ISMS.1: Sicherheitsmanagement
|
|
- Justus Hoch
- vor 7 Jahren
- Abrufe
Transkript
1 i Community Draft ISMS: Sicherheitsmanagement ISMS.1: Sicherheitsmanagement 1 Beschreibung 1.1 Einleitung IT-Grundschutz Mit (Informations-)Sicherheitsmanagement oder auch kurz IS-Management wird die Planungs-, Lenkungs- und Kontrollaufgabe bezeichnet, die erforderlich ist, um einen durchdachten und wirksamen Prozess zur Herstellung von Informationssicherheit aufzubauen und kontinuierlich umzusetzen. Ein funktionierendes Sicherheitsmanagement muss in die eistierenden Managementstrukturen einer jeden Institution eingebettet werden. Daher ist es praktisch nicht möglich, eine für jede Institution unmittelbar anwendbare Organisationsstruktur für das Sicherheitsmanagement anzugeben. Vielmehr werden häufig Anpassungen an spezifische Gegebenheiten erforderlich sein. 1.2 Zielsetzung Ziel dieses Bausteins ist es, aufzeigen, wie ein funktionierendes Informationssicherheitsmanagement eingerichtet und im laufenden Betrieb weiterentwickelt werden kann. Er beschreibt dazu sinnvolle Schritte eines systematischen Sicherheitsprozesses und gibt Anleitungen zur Erstellung eines umfassenden Sicherheitskonzeptes. 1.3 Abgrenzung Der Baustein baut auf dem BSI-Standard Managementsysteme für Informationssicherheit und BSI-Standard Vorgehensweise nach IT-Grundschutz auf und fasst die wichtigsten Aspekte zum Sicherheitsmanagement hieraus zusammen. 2 Gefährdungslage Bedrohungen und Schwachstellen im Umfeld des Sicherheitsmanagements können vielfältiger Natur sein. Häufig sind sie Symptom einer mangelhaften Gesamtorganisation des Sicherheitsprozesses. Stellvertretend für diese Vielzahl der Bedrohungen und Schwachstellen werden in diesem Baustein die folgenden typischen Gefährdungen betrachtet: 2.1 Fehlende persönliche Verantwortung im Sicherheitsprozess Sind in einer Institution die Rollen im Sicherheitsprozess nicht eindeutig festgelegt, so ist es wahrscheinlich, dass viele Mitarbeiter ihre Verantwortung für die Informationssicherheit durch Verweis auf übergeordnete Hierarchie-Ebenen ablehnen. Als Folge werden Sicherheitsmaßnahmen nicht umgesetzt, da diese zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellen. Zuletzt aktualisiert: Seite 1 von 10
2 2.2 Mangelnde Unterstützung durch die Leitungsebene Informationssicherheitsbeauftragte entstammen in der Regel nicht der Ebene der Behörden- bzw. Unternehmensleitung. Werden die Sicherheitsverantwortlichen nicht uneingeschränkt durch die Leitungsebene unterstützt, kann es schwierig werden, die notwendigen Maßnahmen auch von Personen, die in der Linienstruktur über ihnen stehen, wirksam einzufordern. In diesem Fall ist der Sicherheitsprozess nicht vollständig durchführbar. 2.3 Unzureichende strategische und konzeptionelle Vorgaben In vielen Institutionen wird zwar ein Sicherheitskonzept erstellt, dessen Inhalt ist dann aber häufig nur wenigen Insidern bekannt. Dies führt dazu, dass die Vorgaben an Stellen, an denen organisatorischer Aufwand zu betreiben wäre, bewusst oder unbewusst nicht eingehalten werden. Sofern das Sicherheitskonzept strategische Zielsetzungen enthält, werden diese vielfach als bloße Sammlung von Absichtserklärungen betrachtet und keine ausreichenden Ressourcen für deren Umsetzung zur Verfügung gestellt. Vielfach wird fälschlicherweise davon ausgegangen, dass in einer automatisierten Umgebung Sicherheit automatisch produziert werde. Schadensfälle in der eigenen oder in ähnlich strukturierten Institutionen sind bisweilen Auslöser für mehr oder minder heftigen Aktionismus, bei dem häufig bestenfalls Teilaspekte verbessert werden. 2.4 Unzureichende oder fehlgeleitete Investitionen Wenn die Leitungsebene einer Institution nicht ausreichend über den Sicherheitszustand der Geschäftsprozesse, IT-Systeme und Anwendungen und über vorhandene Mängel unterrichtet ist, werden nicht genügend Ressourcen für den Sicherheitsprozess bereitgestellt oder diese nicht sachgerecht eingesetzt. In letzterem Fall kann dies dazu führen, dass einem übertrieben hohen Sicherheitsniveau in einem Teilbereich schwerwiegende Mängel in einem anderen gegenüberstehen. Häufig ist auch zu beobachten, dass teure technische Sicherheitslösungen falsch eingesetzt werden und somit unwirksam sind oder sogar selbst zur Gefahrenquelle werden. 2.5 Unzureichende Durchsetzbarkeit von Sicherheitsmaßnahmen Zur Erreichung eines durchgehenden und angemessenen Sicherheitsniveaus ist es erforderlich, dass unterschiedliche Zuständigkeitsbereiche innerhalb einer Institution miteinander kooperieren. Fehlende strategische Leitaussagen und unklare Zielsetzungen führen mitunter zu unterschiedlicher Interpretation der Bedeutung der Informationssicherheit. Dies kann zur Konsequenz haben, dass die notwendige Kooperation wegen vermeintlich fehlender Notwendigkeit oder ungenügender Priorisierung der Aufgabe "Informationssicherheit" letztlich unterbleibt und somit die Durchsetzbarkeit der Sicherheitsmaßnahmen nicht gegeben ist. 2.6 Fehlende Aktualisierung im Sicherheitsprozess Neue Geschäftsprozesse, Anwendungen und IT-Systeme sowie neue Bedrohungen beeinflussen permanent den Status der Informationssicherheit innerhalb einer Institution. Fehlt ein effektives Revisionskonzept, das auch das Bewusstsein für die neuen Bedrohungen stärkt, verringert sich das Sicherheitsniveau und aus der realen Sicherheit wird schleichend eine gefährliche Scheinsicherheit. 2.7 Verstoß gegen gesetzliche Regelungen und vertragliche Vereinbarungen Wenn Informationen, Geschäftsprozesse und IT-Systeme einer Institution unzureichend abgesichert sind (beispielsweise durch ein unzureichendes Sicherheitsmanagement), kann dies zu Verstößen gegen Rechtsvorschriften mit Bezug zur Informationsverarbeitung oder gegen bestehende Verträge mit Geschäftspartnern führen. Welche Gesetze jeweils zu beachten sind, hängt von der Art der Institution beziehungsweise ihrer Geschäftsprozesse und Dienstleistungen ab. Je nachdem, wo sich die Standorte einer Institution befinden, können auch verschiedene nationale und internationale Vorschriften zu beachten sein. Verfügt eine Institution über unzureichende Kenntnisse hinsichtlich internationaler Gesetzesvorgaben (zum Beispiel Datenschutz, Informationspflicht, Insolvenzrecht, Haftung oder Zuletzt aktualisiert: Seite 2 von 10
