Service-Provider unter Compliance-Druck

Größe: px

Ab Seite anzeigen:

Download "Service-Provider unter Compliance-Druck"

Gisela Maurer
vor 7 Jahren
Abrufe

1 Service-Provider unter -Druck Informationssicherheit und Interne Kontrollsysteme nach PS 951 ITS-Breakfast , Bochum Referentin: Kirsten Messer-Schmidt

2 Erhöhte Nachweispflicht 2 Service Provider sehen sich mit einer wachsenden Menge von teilweise komplexen - Anforderungen konfrontiert. Aufwand und Kosten für die Umsetzung der Anforderungen und die Erbringung von Nachweisen steigen.

3 Unübersichtlichkeit 3 Gesetze, Verträge oder Standards legen unterschiedliche Schwerpunkte Gefahr: Entstehung diffuser, z.t. widersprüchlicher, schwer wartbarer Kontroll-Landschaften ohne nachvollziehbaren Nutzen für das Unternehmen

4 Treiber 4 Die Treiber für -Anforderungen kommen aus unterschiedlichen Quellen: Gesetze Dienstleistungsunternehmen Branchenstandards Kunden Partner Wettbewerb Interner Steuerungsbedarf

5 -Verständnis 5 Unter ist die Einhaltung von Regeln zu verstehen (gesetzliche Bestimmungen und unternehmensinterne Richtlinien). IDW PS 980 ist die nachweisliche Konformität von Unternehmen oder Unternehmensteilen mit Gesetzen, (branchenspezifischen) regulatorischen Vorgaben, internen oder externen Standards. Die Einhaltung von -Vorgaben liegt in der Verantwortung der Unternehmensführung, Aufsichtsräte und Vorstände. ist keine Einmalaufgabe, sondern kontinuierlich sicherzustellen.

6 Hintergrund 6 Auslagerungskette: Der Auftraggeber bleibt für die ausgelagerte Dienstleistung verantwortlich. RZ-Betrieb Unternehmen A SW-Entwicklung Spediteur 1 lagert aus Transport Spediteur 2 Um Sicherheit über die zuverlässige Erbringung der Dienstleistung zu gewinnen, kann das auslagernde Unternehmen z. B. Nachweise externer Stellen fordern, den Dienstleister selbst auditieren.

7 Sicherheitsstandards 7 Anerkannte Standards im Umfeld der Informationssicherheit sind z. B. ISO 27001:2013 IT-Grundschutz PCI DSS VdS-Richtlinie 3473 Der IDW PS 951 ist kein Standard für Informationssicherheit. Er hat jedoch häufig hohe Überschneidungen bezogen auf die erforderlichen Kontrollen.

8 ISO/IEC 27001: International anerkannter Standard zum Management von Informationssicherheit beschreibt generische Anforderungen für den Aufbau, den Betrieb, die Überwachung, die Aufrechterhaltung und die Verbesserung eines ISMS. beschreibt, welche Kontrollaktivitäten (Controls) für die Gewährleitung von Informationssicherheit vorhanden sein müssen. Mit Hilfe angemessener Kontrollmechanismen sollen die Risiken für die Informationssicherheit im Sinne der gesetzten Ziele reduziert werden.

Aufbau eines ISMS 9 Von der Sicherheitspolitik zur Umsetzung Sicherheitspolitik Informationssicherheitsziele und Scope des ISMS, ggf. Einbettung in andere Mgt.

9 Aufbau eines ISMS 9 Von der Sicherheitspolitik zur Umsetzung Sicherheitspolitik Informationssicherheitsziele und Scope des ISMS, ggf. Einbettung in andere Mgt.Systeme im Unternehmen Sicherheitsorganisation Strukturen, Prozesse, Rollen, Regeln, Anweisungen etc. Sicherheitskonzeption Schutzbedarf, Schwachstellen, etc. Risikoanalyse, Maßnahmen organisatorische u. technische Umsetzung Implementierung Controls von

10 ISO Eigenschaften 10 Gültigkeit der Norm international Betrachtungsrahmen definierbar Gegenstand der Zertifizierung Managementsystem Gültigkeit des Zertifikats 3 Jahre (jährliche Überwachungsaudits) Prüfung durch Zertifizierer Nachweis Zertifikat Grundwerte der Informationssicherheit sind: Vertraulichkeit, Integrität und Verfügbarkeit.

