und personellen Regelungen, Maßnahmen, Prozesse, Kapazitäten und Fähigkeiten einer Organisation um Ziele zu definieren und zu erreichen. Der Zielerreichungsgrad ist fortlaufend zu messen dient als Ausgangsbasis die kontinuierliche Weiterentwicklung und Verbesserung des Managementsystems. Management beinhaltet unter anderem Strategie, Führung und Wahrnehmung einer Vorbildfunktion Integriertes Managementsystem (IMS) Methoden und Instrumente zur Einhaltung von Anforderungen aus verschiedenen Bereichen in einer einheitlichen Struktur zusammen, die der Corporate Governance dienen. Durch Nutzung von Synergien und die Bündelung von Ressourcen ist im Vergleich zu einzelnen, isolierten Managementsystemen ein schlankeres, effizienteres Management möglich. 7

Management beinhaltet unter anderem Strategie, Führung und Wahrnehmung einer Vorbildfunktion Integriertes Managementsystem (IMS) Methoden und Instrumente zur Einhaltung von Anforderungen aus

8 Ansätze zur Implementierung eines IMS Revolutionärer Ansatz Von alten Strukturen unabhängige Neueinführung ( auf dem Reißbrett geplant) Ersatz für alle bestehenden Einzelsysteme. Vorteil: höhere Effizienz und radikale Auflösung von unnötigen Verwaltungs-und Entscheidungsstrukturen Revolutionärerer Ansatz Ausgehend von einem bestehenden Managementsystem aus (häufig das Qualitätsmanagement) werden die anderen (neuen) Systeme hineinintegriert Vorteil: politisch durchsetzbarer 8

Vorteil: höhere Effizienz und radikale Auflösung von unnötigen Verwaltungs-und Entscheidungsstrukturen Revolutionärerer

9 Prozesse im Rahmen eines Managementsystems (Auszug) Lenkung von Vorgabe- und Nachweisdokumenten ( Dokumentenlenkung ) Durchführung interner Audits Managementbewertung Änderungsmanagement ( Change Management ) Anforderungsmanagement ( Requirement Management ) Risikomanagement Kontinuierlicher Verbesserungsprozess (KVP) 9

Managementbewertung Änderungsmanagement ( Change Management )

10 Managementsysteme (Beispiele) System Ziel Beispiele Service Management Kunden-und Serviceorientierungvon Dienstleistungsprozessen RiskManagement Information Security Management Compliance Management Es werden nachweisbar (nur) akzeptable Risiken eingegangen. Informationenwerden angemessen vor dem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit geschützt. AngemesseneEinhaltung von gesetzlichen, zivilrechtlichen und sonstigen (auch internen) Anforderungen. ITIL ISO ISO NIST SP ONR ISO BSI IT-Grundschutz Datenschutzbaustein aus dem BSI IT- Grundschutz Zur Integration der verschiedenen Best Practice kann das Rahmenwerk COBIT dienen. 10

Informationenwerden angemessen vor dem Verlust von Vertraulichkeit, Integrität und Verfügbarkeit geschützt.

11 PDCA-Modell Planung und Konzeption ( Plan ) Optimierung, Verbesserung ( Act ) Umsetzung, Anwendung und Betrieb ( Do ) Erfolgskontrolle, Überwachung der Zielerreichung ( Check ) Lebenszyklus nach William Edwards Deming Quelle: BSI

) Erfolgskontrolle, Überwachung der Zielerreichung ( Check

12 Informationssicherheitsmanagementsystem(ISMS) ISO

13 ISO 2700x Set von Erfolgsmethoden und Standards für Informationssicherheitsmanagement (ISMS) Historie: BS7799, ISO ISO (2005) Kernelement ist die Risikoanalyse (ISO 27005) Zertifizierungsfähig (ISO 27001) Annex A: Maßnahmen direkt aus ISO übernommen ( shall statt should ) Maßnahmen sind nicht erschöpfend, andere, zusätzliche Maßnahmenziele und Maßnahmen sollen hinzugefügt werden 13 IT-Servicemanagement & ITIL "Best Practice"

A: Maßnahmen direkt aus ISO 27002 übernommen ( shall statt should ) Maßnahmen sind nicht erschöpfend, andere,

14 Zusammenhang zwischen ISO und ISO Identität der Gliederungspunkte von ISO/IEC mit Anhang A der ISO/IEC ISO/IEC detailliert die Anlage A der ISO/IEC 27001, ist aber kein normativer Standard! 14

der ISO/IEC 27001 ISO/IEC 27002 detailliert die Anlage

15 ISMS Maßnahmen Sicherheitspolitik Organisation der Informationssicherheit Personalsicherheit Management von Werten Zugangskontrolle ISO Leitfaden für Informationssicherheitsmanagement Ein Best Practice Katalog Vorschläge für Maßnahmen Nicht für Zertifizierung geeignet Kryptographie Physische und umgebungsbezogene Sicherheit Betriebssicherheit Kommunikationssicherheit Beschaffung, Entwicklung und Wartung von Informationssystemen Lieferanten-Beziehungen Management von Informationssicherheitsvorfällen Business Continuity Management Einhaltung der Verpflichtungen 15