3 Informationszugriff für Dritte), erhöht dies das Risiko entsprechender Verstöße. Es drohen rechtliche Konsequenzen. In vielen Branchen ist es üblich, dass Anwender ihre Zulieferer und Dienstleister zur Einhaltung bestimmter Qualitäts- und Sicherheitsstandards verpflichten. In diesem Zusammenhang werden zunehmend auch Anforderungen an die Informationssicherheit gestellt. Verstößt ein Vertragspartner gegen vertraglich geregelte Sicherheitsanforderungen, kann dies Vertragsstrafen, aber auch Vertragsauflösungen bis hin zum Verlust von Geschäftsbeziehungen nach sich ziehen. 2.8 Störung der Geschäftsabläufe aufgrund von Sicherheitsvorfällen Sicherheitsvorfälle können durch ein singuläres Ereignis oder eine Verkettung unglücklicher Umstände ausgelöst werden und dazu führen, dass Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen und IT-Systemen beeinträchtigt werden. Dies wirkt sich dann schnell negativ auf wesentliche Fachaufgaben und Geschäftsprozesse der betroffenen Institution aus. Auch wenn nicht alle Sicherheitsvorfälle in der Öffentlichkeit bekannt werden, können sie trotzdem zu negativen Auswirkungen in den Beziehungen zu Geschäftspartnern und Kunden führen. Dabei ist es nicht einmal so, dass die beträchtlichsten und weitreichendsten Sicherheitsvorfälle durch die größten Sicherheitsschwachstellen ausgelöst wurden. In vielen Fällen hat die Verkettung kleiner Ursachen zu riesigen Schäden geführt. 2.9 Unwirtschaftlicher Umgang mit Ressourcen durch unzureichendes Sicherheitsmanagement Ein unzureichendes Sicherheitsmanagement kann dazu führen, dass falsche Prioritäten gesetzt werden und nicht an denjenigen Stellen investiert wird, die den größten Mehrwert für die Institution bringen. Dies kann zu folgenden Fehlern führen: Es wird in teure Sicherheitslösungen investiert, ohne dass eine Basis an notwendigen organisatorischen Regelungen vorhanden ist. Nicht geklärte Zuständigkeiten und Verantwortlichkeiten können trotz teurer Investitionen zu schweren Sicherheitsvorfällen führen. Es wird in den Bereichen einer Institution in Informationssicherheit investiert, die für Informationssicherheit besonders sensibilisiert sind. Andere Bereiche, die vielleicht für die Erfüllung der Fachaufgaben und der Erreichung der Geschäftsziele wichtiger sind, werden aufgrund von knappen Mitteln oder Desinteresse der Verantwortlichen vernachlässigt. Es wird nur in einzelne Teilbereiche investiert. Im Gesamtsystem verbleiben jedoch erhebliche Sicherheitslücken. Durch die einseitige Erhöhung des Schutzes einzelner Grundwerte kann sich der Gesamtschutz verringern. Ein inhomogener und unkoordinierter Einsatz von Sicherheitsprodukten kann zu hohem finanziellen und personellen Ressourceneinsatz führen. 3 Anforderungen Im Folgenden sind die spezifischen Anforderungen für den Bereich Sicherheitsmanagement aufgeführt. Grundsätzlich ist der Informationssicherheitsbeauftragte (ISB) für die Erfüllung der Anforderungen zuständig. Abweichungen hiervon werden in den entsprechenden Anforderungen gesondert erwähnt. Der ISB ist bei strategischen Entscheidungen stets einzubeziehen. Außerdem ist der ISB dafür verantwortlich, dass alle Anforderungen gemäß dem festlegten Sicherheitskonzept erfüllt und überprüft werden. Zusätzlich kann es noch andere Rollen geben, die weitere Verantwortlichkeiten bei der Umsetzung von Anforderungen haben. Diese sind dann jeweils eplizit in eckigen Klammern in der Überschrift der jeweiligen Anforderungen aufgeführt. Zuletzt aktualisiert: Seite 3 von 10
4 Bausteinverantwortlicher weitere Verantwortlichkeiten Informationssicherheitsbeauftragter Behörden-/Unternehmensleitung, Vorgesetzte 3.1 Basis-Anforderungen Die folgenden Anforderungen MÜSSEN umgesetzt werden: ISMS.1.A1 Übernahme der Gesamtverantwortung für Informationssicherheit durch die Leitungsebene [Behörden-/Unternehmensleitung] Die Leitungsebene MUSS die Gesamtverantwortung für Informationssicherheit in der Institution übernehmen, so dass dies für alle Beteiligten deutlich erkennbar ist. Die Leitungsebene der Institution MUSS den Sicherheitsprozess initiieren, steuern und kontrollieren. Die Leitungsebene MUSS Informationssicherheit vorleben. Die Behörden- bzw. Unternehmensleitung MUSS die Zuständigkeiten für Informationssicherheit festlegen und die zuständigen Mitarbeiter mit den erforderlichen Kompetenzen und Ressourcen ausstatten. Die Leitungsebene MUSS sich regelmäßig über den Status der Informationssicherheit informieren lassen, insbesondere MUSS sie sich über mögliche Risiken und Konsequenzen aufgrund fehlender Sicherheitsmaßnahmen informieren lassen. ISMS.1.A2 Festlegung der Sicherheitsziele und -strategie [Behörden-/Unternehmensleitung] Der Sicherheitsprozess MUSS durch die Leitungsebene initiiert und etabliert werden. Dafür MÜSSEN angemessene Sicherheitsziele sowie eine Strategie für Informationssicherheit festgelegt und dokumentiert werden. Es MÜSSEN konzeptionelle Vorgaben erarbeitet und organisatorische Rahmenbedingungen geschaffen werden, um den ordnungsgemäßen und sicheren Umgang mit Informationen innerhalb aller Geschäftsprozesse des Unternehmens oder der Behörde zu ermöglichen. Die Sicherheitsstrategie und -ziele MÜSSEN von der Behörden- bzw. Unternehmensleitung getragen und verantwortet werden. Sicherheitsziele und -strategie MÜSSEN regelmäßig daraufhin überprüft werden, ob sie noch aktuell und angemessen sind sowie wirksam umgesetzt werden können. ISMS.1.A3 Erstellung einer Leitlinie zur Informationssicherheit [Behörden-/Unternehmensleitung] Die Leitungsebene MUSS eine übergeordnete Leitlinie zur Informationssicherheit verabschieden, die den Stellenwert der Informationssicherheit, die Sicherheitsziele, die wichtigsten Aspekte der Sicherheitsstrategie sowie die Organisationsstruktur für Informationssicherheit beschreibt. Für die Sicherheitsleitlinie MUSS ein klarer Geltungsbereich festgelegt sein. In der Leitlinie zur Informationssicherheit MÜSSEN die Sicherheitsziele und der Bezug der Sicherheitsziele zu den Geschäftszielen und Aufgaben der Institution erläutert werden. Die Leitlinie zur Informationssicherheit MUSS allen Mitarbeitern und sonstigen Mitgliedern der Institution bekannt gegeben werden. Sie SOLLTE regelmäßig aktualisiert werden. ISMS.1.A4 Benennung eines Informationssicherheitsbeauftragten [Behörden-/Unternehmensleitung] Die Leitungsebene MUSS einen Informationssicherheitsbeauftragten benennen, der die Informationssicherheit in der Institution fördert und den Sicherheitsprozess steuert und koordiniert. Der Informationssicherheitsbeauftragte MUSS mit angemessenen Ressourcen ausgestattet werden. Er MUSS die Möglichkeit haben, bei Bedarf direkt an die Leitungsebene zu berichten. Der Informationssicherheitsbeauftragte MUSS ausreichend qualifiziert sein und ausreichend Gelegenheit haben, sich fortzubilden. Der Informationssicherheitsbeauftragte MUSS bei allen größeren Projekten sowie bei der Einführung Zuletzt aktualisiert: Seite 4 von 10
