der sichere Weg zum ganzheitlichen Information-Security- nach ISO 27001

Größe: px

Ab Seite anzeigen:

Download "der sichere Weg zum ganzheitlichen Information-Security- nach ISO 27001"

Helmuth Lorenz
vor 8 Jahren
Abrufe

1 der sichere Weg zum ganzheitlichen Information-Security- Management-System (ISMS) nach ISO Version: 1.2 / WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz Telefon Zimmerstraße 1 Gesmolder Straße 36 Classenstieg 9 Telefax Hamburg Osnabrück Hamburg info@wmc-direkt.de

2009 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz Telefon

2 WMC seit 8 Jahren optimale Leistungen im Projekt- und Servicebetriebsgeschäft ausschließlich managementerfahrene Top-Consultants mit Konzernerfahrung gemeinsame Umsetzung messbarer, akzeptierter Ergebnisse Kunde ausschließlich managementerfahrene Top-Consultants mit Konzernerfahrung gemeinsame Umsetzung messbarer, akzeptierter Ergebnisse Consulting (IT-Security) Consulting (IT-Solution) Kernkompetenzen IT-Security/Informationssicherheit Risikomanagement Kernkompetenzen IT-LifeCycleManagement Asset- und Vertragsmanagement Lizenzmanagement Softwareentwicklung Expertendatenbank für den Aufbau und Betrieb eines Information Security Management Systems Philosophie Wir bringen schneller mehr Ergebnis! Folie 2

Consulting (IT-Security) Consulting (IT-Solution) Kernkompetenzen IT-Security/Informationssicherheit Risikomanagement Kernkompetenzen IT-LifeCycleManagement Asset- und

3 [Q] SEC - Management von Informationen Geltende Gesetze, Normen, Richtlinien Liegenschafts- Informationen Geschäftsprozesse Mitarbeiterinformationen IHR Unternehmen IT-Infrastruktur Patente, Innovationen Eingesetzte Assets Projekte Folie 3 (Unternehmens-) Know-How

Mitarbeiterinformationen IHR Unternehmen IT-Infrastruktur

4 [Q] SEC - Management von Informationen, mögliche Quellen Externe Datenquellen, Foren, etc. Geltende Gesetze, Normen, Richtlinien FI/CO Daten, verwaltet durch Controlling und Rechtsabteilung Liegenschafts- Informationen Interne Beschreibungen auf Laufwerken oder in Datenbanken, meist in spezifischen Tool-Formaten Geschäftsprozesse HR-Tools, Mail, ADS, LDAP in unterschiedlichsten Farben und Formen Mitarbeiterinformationen Excel-Listen, Pläne, Charts in Abteilungslaufwerken oder Datenbank-gestützte Tools IHR Unternehmen IT-Infrastruktur Excel-Listen in Abteilungslaufwerken oder Datenbank-gestützte Tools Eingesetzte Assets Projektdatenbanken, Abteilungslaufwerke, Intranet und vieles, vieles mehr!! Projekte Folie 4 Im günstigsten Fall eine Knowledge-Base, eher jedoch in unstrukturierter Ablage (Unternehmens-) Know-How Die Kronjuwelen des Unternehmes, meist ein Papier-Archiv Patente, Innovationen

spezifischen Tool-Formaten Geschäftsprozesse HR-Tools, Mail, ADS, LDAP in unterschiedlichsten Farben und Formen Mitarbeiterinformationen Excel-Listen, Pläne, Charts in Abteilungslaufwerken oder

5 [Q] SEC - Management von Informationen, Bewertung Welche der vorliegenden Informationen sind für die Einführung eines ISMS notwendig? Wo bekomme ich diese Informationen her? Sind diese Informationen richtig, abgestimmt und aktuell? Habe ich eine Bewertungsgrundlage für diese Informationen? Kann ich auf der Basis dieser Informationen potentielle Risiken bewerten? Kann ich auf der Basis dieser Informationen und identifizierter Risiken notwendige Maßnahmen formulieren? Wie schaffe ich aus dieser Informationsflut ein wirksames System zum Schutz eben dieser Informationen mit allen notwendigen Aktivitäten und Verantwortlichkeiten? nachvollziehbar, beständig, effektiv

Kann ich auf der Basis dieser Informationen potentielle Risiken bewerten?

6 [Q] SEC - Methode zur Einführung eines ISMS - Methode zum Betrieb eines ISMS Act Check Strat tegische Aus richtung bes stimmen nde arbeiter derholen der Mita tive wied sierung Effek Sensibili überprüfen Grundsätze und Leitlinien erstellen (Security Policy) 0 Permanentes Selfassessment Assessment durchführen Permanentes Risikomanagement ik durchführen 1 2 Permanente Risikobegegnung durchführen Permanentes Maßnahmen-Management Maßnahmen-Mgt. durchführen 3 4 Plan Do - Geschäftsführungsentscheidung g zur konsequenten Sicherheitspolitik - Ernennung eines Sicherheitsbeauftragten auf Managementebene - Einführung von Grundsätzen und Leitlinien - Implementierung der ISMS-Organisation - Technik geprüft und bewertet (Vulnerability Assessment) - Ressourcen und Prozesse zugeordnen und bewertet - sonstige branchenspezifische Assessments (z.b. VDA PTS) - Beurteilung der Prozesse nach Business-Kritikalität - Erstellung eines Business-Blueprints der Systemlandschaft - Ermittlung der Assetwerte zur Bildung eines Kennzahl-Systems - Bedrohungs- und Schwachstellenanalyse der Systemlandschaft - Bewertung der möglichen Risiken - Erstellung eines Risikobegegnungsplans - Akzeptanz oder Transfer der Risiken -Durchführung von Sicherheitssofortmaßnahmen - Ausrichtung des BCM zur Abdeckung operativer Risiken - Terminieren i und aufsetzen notwendiger Projekte - Überprüfen der eingeleiteten Maßnahmen - Absicherung durch etabliertes Notfallmanagement Folie 6

