Information Security Management Systeme-ISMS Beispiele erfolgreicher Umsetzung

Transkript

1 IT-SA Information Security Management Systeme-ISMS Beispiele erfolgreicher Umsetzung Dr.-Ing. Stefan Rummenhöller r-tecgeschäftsführer IT Security GmbH r-tec 2016 IT Security GmbH 1.0

2 1 Es gibt nicht das ISMS Projekt! r-tec IT Security GmbH 2016

3 Es gibt nicht das ISMS Projekt! Je nach Branche, Anforderung und Motivation des Kunden sind die Ausprägung, Vorgehensweise und Dauer unterschiedlich. Vorgehen erfordert Flexibilität und Branchenkenntnis Nur bedingt standardisierbar Gute Kenntnisse in IT-Security-Technik und -Architektur r-tec IT Security GmbH

4 ISMS erfolgreich einführen Kleiner Auszug aus Projekten Beispiele Treiber Zertifizierung Energieversorger (Netzbetreiber, Kraftwerke) Gesetz Ja Holding Struktur Stadtwerke (Strom, Gas, Wasser, ÖVP) Gesetz + Management In Teilen Betreiber von zentral gemanagten IoT-Landschaften Markterschließung Ja Automotive mit/ohne Ergänzung VDA-Katalog Kundenforderung, Markt Ja Pharma, Chemie Information Security Management Markt, Visibility IT Security Nein Industrial IT (Produktion) Risikobetrachtung Nein r-tec IT Security GmbH

5 ISMS ist nicht nur ISO Branchenspezifische Anforderungen ISO definiert Anforderungen an das Informationssicherheits- Managementsystem (ISMS) und die umzusetzenden Kontrollziele ISO Konkretisierung des Anhangs A. Definiert Maßnahmen zur Umsetzung der Kontrollziele in den Bereichen Organisation, Prozesse, IT-Betrieb und (indirekt) Technik. ISO Leitlinien für ein systematisches und prozessorientiertes Risikomanagement, das die Anforderungen an das Risikomanagement nach ISO/IEC unterstützt. Branchenspezifische Normen ISO TK ISO Cloud ISO EVU ISO Health Weitere Anforderungen VDA-Katalog Cyber Security Check Versicherung r-tec IT Security GmbH

6 2 Erfolgreiches Vorgehen r-tec IT Security GmbH 2016

7 r-tec Reifegradmodell Unser Kompass! r-tec IT Security GmbH

8 Das passende ISM(S) r-tec Lösungen r-tec IT Security GmbH

9 Ergebnisse Aufgaben Schrittweise zum Ziel Das r-tec 5-Phasen-Modell ISO Phase 1: Initialisierung Workshop Leitlinie Geltungsbereich Rollen / Verantwortung Projektplan Phase 2: GAP-Analyse Dokumentensichtung Workshops Prozess-analyse Reifegrad Maßnahmenkatalog SOA ISO ISMS Light ISO Phase 3: Umsetzung Dokumenterstellung Etablierung normkonformer Unternehmensprozesse Umsetzung Maßnahmenkat. IT-Sicherheitshandbuch IT-Notfallhandbuch Berücksichtigung branchenspezifischer Subnormen und Anforderungen Phase 4: Managementprozesse 7 Module 1.Verankerung des ISMS im Unternehmen 2.KVP & PDCA 3.IT-Risikomanagement 4.Auditzyklen 5.Kennzahlen 6.Schulungen 7.Management- Review Phase 5: Übergang Betrieb Initialaudit Kennzahlenermittlung PDCA/ KVP Management Review Begleitung ISMS Board Vorbereitung Zertifizierung ISO Zertifizierung r-tec IT Security GmbH

10 3 Auszüge aus unserer täglichen Arbeit r-tec IT Security GmbH 2016

11 Beispiel GAP Analyse Ein kurzer Auszug r-tec IT Security GmbH

12 Beispiel GAP Analyse Ergebnis für Management r-tec IT Security GmbH

13 Beispiel GAP Analyse Branchen im Vergleich r-tec IT Security GmbH

14 Realistischer Zeitplan min Monate Optional: Gütesiegelung durch akkreditierten Zertifizierer Phase 1: Initialisierung Phase 2: GAP-Analyse Phase 3: Umsetzung ISO Zertifizierung Erfahrung mit: Phase 4: Managementprozesse Phase 5: Übergang Betrieb min Monate r-tec IT Security GmbH

15 Nutzung von Tools Risikoanalyse Dokumentationen Audits Assetverwaltung Security Incident/ Breach Handling r-tec IT Security GmbH

16 r-tec ISMS Toolbox Werden beschlussfähig im Projekt erstellt: Informationssicherheitsleitlinie ISMS-Scope Statement of Applicability Umfangreiche Muster (Blueprint): IT-Sicherheitshandbuch IT-Notfallhandbuch Risikomanagementrahmen Kennzahlenregister Vorlagen: IN-Register Klassifizierungsschema Kennzahlensteckbrief Managementreview Auditplan, Auditbericht zertifizierungsbewährt r-tec IT Security GmbH

17 4 Erfolgsfaktoren r-tec IT Security GmbH 2016

18 Erfolgsfaktoren Projekt Aktive Beteiligung der Geschäftsführung und Managementebenen Transparenz Bereitstellung erfahrener Mitarbeiter/innen für die GAP Analyse Einrichtung und Besetzung von Projektrollen (z.b. Projektleiter Kunde mit passenden Soft und Hard Skills) Termintreue r-tec IT Security GmbH

19 Erfolgsfaktoren Projekt Wo tun sich alle schwer? Ermittlung des Scope Definition der richtigen Kennzahlen (KPIs) Vollständiges / aktuelles Assetregister Klassifizierung von Informationen Organisatorischer Teil des Business Continuity Management Einführung neuer Prozesse (Change-/ Security Incident Management) r-tec IT Security GmbH

20 Warum r-tec? Knowhow/Erfahrung/Erfolge Wir setzen das ISMS so um, dass es gelebt werden kann und nicht nur auf dem Papier steht. Branchenerfahrung und nach ISO zertifizierte Kunden Aufbau ISMS in verschiedenen Sektoren mit und ohne Zertifizierungsziel 20 Jahre Erfahrung in IT-Sicherheit (Beratung, Analyse, Betrieb) Zertifiziert durch TÜV: ISO seit 2 Jahren ISO 9001 seit 16 Jahren KRITIS in 6 Bundesländern 15 laufende Projekte Aufbau gem Zertifizierung ISMS Kraftwerksbetreib Aufbau und Zertifizierung ISMS Produktion Nahrungsmitteln Aufbau ISMS Phase 1-3 Automotive/Pharma/Consumergoods Aufbau Information Security Management Maschinen- und Anlagenbau Aufbau und Betrieb ISM für Produktion r-tec IT Security GmbH

21 Willkommen in Sicherheit Gründung 1996 inhabergeführter Mittelständler Aufgabe Schutz vor Cyber Risiken und Aufbau geeigneter Sicherheitsstandards Spezialisiert auf IT-Sicherheit Beratung Analyse Services Für die Bereiche Office IT Cloud Industrial IT IoT Zertifiziert nach ISO ISO 9001 Über 200 Kunden aus allen Branchen r-tec IT Security GmbH 2016