5 neuer Anwendungen und IT-Systeme beteiligt werden ISMS.1.A5 Vertragsgestaltung bei Bestellung eines eternen Informationssicherheitsbeauftragten [Behörden-/Unternehmensleitung] Wenn die Rolle des Informationssicherheitsbeauftragten nicht durch einen internen Mitarbeiter besetzt werden kann, MUSS ein eterner Informationssicherheitsbeauftragten bestellt werden. Der hierzu geschlossene Dienstleistungsvertrag MUSS alle Aufgaben des Informationssicherheitsbeauftragten sowie die damit verbundenen Rechte und Pflichten umfassen. Der Vertrag MUSS eine geeignete Vertraulichkeitsvereinbarung umfassen. Der eterne Informationssicherheitsbeauftragte MUSS über die notwendigen Qualifikationen verfügen. Der Vertrag MUSS eine kontrollierte Beendigung des Vertragsverhältnisses einschließlich Übergabe der Aufgaben an den Auftraggeber ermöglichen. ISMS.1.A6 Aufbau einer geeigneten Organisationsstruktur für Informationssicherheit [Behörden-/Unternehmensleitung] Es MUSS eine geeignete, übergreifende Organisationsstruktur für Informationssicherheit vorhanden sein. Dafür MÜSSEN Rollen definiert sein, die die verschiedenen Aufgaben für die Erreichung der Sicherheitsziele wahrnehmen. Außerdem MÜSSEN Personen benannt sein, die qualifiziert sind und denen ausreichend Ressourcen zur Verfügung stehen, um diese Rollen auszufüllen. Die Aufgaben, Verantwortungen und Kompetenzen im Sicherheitsmanagement MÜSSEN nachvollziehbar definiert und zugewiesen sein. Für alle wichtigen Funktionen der IS-Organisation MUSS es wirksame Vertretungsregelungen geben. Kommunikationswege MÜSSEN geplant, beschrieben, eingerichtet und bekannt gemacht werden. Es MUSS für alle Aufgaben und Rollen festgelegt sein, wer wen informiert und wer bei welchen Aktionen in welchen Umfang informiert werden muss. Es MUSS regelmäßig geprüft werden, ob die Organisationsstruktur für Informationssicherheit noch angemessen ist oder an neue Rahmenbedingungen angepasst werden muss. ISMS.1.A7 Festlegung von Sicherheitsmaßnahmen Im Rahmen des Sicherheitsprozesses MÜSSEN für die gesamte Informationsverarbeitung ausführliche und angemessene Sicherheitsmaßnahmen festgelegt werden. Alle Sicherheitsmaßnahmen SOLLTEN systematisch in Sicherheitskonzepten dokumentiert und regelmäßig aktualisiert werden. ISMS.1.A8 Integration der Mitarbeiter in den Sicherheitsprozess [Vorgesetzte] Alle Mitarbeiter MÜSSEN in den Sicherheitsprozess integriert sein, dass heißt, sie müssen über Hintergründe und Gefährdungen informiert sein und Sicherheitsmaßnahmen kennen und umsetzen, die ihren Arbeitsplatz betreffen, und sie MÜSSEN Sicherheit aktiv mitgestalten, also in ihre Geschäftsprozesse mit einbringen. Daher SOLLTEN die Mitarbeiter frühzeitig bei der Planung von Sicherheitsmaßnahmen oder der Gestaltung organisatorischer Regelungen beteiligt werden. Bei der Einführung von Sicherheitsrichtlinien und Sicherheitswerkzeugen MÜSSEN die Mitarbeiter ausreichend informiert sein, wie diese anzuwenden sind. ISMS.1.A9 Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse [Behörden-/Unternehmensleitung] Informationssicherheit MUSS in alle Geschäftsprozesse integriert werden. Es MUSS dabei gewährleistet sein, dass nicht nur bei neuen Prozessen und Projekten, sondern auch bei laufenden Aktivitäten alle erforderlichen Sicherheitsaspekte berücksichtigt werden. Informationssicherheit SOLLTE außerdem mit anderen Bereichen in der Institution, die sich mit Sicherheit und Risikomanagement beschäftigen, abgestimmt werden. Der Informationssicherheitsbeauftragte MUSS an sicherheitsrelevanten Entscheidungen ausreichend beteiligt werden. Zuletzt aktualisiert: Seite 5 von 10
6 3.2 Standard-Anforderungen Gemeinsam mit den Basisanforderungen entsprechen die folgenden Anforderungen dem Stand der Technik im Bereich Informationssicherheitsmanagement. Sie SOLLTEN grundsätzlich umgesetzt werden. ISMS.1.A10 Erstellung eines Sicherheitskonzepts Für den festgelegten Geltungsbereich (Informationsverbund) SOLLTE ein angemessenes Sicherheitskonzept als das zentrale Dokument im Sicherheitsprozess erstellt werden. Das Sicherheitskonzept kann auch aus mehreren Teilkonzepten bestehen, die sukzessive erstellt werden, um zunächst in ausgewählten Bereichen das erforderliche Sicherheitsniveau herzustellen. Im Sicherheitskonzept MÜSSEN aus den Sicherheitszielen der Institution, dem identifizierten Schutzbedarf und der Risikobewertung konkrete Sicherheitsmaßnahmen passend zum betrachteten Informationsverbund abgeleitet werden. Sicherheitsprozess und Sicherheitskonzept MÜSSEN die individuell geltenden Vorschriften und Regelungen berücksichtigen. Die im Sicherheitskonzept vorgesehenen Maßnahmen MÜSSEN zeitnah in die Prais umgesetzt werden. Dies MUSS geplant und die Umsetzung kontrolliert werden. Es SOLLTE regelmäßig überprüft werden, ob die ausgewählten Maßnahmen geeignet, angemessen, umsetzbar und effizient sind, um die Sicherheitsziele und -anforderungen zu erreichen. Jeder Mitarbeiter SOLLTE zumindest über die ihn unmittelbar betreffenden Teile des Sicherheitskonzeptes informiert sein. ISMS.1.A11 Aufrechterhaltung der Informationssicherheit Der Sicherheitsprozess, die Sicherheitskonzepte, die Leitlinie zur Informationssicherheit und die Organisationsstruktur für Informationssicherheit SOLLTEN regelmäßig auf Wirksamkeit und Angemessenheit überprüft und aktualisiert werden. Hierzu SOLLTEN regelmäßig Vollständigkeits- bzw. Aktualisierungsprüfungen des Sicherheitskonzeptes durchgeführt werden. Ebenso SOLLTEN regelmäßig Sicherheitsrevisionen durchgeführt werden. Dazu SOLLTE geregelt sein, welche Bereiche und Sicherheitsmaßnahmen wann und von wem zu überprüfen sind. Überprüfungen des Sicherheitsniveaus SOLLTEN regelmäßig (mindestens jährlich) sowie anlassbezogen durchgeführt werden. Die Prüfungen SOLLTEN von qualifizierten und unabhängigen Personen durchgeführt werden. Die ermittelten Ergebnisse der Überprüfungen SOLLTEN nachvollziehbar dokumentiert sein. Darauf aufbauend SOLLTEN Mängel abgestellt und Korrekturmaßnahmen ergriffen werden. ISMS.1.A12 Management-Berichte zur Informationssicherheit [Behörden-/Unternehmensleitung] Die Leitungsebene SOLLTE regelmäßig über den Stand der Informationssicherheit informiert werden, vor allem über die aktuelle Gefährdungslage und Wirksamkeit und Effizienz des Sicherheitsprozesses, um das weitere Vorgehen im Sicherheitsprozess steuern zu können. Die Management-Berichte SOLLTEN die wesentlichen relevanten Informationen über den Sicherheitsprozess enthalten, insbesondere über Probleme, Erfolge und Verbesserungsmöglichkeiten. Sie SOLLTEN klar priorisierte und mit realistischen Abschätzungen des zu erwartenden Umsetzungsaufwands versehene Maßnahmenvorschläge enthalten. Die Management-Entscheidungen über erforderliche Aktionen, Umgang mit Restrisiken und mit Veränderungen von sicherheitsrelevanten Prozessen SOLLTEN dokumentiert sein. Die Management-Berichte und Management-Entscheidungen SOLLTEN revisionssicher archiviert werden. ISMS.1.A13 Dokumentation des Sicherheitsprozesses Der Ablauf des Sicherheitsprozesses, wichtige Entscheidungen und die Arbeitsergebnisse der einzelnen Phasen wie Sicherheitskonzept, Richtlinien oder Untersuchungsergebnisse von Sicherheitsvorfällen SOLLTEN ausreichend dokumentiert werden. Zuletzt aktualisiert: Seite 6 von 10