11 IDW PS 951 n.f. 11 Deutscher Prüfungsstandard zur Prüfung eines internen Kontrollsystems bei Dienstleistungsunternehmen für ausgelagerte Funktionen Internes Kontrollsystem Gesamtheit der vom Management im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen), die dazu dienen, - einen ordnungsgemäßen Ablauf des unternehmerischen Handelns bzw. der Leistungserbringung sicherzustellen - Risiken sowohl für die Kunden als auch das Unternehmen auf ein angemessenes Niveau zu reduzieren Dienstleistungsbezogenes IKS betrifft nur die Regelungen, die mit der Erbringung einer Dienstleistung im Zusammenhang stehen. Auszug IDW PS 951 n.f.

12 Abdeckungsbereiche 12 Unterschiedliche Abdeckungsbereiche und Perspektiven (beispielhaft) ISMS-Scope Scope dienstleistungsbezogenes IKS

13 Risikobasierter Ansatz 13 Ausgangsbasis für den Konzeption und Aufbau des IKS ist die Ermittlung von Kriterien: Kriterien können sein: gesetzliche und sonstige regulatorische Kriterien z. B. BDSG, MaRisk, Grundsätze ordnungsmäßiger Buchführung themen-, branchen- und industriespezifische Kriterien ISO- und DIN-Normen, COSO oder COBIT vom Dienstleister selbst entwickelte Kriterien, einschließlich vertraglicher Kriterien

14 IKS-Komponenten 14 Kontrollziele Beispiel beschreiben das Ziel der vom Dienstleistungsunternehmen definierten Kontrollen, um Risiken zu begegnen. Kontrollaktivitäten Beispiel alle Maßnahmen, die darauf abzielen, mögliche Fehler, schon vor der Entstehung zu verhindern und bereits aufgetretene Fehler aufzudecken und zu korrigieren.

15 Gegenüberstellung 15 ISO 27001:2013 IDW PS 951 n.f. Gültigkeit international national Betrachtungsrahmen Gegenstand der Zertifizierung Gültigkeit des Prüfungsergebnis definierbar Dienstleistung Managementsystem Internes Kontrollsystem 3 Jahre 1 Jahr Prüfung durch Zertifizierer Wirtschaftsprüfer Nachweis Zertifikat Testat Typ 1 und Typ 2

16 In Fahrt bleiben 16 Die Umsetzung der -Pflichten bindet Ressourcen und verursacht Kosten, die Einfluss auf Ihr Tagesgeschäft haben können. aber: Vertraglich vereinbarte oder gesetzliche - Vorgaben können bei Nicht-Einhaltung Strafzahlungen nach sich ziehen.

17 Tipps 17 Prüfen Sie die vertraglichen Anforderungen. Kalkulieren Sie Kosten und Aufwände für die Erbringung von Nachweisen. Realisieren Sie pragmatische Lösungen mit praktischem Nutzen für Ihr Unternehmen. Vermeiden Sie parallele Steuerungs- und Kontrollstrukturen. Wählen Sie die für Ihr Unternehmen passende Flughöhe.

Danke! 18 excepture Kirsten Messer-Schmidt Managing Director / Senior Consultant mit den Schwerpunkten: Governance, Risk,, Information Security und Kommunikationsmanagement Franzstr.

18 Danke! 18 excepture Kirsten Messer-Schmidt Managing Director / Senior Consultant mit den Schwerpunkten: Governance, Risk,, Information Security und Kommunikationsmanagement Franzstr. 9 D Bonn Phone: Mail: o.ffice@excepture.de 2016 excepture Weitergabe des Dokuments oder von Auszügen aus dem Dokument in gedruckter oder elektronischer Form an Dritte nur mit Zustimmung von Kirsten Messer-Schmidt Bildrechte Folie 2 Folie 3, 16, 17 Folie 4, Folie 7 fotolia, alphaspirit stockata, CCO Public Domain gratisography, Ryan McGuire unsplash, Ismail Bülbül

Ähnliche Dokumente

Übersicht über die IT- Sicherheitsstandards

Übersicht über die IT- Sicherheitsstandards Andreas Wisler Dipl. IT Ing. FH, CISSP, ISO 27001 Lead Auditor GO OUT Production GmbH wisler@goout.ch Agenda Einleitung Nutzen Arten, Ausrichtung Grundlegende