Kryptographie Physische und umgebungsbezogene Sicherheit Betriebssicherheit Kommunikationssicherheit Beschaffung, Entwicklung und Wartung von

16 BSI IT-Grundschutz Nationaler Standard für Informationssicherheitsmanagement mit weitgehender Kompatibilität zur internationalen Norm ISO Herausgeber ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) Kontrollziele: Verfügbarkeit Integrität Vertraulichkeit Zertifizierungsfähig, Zertifizierungsstelle ist das BSI 16

Bundesamt für Sicherheit in der Informationstechnik (BSI) Kontrollziele:

17 Ablauf gemäß BSI Strukturanalyse Schutzbedarfsfeststellung Modellierung und Basis-Sicherheitscheck Maßnahmenplanung und Umsetzung Nachteile des Wasserfallmodells: Geringe Flexibilität Lange Durchlaufzeit Qualitätsproblem: Spätere Veränderungen an der Struktur werden nicht adressiert Ergänzende Sicherheitsanalyse und Maßnahmenumsetzung Audit 17

Geringe Flexibilität Lange Durchlaufzeit Qualitätsproblem: Spätere Veränderungen an

18 Alternativer Ansatz ( IT-Grundschutz 3.0 ) Dokumentations- und Änderungswesen (informiert permanent über relevante technische und organisatorische Änderungen am Betrachtungsgegenstand) Start Schulung, IT-SiBE, Def. IV ( ) A0-Dokumente & Maßnahmen Schicht 1 Modellierung und Basis- Sicherheitscheck Maßnahmenplanung und Umsetzung Schutzbedarfsfeststellung, Sicherheits-& Risikoanalyse Audit Implementierungund fortlaufende Weiterentwicklungübergreifender Basisprozesse (Beispiele: Lieferantensteuerung, interne Audits, Dokumentenlenkung, Meldewesen, Berechtigungswesen und Anforderungsmanagement ) 18

19 Servicemanagementsystem (SMS) ITIL und ISO

20 Die (IT) Infrastructure Library (ITIL ) De-facto-Standard für das (IT-) Servicemanagement Büchersammlung ( Library ) Erfolgsmethode bzw. Best Practice für (IT-) Servicemanagement Herausgeber: Office of Government Commerce (OGC) Cabinet Office Historie: 1992 und 1998 Version bis 2003 Version 2 1. Juni 2007 Version Version 3.1 ( ITIL 2011 Edition ) Welche ITIL-Version ist besser? Version 2 ist weniger komplex und wesentlich verständlicher als Version 3 es ist daher sinnvoll sich an Version 2 zu orientieren und ggf. um selektiv ausgewählte Elemente der Version 3 zu ergänzen. Hinweis: Der internationale Standard zum (IT-) Servicemanagement ist die ISO 20000, ehemals BS (ISO enthält die Anforderungen und ISO ist Code of Practice ) 20 IT-Servicemanagement & ITIL "Best Practice"

Juni 2007 Version 3 2011 Version 3.1 ( ITIL 2011 Edition ) Welche ITIL-Version ist besser?

21 Der Lebenszyklus eines Services abgebildet in der Buchstruktur von ITIL v3 21

22 Darstellung SMS gemäß ISO

23 Vereinfachtes Prozessmodell zu ITIL IT-Service-Bezieher IT-Dienstleister Kunde Service Level Management Capacity, Availability, Continuity, Security Management Financial Management Taktische Ebene Operative Ebene Change Management Anwender Incident Management Problem Management Release Management Configuration Management (Informationslieferant für alle Prozesse) 23

24 ISO und ISO Synergien (1) 24

25 ISO und ISO Synergien (2) 25

26 Mapping der Anforderungen 26

27 Empfehlungen 1. Managementverantwortung übernehmen und leben [nicht nur pro-forma] 2. Organisationsübergreifende integrierte Vorgaben [keine Parallelvorgaben] 3. Betriebs- und Prozessorientierung [statt Projektfokus] 4. Parallelisierung der Aufgaben [statt Wasserfallmodell] 5. Auskunfts- und Änderungsfähigkeit sicherstellen [statt ereignisgesteuerte IT- Aufnahme] 6. Synergieeffekte zu Managementsystemen nutzen [keine Parallelsysteme] 7. Aktive Einbindung der Fachbereiche inkl. Aufgabendelegation 8. Reife des Betriebs konstant dort erhöhen wo (aus Risiko-oder Wirtschaftlichkeitsbetrachtung) sinnvoll 27

28 Vielen Dank für Ihre Aufmerksamkeit Friedrichstraße Berlin Tel: +49 (30)

Ähnliche Dokumente

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE Alternative Ansätze im Sicherheitsmanagement Knud Brandis Studium Rechtswissenschaft an der Universität Potsdam Master of Business Administration