7 Es SOLLTE eine geregelte Vorgehensweise für die Erstellung und Archivierung von Dokumentationen im Rahmen des Sicherheitsprozesses geben. Es SOLLTEN Regelungen eistieren, um die Aktualität und Vertraulichkeit der Dokumentationen zu wahren. Von den vorhandenen Dokumenten SOLLTE die jeweils aktuelle Version kurzfristig zugänglich sein. Außerdem SOLLTEN alle Vorgängerversionen zentral archiviert werden. ISMS.1.A14 Sensibilisierung zur Informationssicherheit Alle Mitarbeiter der Institution und sonstige relevante Personen (wie etern Beschäftigte oder Projektmitarbeiter) SOLLTEN systematisch und zielgruppengerecht zu Sicherheitsrisiken sensibilisiert und zu Fragen der Informationssicherheit geschult werden (siehe ORP.3 Sensibilisierung und Schulung zur Informationssicherheit). 3.3 Anforderungen bei erhöhtem Schutzbedarf Im Folgenden sind eemplarische Vorschläge für Anforderungen aufgeführt, die über das dem Stand der Technik entsprechende Schutzniveau hinausgehen und BEI ERHÖHTEM SCHUTZBEDARF in Betracht gezogen werden SOLLTEN. Die konkrete Festlegung erfolgt im Rahmen einer Risikoanalyse. Die jeweils in Klammern angegebenen Buchstaben zeigen an, welche Grundwerte durch die Anforderung vorrangig geschützt werden (C = Vertraulichkeit, I = Integrität, A = Verfügbarkeit). ISMS.1.A15 Erstellung von zielgruppengerechten Sicherheitsrichtlinien (CIA) Sicherheitsthemen SOLLTEN zielgruppengerecht vermittelt werden. Alle Mitarbeiter SOLLTEN diese und ihren Arbeitsbereich betreffenden Sicherheitsaspekte kennen und beachten. Daher SOLLTE es zielgruppenorientierte Sicherheitsrichtlinien geben, die bedarfsgerecht die relevanten Sicherheitsthemen abbilden. ISMS.1.A16 Wirtschaftlicher Einsatz von Ressourcen für Informationssicherheit [Behörden-/Unternehmensleitung] (CIA) Informationssicherheit erfordert ausreichende finanzielle und personelle Ressourcen sowie eine geeignete Ausstattung. Der Bedarf SOLLTE vom ISB der Leitungsebene kommuniziert werden, diese SOLLTE die erforderlichen Ressourcen bereitstellen. Die Sicherheitsstrategie SOLLTE wirtschaftliche Aspekte berücksichtigen. Bei der Festlegung von Sicherheitsmaßnahmen SOLLTEN die für die Umsetzung erforderlichen Ressourcen beziffert werden. Die für Informationssicherheit eingeplanten Ressourcen SOLLTEN termingerecht bereitgestellt werden. Der Informationssicherheitsbeauftragte bzw. das Informationssicherheitsmanagement-Team MÜSSEN genügend Zeit für ihre Sicherheitsaufgaben haben. Bei Arbeitsspitzen oder besonderen Aufgaben SOLLTEN zusätzliche interne Mitarbeiter eingesetzt oder auf eterne Eperten zurückgegriffen werden. ISMS.1.A17 Abschließen von Versicherungen [Behörden-/Unternehmensleitung] (A) Es SOLLTE geprüft werden, ob für Restrisiken Versicherungen abgeschlossen werden sollen, um eventuelle Schäden abzudecken. Es SOLLTE regelmäßig überprüft werden, ob die bestehenden Versicherungen der aktuellen Lage entsprechen. 4 Weiterführende Informationen Weiterführende Informationen zu Gefährdung und Schutz von ISMS finden sich unter anderem in folgenden Veröffentlichungen: [[ISO/IEC 27000] Information technology Security techniques Information security management systems Overview and vocabulary. (bzw. auf Englisch als kostenloser Download von [ISO/IEC 27001] Information technology Security techniques Information security management systems Requirements [BSI200-1] BSI-Standard Managementsysteme für Informationssicherheit Zuletzt aktualisiert: Seite 7 von 10
8 [BSI200-2] BSI-Standard 200-2: Vorgehensweise nach IT-Grundschutz Mit dem IT-Grundschutz publiziert das Bundesamt für Sicherheit in der Informationstechnik (BSI) Empfehlungen zur Informationssicherheit. Kommentare und Hinweise können von Lesern an gesendet werden. Zuletzt aktualisiert: Seite 8 von 10
9 5 Anlage: Kreuzreferenztabelle zu elementaren Gefährdungen Die folgenden elementaren Gefährdungen sind für ein ISMS von Bedeutung: G 0.18 Fehlplanung oder fehlende Anpassung G 0.27 G 0.29 Ressourcenmangel Verstoß gegen Gesetze oder Regelungen Zuletzt aktualisiert: Seite 9 von 10
10 Bedrohungen/Schwachstellen Maßnahmen G 0.18 G 0.27 G 0.29 A1 A2 A3 A4 A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 A16 A17 Zuletzt aktualisiert: Seite 10 von 10
BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders. 27. September 2016 Simone Hock & Denny Dittrich
BSI-Modernisierung Grundschutz: Nicht Alt Nicht Neu Aber Anders 27. September 2016 Simone Hock & Denny Dittrich Inhalt Darstellung der Neuerungen im IT-Grundschutz im Rahmen der BSI-Modernisierung 2017
MehrORP.5: Compliance Management (Anforderungsmanagement)
i Community Draft ORP: Organisation und Personal ORP.5: Compliance Management (Anforderungsmanagement) 1 Beschreibung 1.1 Einleitung IT-Grundschutz In jeder Institution gibt es aus den verschiedensten
MehrDE 098/2008. IT- Sicherheitsleitlinie
DE 098/2008 IT- Sicherheitsleitlinie Chemnitz, 12. November 2008 Inhalt 1 Zweck der IT-Sicherheitsrichtlinie...2 2 Verantwortung für IT- Sicherheit...2 3 Sicherheitsziele und Sicherheitsniveau...3 4 IT-Sicherheitsmanagement...3
MehrDS-GVO und IT-Grundschutz
DS-GVO und IT-Grundschutz Traumhochzeit oder Rosenkrieg? Robert Krelle IT-Sicherheitsbeauftragter Ministerium für Landwirtschaft und Umwelt Mecklenburg-Vorpommern DS-GVO IT-GS DS-GVO Datenschutz Informationssicherheit
MehrCON.6 Löschen und Vernichten
Community Draft CON: Konzeption und Vorgehensweise CON.6 Löschen und Vernichten 1 Beschreibung 1.1 Einleitung Damit Informationen nicht in falsche Hände geraten, ist eine geregelte Vorgehensweise erforderlich,
MehrDie Datenschutz-Grundverordnung Auswirkungen auf die Praxis
Auswirkungen auf die Praxis SPEAKER Steffen Niesel Fachanwalt für IT-Recht Ulf Riechen Dipl.-Ing. für Informationstechnik 2 Einleitung Wann tritt die Datenschutzgrundverordnung (DS-GVO) in Kraft? 25. Mai
MehrGrundlagen des Datenschutzes und der IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 7. Übung im SoSe 2007: Risiko-Bewertung & -Behandlung 7.1 Risikotabelle Rg. Bedrohung Auftreten Schaden Risiko 1 Computer-Viren 9 6 54 2 Trojanische Pferde 4 6 24
MehrHinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 2.
Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Version 2.0 Bundesamt für Sicherheit in der Informationstechnik Postfach
MehrOPS.3.1 Outsourcing für Dienstleister. IT-Grundschutz. 1 Beschreibung. 2 Gefährdungslage. Community Draft. 1.1 Einleitung. 1.
Community Draft OPS: Betrieb OPS.3.1 Outsourcing für Dienstleister 1 Beschreibung 1.1 Einleitung IT-Grundschutz Beim Outsourcing übernehmen Outsourcing-Dienstleister Geschäftsprozesse und Dienstleistungen
MehrInformationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter
Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit
MehrÜbersicht über die IT- Sicherheitsstandards
Übersicht über die IT- Sicherheitsstandards Andreas Wisler Dipl. IT Ing. FH, CISSP, ISO 27001 Lead Auditor GO OUT Production GmbH wisler@goout.ch Agenda Einleitung Nutzen Arten, Ausrichtung Grundlegende
MehrICT-Sicherheitsleitlinie vom 11. August 2015
vom 11. August 2015 In Kraft seit: 1. Oktober 2015 (nachgeführt bis 1. Oktober 2015) Inhaltsverzeichnis Art. 1 Einleitung... 1 Art. 2 Geltungsbereich... 1 Art. 3 Informationssicherheitsniveau... 1 Art.
MehrInformationssicherheit
Informationssicherheit Möglichkeiten der Umsetzung in kleinen und mittelständischen Unternehmen und Organisationen Dr. Thomas Kemmerich kemmer@tzi.de Tel.: 0421 218 63910 http://www-rn.informatik.uni-bremen.de/kemmer/index.html
MehrHinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz. Version 1.
Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO 27001 auf der Basis von IT- Grundschutz Version 1.0 Bundesamt für Sicherheit in der Informationstechnik Postfach
MehrVorgehensweisen des neuen IT-Grundschutzes
Vorgehensweisen des neuen IT-Grundschutzes 1. IT-Grundschutz-Tag 2016, 12.05.2016 Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit 20 Jahre IT-Grundschutz und nun? Neue Anforderungen nach
MehrInformation Security Management System Informationssicherheitsrichtlinie
Information Security Management System Informationssicherheitsrichtlinie I. Dokumentinformationen Version: 0.3 Datum der Version: 08.1.017 Erstellt durch: Kristin Barteis Genehmigt durch: Hannes Boekhoff,
MehrInformationssicherheit an der RWTH
Informationssicherheit an der RWTH Dipl.-Inform. Guido Bunsen IT Center / RWTH Aachen University Was tun wir für die Sicherheit Überprüfung aller eingehenden E-Mail auf Viren Schutz vor weiteren schädlichen
MehrOPS.1.2.1: Patch- und Änderungsmanagement
i Community Draft OPS: Betrieb OPS.1.2.1: Patch- und Änderungsmanagement 1 Beschreibung 1.1 Einleitung IT-Grundschutz Die immer schnellere IT-Entwicklung und die steigenden Anforderungen der Benutzer stellen
MehrLeitlinie für die Informationssicherheit
Informationssicherheit Flughafen Köln/Bonn GmbH Leitlinie für die Informationssicherheit ISMS Dokumentation Dokumentenname Kurzzeichen Leitlinie für die Informationssicherheit ISMS-1-1-D Revision 2.0 Autor
MehrIT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen
IT-Sicherheit ohne Risiken Und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und 1. -Tag 2014 13.02.2014 Agenda Das BSI Informationssicherheit
MehrCommunity Draft. In diesem Baustein soll aufgezeigt werden, wie WLANs sicher genutzt werden können.
Community Draft i NET.2: Funknetze NET.2.2: WLAN-Nutzung 1 Beschreibung 1.1 Einleitung IT-Grundschutz Über Wireless LANs (WLANs) können drahtlose lokale Netze aufgebaut oder bestehende drahtgebundene Netze
MehrLeitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von Mecklenburg-Vorpommern. IS-Leitlinie M-V
Leitlinie zur Gewährleistung der Informationssicherheit in der Landesverwaltung von Mecklenburg-Vorpommern IS-Leitlinie M-V Schwerin, 12.05.2014 Ministerium für Inneres und Sport Inhaltsverzeichnis 1.
MehrOPS.1.2.4: Telearbeit
Community Draft i OPS: Betrieb OPS.1.2.4: Telearbeit 1 Beschreibung IT-Grundschutz 1.1 Einleitung Unter Telearbeit wird jede auf die Informations- und Kommunikationstechnik gestützte Tätigkeit verstanden,
MehrBrandschutzbeauftragter (TÜV )
TÜV NORD Akademie Personenzertifizierung Merkblatt IT-Grundschutzexperte (TÜV ) Zertifizierungsprogramm: Merkblatt Brandschutzbeauftragter (TÜV ) Merkblatt IT-Grundschutzexperte (TÜV ) Anforderungen an
MehrPraxis-WORKSHOP. IT-Sicherheits-Management. Umsetzung des IT-Sicherheits-Prozess MODUL 2. nach BSI Standard 100. Zielgruppen:
Praxis-WORKSHOP IT-Sicherheits-Management Umsetzung des Zielgruppen: Führungskräfte und verantwortliche Personen aus den Bereichen Informations-Sicherheit, Informationstechnologie, Netzwerkadministration,
MehrUnabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts DATENSCHUTZ NEU DENKEN! (Neue) Anforderungen der Datenschutz-Grundverordnung für die IT-Sicherheit Heiko Behrendt
MehrIT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen
IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen Bundesamt für Sicherheit in der Informationstechnik Sicherheitsmanagement und IT-Grundschutz IT-Grundschutz-Tag 23.11.2011 Inhalte
MehrInhaltsverzeichnis. Informationssicherheits-Management nach ISACA
Inhaltsverzeichnis 1 Einleitung und Motivation... 1 1.1 Der Wert von Informationen... 1 1.2 Informationssicherheit und IT-Sicherheit... 3 1.3 Informationssicherheit, Daten- und Geheimschutz... 6 1.3.1
MehrLeitfaden zur Basis-Absicherung nach IT-Grundschutz In 3 Schritten zur Informationssicherheit. COMMUNITY DRAFT
Leitfaden zur Basis-Absicherung nach IT-Grundschutz In 3 Schritten zur Informationssicherheit www.bsi.bund.de/grundschutz COMMUNITY DRAFT Copyright Mai 2017 by Bundesamt für Sicherheit in der Informationstechnik
MehrCopyright 2017 Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee , Bonn
BSI-Standard 200-2 IT-Grundschutz-Methodik Community Draft - Version 1.0, März 2017 Copyright 2017 Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 185-189, 53175 Bonn IT-Grundschutz-Methodik
MehrISMS und Sicherheitskonzepte ISO und IT-Grundschutz
ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden
MehrWeisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung
Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung vom 1. Juli 2015 Der Schweizerische Bundesrat erlässt folgende Weisungen: 1 Allgemeine Bestimmungen 1.1 Gegenstand Diese Weisungen
MehrDie Modernisierung des IT-Grundschutzes
Die Modernisierung des IT-Grundschutzes Holger Schildt IT-Grundschutz 22.03.2017, CeBIT Security Stage IT-Grundschutz in der Praxis Das Managementsystem für Informationssicherheit des BSI Institutionsübergreifende
MehrDatenschutz-Management-System
Wie wird die DSGVO mit Ihrem externen Datenschutzbeauftragten im Unternehmen eingeführt? Die Anforderungen an den Datenschutz nehmen mit der neuen Datenschutzgrundverordnung (DSGVO) erneut zu. Ab dem 25.
MehrDie Modernisierung des IT-Grundschutzes. Informationssicherheit im Cyber-Raum aktuell, flexibel, praxisnah.
Die Modernisierung des IT-Grundschutzes Informationssicherheit im Cyber-Raum aktuell, flexibel, praxisnah www.bsi.bund.de Vorwort Der IT-Grundschutz des BSI ist die bewährte Methode zur Etablierung eines
MehrLeitfaden zur Basis-Absicherung nach IT-Grundschutz. In drei Schritten zur Informationssicherheit
Leitfaden zur Basis-Absicherung nach IT-Grundschutz In drei Schritten zur Informationssicherheit INHALT Inhaltsverzeichnis Vorwort 5 1 Einleitung 8 2 Informationssicherheitsmanagement mit IT-Grundschutz
MehrFSKB IT Guideline Ausgabe 2018
FSKB IT Guideline Ausgabe 2018 Seite 1 / 34 Inhalt 1 Vorbemerkung/Einleitung... 4 1.1 Bedeutung des Themas IT-Sicherheit für die Kies- und Betonbranche... 4 1.2 Basis-Absicherung... 5 1.3 Relevanz der
MehrDie neuen IT-Grundschutz-Bausteine und deren Struktur. Florian Hillebrand IT-Grundschutz und Allianz für Cyber-Sicherheit
Die neuen IT-Grundschutz-Bausteine und deren Struktur Florian Hillebrand IT-Grundschutz und Allianz für Cyber-Sicherheit Agenda 1. Struktur der Kataloge 2. Dokumentenstruktur 3. Veröffentlichungsprozess
MehrCheckliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen
Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen Version: 1.1 Datum: 01.06.2016 Änderungsverfolgung Version Datum Geänderte Seiten / Kapitel Autor Bemerkungen 1.0 07.01.2016 Alle F. Thater Initiale
MehrSecuda Solutions Datenschutz & Informationssicherheit. Das KMU-Projekt
Das KMU-Projekt Datenschutz- und Informationssicherheitsmanagement für kleine und mittelständische Unternehmen Inhalt 1. Einleitung... 2 2. Was steckt hinter dem KMU-Projekt?... 3 3. Wie funktioniert das?...
MehrTipps zur Migration der Sicherheitskonzepte 3. IT-Grundschutz-Tag 2017
Tipps zur Migration der Sicherheitskonzepte 3. IT-Grundschutz-Tag 2017 Philipp Neumann Information Security Management Consultant AGENDA 1 Wissenswertes zur Grundschutzmodernisierung 2 Migration 3 Zusammenfassung
MehrDATENSCHUTZ in der Praxis
DATENSCHUTZ in der Praxis Rechtliche Rahmenbedingungen: EU-DSGVO Grundrecht für EU Bürger Die Europäische Union verankert den Schutz, natürlicher Personen betreffende, personenbezogene Daten auf Grundrechtsebene
Mehr4.3 Planung (Auszug ISO 14001:2004+Korr 2009) Die Organisation muss (ein) Verfahren einführen, verwirklichen und aufrechterhalten,
4.3 Planung (Auszug ISO 14001:2004+Korr 2009) 4.3.1 Umweltaspekte Die Organisation muss (ein) Verfahren einführen, verwirklichen und aufrechterhalten, a) um jene Umweltaspekte ihrer Tätigkeiten, Produkte
MehrNeues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen?
Plant Security Services Neues deutsches IT-Sicherheitsgesetz Was bedeutet das für die Kunden? Wie können wir helfen? siemens.com Die Lage der IT-Sicherheit in Deutschland 2014 Bedrohung Gesetz Betroffene
MehrGrundlagen des Datenschutzes und der IT-Sicherheit (9) Vorlesung im Sommersemester 2005 von Bernhard C. Witt
und der IT-Sicherheit (9) Vorlesung im Sommersemester 2005 von Ergebnis Systemsicherheit Unterschiede zwischen symmetrischen und asymmetrischen Authentifikationen (vor allem hinsichtlich der Zielsetzung)
MehrM U S T E R. (Stand:September 2008/Version:1.0) IS-Prüfplan. zur. Informationssicherheitsrevision auf Basis von IT-Grundschutz
M U S T E R (Stand:September 2008/Version:1.0) IS-Prüfplan zur Informationssicherheitsrevision auf Basis von IT-Grundschutz Bundesamt für Organisation und Verwaltung (BOV) Dezember 2008 BOV - IS-Revision
MehrIT-Grundschutz nach BSI 100-1/-4
IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management
MehrORP.3: Sensibilisierung und Schulung
Community Draft i ORP: Organisation und Personal ORP.3: Sensibilisierung und Schulung 1 Beschreibung 1.1 Einleitung IT-Grundschutz Um Informationssicherheit innerhalb einer Institution erfolgreich und
MehrBSI TR (RESISCAN) Ersetzendes Scannen einfach und sicher
BSI TR-03138 (RESISCAN) Ersetzendes Scannen einfach und sicher Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133 Bonn Tel.: +49 22899 9582-0 E-Mail: resiscan@bsi.bund.de Internet:
MehrIT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen?
IT-Sicherheitsgesetz Sie müssen handeln! Was bedeutet das für Ihr Unternehmen? 1 1 Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme Betroffen sind Unternehmen der sog. Kritischen Infrastrukturen
MehrFragenkatalog 2 CAF-Gütesiegel - Fragenkatalog für den CAF-Aktionsplan (Verbesserungsplan)
Fragenkatalog 2 CAF-Gütesiegel - Fragenkatalog für den CAF-Aktionsplan (Verbesserungsplan) Der Fragenkatalog deckt die Schritte sieben bis neun ab, die in den Leitlinien zur Verbesserung von Organisationen
MehrErfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig
Erfahrungen mit dem Einsatz der OCTAVE- Methode an der Universität Leipzig DFN-Kanzlerforum, Berlin, 09.05.2012 Dr. Gunnar Auth, Martin Ullrich Universität Leipzig Agenda Ausgangslage & Lösungsansatz Methode:
MehrLeitlinie Datenschutz und Informationssicherheit
Leitlinie Datenschutz und Informationssicherheit Leitlinie zum Schutz personenbezogener Daten und zur Informationssicherheit Fassung vom 18.04.2018 Präambel Der Verein zur Förderung eines Deutschen Forschungsnetzes
MehrSICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER
SICHERHEIT IN DER INFORMATIONSTECHNOLOGIE SIE SIND SICHER WEN...?...betrifft Informationssicherheit (Schutz von IT und Informationen) Sicherheit und Datenschutz in der Informationstechnologie geht uns
Mehr1. IT-Grundschutz-Tag 2014
1. IT-Grundschutz-Tag 2014 ISO 31000 i. V. m. IT-Grundschutz 13.02.2014 Michael Pravida, M.A. Agenda Einführung Risk assessments nach ISO 31000 Anknüpfungspunkte zw. ISO 31000 und IT-GS Anwendungshinweise
MehrVerhaltenskodex für Lieferanten und Unterlieferanten
Verhaltenskodex für Lieferanten und Unterlieferanten Verfasser: Iso Raunjak Version: 1.00 Datum: 31. Januar 2011 1. Einführung... 3 1.1. Verpflichtungen der SFS unimarket AG... 3 1.2. Verpflichtungen der
MehrUnternehmensvorstellung. Wir schützen Ihre Unternehmenswerte
Unternehmensvorstellung Wir schützen Ihre Wir schützen Ihre Die auditiert, berät und entwickelt Lösungen im Bereich und IT-Sicherheit. Sie beschäftigt 10 qualifizierte Mitarbeiter, Informatiker, Dipl.-Ingenieure,
MehrMUSTERSICHERUNGSPLAN für UN Anwendung für Isolierstationen
MUSTERSICHERUNGSPLAN für UN 2814 Maßnahmen zur Sicherung / Vermeidung von Risiken Gemäß Unterabschnitt 1.10.3.2 ADR / RID Anwendung für Isolierstationen Dieser Sicherungsplan ist gegen Einsicht und Zugriff
MehrSchutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber
Schutz Kritischer Infrastrukturen im Energiesektor: Umsetzung und Zertifizierung des IT-Sicherheitskatalogs für Strom- und Gasnetzbetreiber Alexander Frechen, Referent Energieregulierung DAkkS Akkreditierungskonferenz
Mehr60 Dringender Regelungsbedarf bei der IT-Sicherheit der Bundeswehr Kat. B
338 60 Dringender Regelungsbedarf bei der IT-Sicherheit der Bundeswehr Kat. B 60.0 Die IT-Sicherheitsvorschriften des Bundesverteidigungsministeriums sind nicht aktuell. Seine dem Parlament im Jahr 2006
MehrAusgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen
3. Fachkongress des IT-Planungsrats Ausgestaltung der Informationssicherheitsleitlinie in Kommunalverwaltungen Vitako, Dipl.-Ing. Daniel Grimm Agenda Angriffsziel Verwaltung und Behörden Leitlinie des
MehrISMS und Sicherheitskonzepte ISO und IT-Grundschutz
ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit
MehrIT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017
IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017 Agenda 1 ISO 27001 und ISMS 2 Sicherheitsaspekte 3 Weg zur Zertifizierung 4 Ihre Fragen Sicherheit
MehrBSI - Zertifizierung. Ziele & Nutzen. nach ISO auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen. 05/24/12 DiKOM Süd in Wiesbaden
BSI - Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz für die ekom21 KGRZ Hessen Ziele & Nutzen 05/24/12 DiKOM Süd in Wiesbaden Inhalt 1. Ziele 2. Fragen 3. Vorgehensweise 4. Projekt 5.
MehrDer IT-Security Dschungel im Krankenhaus. Ein möglicher Ausweg
Der IT-Security Dschungel im Krankenhaus Ein möglicher Ausweg Der IT-Security Dschungel im Krankenhaus Gliederung Einleitung, Motivation und Fragestellung Material, Methoden und Werkzeuge Beschreibung
Mehr_isis12_de_sample_set01_v1, Gruppe A
1) Welche der folgenden Themen sind Inhalte der Unternehmensleitlinie? a) Organisationsstruktur für die Umsetzung des Informationssicherheitsprozesses (100%) b) Leitaussagen zur Durchsetzung und Erfolgskontrolle
MehrDatenschutzreform 2018
Datenschutzreform 2018 Die bereitgestellten Informationen sollen die bayerischen öffentlichen Stellen bei der Umstellung auf die Datenschutz-Grundverordnung unterstützen. Sie wollen einen Beitrag zum Verständnis
MehrZertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit
Zertifizierung der EU-Zahlstelle nach dem Audit ist vor dem Audit III. Kundenforum des SID 14. November 2017 14. November 2017 Jürgen Kirst (SMUL-Leiter der Zahlstelle) & Denny Dittrich (SID) AGENDA 1
MehrMedizintec. CE-Kennzeichnung. Risikomanagement POSITION. Zweckbestimmung. systemweite Aufgabe. Positionspapier Medizintechnik braucht Cybersicherheit
Positionspapier Medizintechnik braucht Cybersicherheit CE-Kennzeichnung Zweckbestimmung Medizintec Risikomanagement systemweite Aufgabe n Cybersicherheit POSITION August 2017 Zentralverband Elektrotechnik-
MehrISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang
ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang Kurze Vorstellung...sind Wegweiser für Ihre Informationssicherheit, geben Orientierung in komplexen Themen,
MehrSicherheitsrevision - Praktische Erfahrungen des BSI und theoretische Ansätze
Kurzfassung Sicherheitsrevision - Praktische Erfahrungen des BSI und theoretische Ansätze Isabel Münch 1 Ziel einer Sicherheitsrevision ist es, zu überprüfen, ob die eingesetzten IT-Systeme und IT-Verfahren
MehrWir schützen. Ihre Unternehmenswerte. Die PRIOLAN GmbH stellt sich vor
Wir schützen Ihre Unternehmenswerte Die PRIOLAN GmbH stellt sich vor 2 Wir schützen Ihre Unternehmenswerte PRIOLAN GmbH Die PRIOLAN GmbH auditiert, berät und entwickelt Lösungen im Bereich Datenschutz
MehrERFAHRUNGSBERICHT: PRÜFUNG NACH 8A (3) BSIG AUS PRÜFER- UND KRANKENHAUSSICHT
ERFAHRUNGSBERICHT: PRÜFUNG NACH 8A (3) BSIG AUS PRÜFER- UND KRANKENHAUSSICHT KritisV-Eindrücke eines Betreibers und einer prüfenden Stelle Randolf Skerka & Ralf Plomann Ralf Plomann IT-Leiter Katholisches
MehrBSI Technische Richtlinie
BSI Technische Richtlinie Bezeichnung: Informationssicherheit Anwendungsbereich: De-Mail Kürzel: BSI TR 01201 Teil 6 Version: 1.4 Bundesamt für Sicherheit in der Informationstechnik Postfach 20 03 63 53133
MehrBericht aus der AG Modernisierung
Bericht aus der AG Modernisierung Kommunale Beteiligung an der Grundschutz-Modernisierung und Kommunales Lagebild 4. Kommunalen IT-Sicherheitskongress 08. und 09. Mai 2017 Arbeitsgruppe Modernisierung
MehrIntegration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg
Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg 09.03.2017 Wer wir sind Beratung und Dienstleistung für anspruchsvolle Anforderungen
MehrAusblick und Diskussion. 8. März IT-Grundschutz-Tag 2018 Holger Schildt Referatsleiter IT-Grundschutz
Ausblick und Diskussion 8. März 2018 1. IT-Grundschutz-Tag 2018 Holger Schildt Referatsleiter IT-Grundschutz IT-Grundschutz Informationssicherheit in der Praxis IT-Grundschutz verfolgt einen ganzheitlichen
MehrRainer Faldey Datenschutzbeauftragter GDDcert. EU Rainer Faldey Dipl. Betriebswirt (FH) Datenschutzbeauftragter GDDcert. EU Datenschutzbeauftragter IHK Mitglied der Gesellschaft für Datenschutz und Datensicherheit
MehrMit ISIS12 zur DS-GVO Compliance
Mit ISIS12 zur DS-GVO Compliance IT-Sicherheit am Donaustrand Datenschutz Up(2)Date? Deggendorf 18.04.2018 BSP-SECURITY 2018 2018 BSP-SECURITY Michael Gruber Seit 18 Jahren Berater im Bereich IT-Compliance
MehrANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN
ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN Stand November 2017 Dieses Dokument enthält vertrauliche und firmeneigene Informationen der MAN. Dieses Dokument und
MehrErfahrungen der. DQS GmbH. bei der Zertifizierung von Medizinprodukteherstellern
Erfahrungen der DQS GmbH bei der Zertifizierung von Medizinprodukteherstellern 2004-11-24, Seite 1 Normensituation Medizinprodukte DIN EN ISO 9001:94 DIN EN ISO 9001:2000 DIN EN 46001/2:1996 DIN EN ISO
Mehrpco ISO Lead Implementer Training vom 16. bis 20. Oktober 2017 Einleitung Inhalte des Workshops
pco ISO 27001 Lead Implementer Training vom 16. bis 20. Oktober 2017 Einleitung Das Training ISO 27001 Lead Implementer vermittelt den Teilnehmern einen fundierten Überblick, wie durch den Aufbau und den
MehrVdS 3473 Informationssicherheit für KMU
T.I.S.P. Community Meeting Frankfurt a.m., 10. - 11.11.2016 VdS 3473 Informationssicherheit für KMU Michael Wiesner Michael Wiesner GmbH Michael Wiesner Informationssicherheit seit 1994 Berater, Auditor,
MehrDatenschutz und Informationssicherheit
Niedersächsischer CyberSicherheitstag 2018 Fachforum 5 Datenschutz und Informationssicherheit Axel Köhler Informationssicherheitsbeauftragter der Landesverwaltung Einheitliches Managementsystem für Informationssicherheit
MehrCheckliste für Ihre Informationssicherheit
Checkliste für Ihre Informationssicherheit Quelle: Bundesamt für Sicherheit in der informationstechnik BSI 53133 Bonn Die Fragen in diesem Kapitel fassen den Inhalt von 50 Sicherheitsmaßnahmen kurz zusammen
MehrVdS-Richtlinien 3473 Workshop zur LeetCon 2017
VdS-Richtlinien 3473 Workshop zur LeetCon 2017 Michael Wiesner GmbH, 18.10.2017 Der Navigator für Informationssicherheit im Mittelstand www.michael-wiesner.info Vorstellung Michael Wiesner Der Navigator
MehrInformationssicherheit - Nachhaltig und prozessoptimierend
Informationssicherheit - Nachhaltig und prozessoptimierend Die zwei ersten Lügen in einem Audit Herzlich Willkommen Ich bin nur gekommen um Ihnen zu helfen Unternehmen Auditor Vorstellung Malte Wannow
MehrLeitlinie zur Informationssicherheit des Ministeriums für Schule und Bildung des Landes Nordrhein-Westfalen. (Informationssicherheitsleitlinie MSB)
Leitlinie zur Informationssicherheit des Ministeriums für Schule und Bildung des Landes Nordrhein-Westfalen (Informationssicherheitsleitlinie MSB) Inhaltsverzeichnis Inhaltsverzeichnis... 2 1 Einleitung...
MehrGenügt ein Schloss am PC? Informationssicherheit bei Übersetzungen
Genügt ein Schloss am PC? Informationssicherheit bei Übersetzungen Agenda Fazit Warum IS Bewusstsein bei Akteuren Voraussetzungen IS- Systeme bei DL Warum Informationssicherheit (IS)? Informationen sind
MehrUmsetzung von Informationssicherheitsprozessen. DFN-Teilnehmern. Dr. Christian Paulsen DFN-CERT Services GmbH
Umsetzung von Informationssicherheitsprozessen bei DFN-Teilnehmern Dr. Christian Paulsen DFN-CERT Services GmbH paulsen@dfn-cert.de Kurzvorstellung DFN-CERT Services GmbH 1993 bis 1999 als Projekt an der
MehrERFA-Nachmittag IKS Sicht Gemeindeinspektorat
DEPARTEMENT VOLKSWIRTSCHAFT UND INNERES ERFA-Nachmittag IKS Sicht Gemeindeinspektorat 19. Mai 2016 Ausgangslage 2 Rechtliche Grundlagen 3 Rechtliche Grundlagen 4 5 Zielsetzungen Das IKS hat zum Ziel die
MehrAUSZUG AUS DEM DEUTSCHLAND
EUROPÄISCHE KOMMISSION GENERALDIREKTION GESUNDHEIT UND VERBRAUCHER Direktion F Lebensmittel- und Veterinäramt DG (SANCO)/2008-8744 RS DE AUSZUG AUS DEM BERICHT DES LEBENSMITTEL- UND VETERINÄRAMTES ÜBER
MehrInformationssicherheit in der Rechtspflege. Chancen, Herausforderungen, praktische Lösungen
Informationssicherheit in der Rechtspflege Chancen, Herausforderungen, praktische Lösungen Reto Frischknecht, Delta Logic AG Adolf J. Doerig, Doerig + Partner AG ejustice.ch,, 19. März 2013 Agenda Ausgangslage
MehrModernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe
Modernisierung des IT-Grundschutzes: Informationssicherheit von der Basis bis in die Tiefe Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit PITS, Berlin, 14.09.2016 Agenda
MehrProjekt Assessment. Ermittlung und Umsetzung von Verbesserungspotentialen in der Projektarbeit. Project Consulting C o m p a n y
Projekt Assessment Ermittlung und Umsetzung von Verbesserungspotentialen in der Projektarbeit Company KG Herbert-Weichmann-Straße 73 22085 Hamburg Telefon: 040.2788.1588 Telefax: 040.2788.0467 e-mail:
Mehr