durchführen Permanentes Maßnahmen-Management Maßnahmen-Mgt.

7 [Q] SEC verbindet Gesetze, Standards und Vorgaben mit Systemen, Applikationen und Geschäftsprozessen 0ff ITIL

8 [Q] SEC Module Version 1.0 Die [Q]SEC Suite Compliance Dokumente Maßnahmen Risiko Folie 8

9 [Q] SEC - methodisches Vorgehen Mit [Q] SEC - dem sicheren, softwaregestützten Weg zum ganzheitlichen Information Security Management System (ISMS) nach ISO Stammdaten Compliance Risiko Reporting Mitarbeiter, Teams Rollen Organisation, Adressen Untersuchungsbereiche Geschäftsprozesse Assetgruppen Verknüpfungen untereinander Untersuchungsbereich festlegen, erweitern Selfassessment durchführen Selfassessment abschließen Maßnahmenübergabe Bewertungen regel- mäßig überprüfen SoA bestimmen Bewertung der Prozesse Ermittlung der Assetwerte Bedrohungs- und Schwachstellenanalyse der Systemlandschaft Bewertung der möglichen Risiken Erstellung eines Risiko- Begegnungsplanes Maßnahmenübergabe Ausgabe und Darstellung Verfolgen der Entwicklung über Zeit professionelles Layout Analysen und grafische Aufbereitung Sichtweisen verschie- dener Zielgruppen Act Sicherheit ist ein Plan Prozess Check Do Maßnahmen Erfassen und Managen der Maßnahmen Zuweisen von Verantwortlichkeiten Status-Abfragen bei Verantwortlichen Abschließen, abbrechen, Risiko-Akzeptanz von Maßnahmen Akzeptanz Bewertung von Maßnahmen nach Risiko-Kriterien Risiko-Akzeptanz- Protokollierung Historisierung aller wichtigen Elemente und Vorgänge Folie 9

durchführen Selfassessment abschließen Maßnahmenübergabe Bewertungen regel- mäßig überprüfen SoA bestimmen Bewertung der Prozesse Ermittlung der Assetwerte Bedrohungs- und Schwachstellenanalyse der

10 Maßnahmenmanagement Untersuchungsbereich z.b. Patch Klassifizierung Protokollierung Sichten auf die Maßnahmen Maßnahmen Dokument z.b. Richtlinie Arbeitsanweisung Formular Handbuch Checkliste z.b. A5 A6 Name des verantwort-- lichen Mitarbeiters Struktur im Maßnahmenmanagement Bezeichnung Beschreibung Zieldatum Priorität Verantwortlich Umsetzungsgrad Status Projektname Projektverantwortlicher Verknüpfung Compliance Dokument mit anderen Maßnahmen individuelle Maßnahmen Risikomanagement Für jede Sicht wird eine entsprechende Verknüpfung am Dokument erstellt. Folie 10

Umsetzungsgrad Status Projektname Projektverantwortlicher Verknüpfung Compliance Dokument mit anderen Maßnahmen individuelle Maßnahmen

11 Methode zur Risikobewertung Geschäftsprozess- Bewertung Assetgruppen- Bewertung Bedrohungsliste Schwachstellenliste Bedrohungsbewertung Schwachstellenbewertung Risikobewertung Risiko- Begegnungsplan Risiko- Akzeptanz

12 [Q] SEC ist eine Web-basierte Anwendung: Client Webserver Datenbank Reporting Compliance Web-Browser SSL Keine Installation Keine Wartung Microsoft Windows Server 2003 R2 / 2008 Microsoft IIS ASP.NET 3.5 Microsoft SQL Server 2008 Dokument Schnittstellen zu Risiko anderen Systemen Maßnahmen Programmierung mit Microsoft Visual Studio 2008 [Q] SEC ist eine Web-basierte Anwendung Mit [Q] SEC - dem sicheren, softwaregestützten Weg zum ganzheitlichen Information Security Management System (ISMS) nach ISO 27001

5 Microsoft SQL Server 2008 Dokument Schnittstellen zu Risiko anderen Systemen Maßnahmen Programmierung mit Microsoft Visual

13 [Q] SEC - Versionsentwicklung [Q] SEC Leistungen [Q] SEC bis Module: Module: [Q] SEC bis Normen: Eventconsole Integration (Qualys/ISS/ Checkpoint etc.) Module: Admin Stammdaten Compliance Maßnahmen Risiko (IT) Dokumenten Reporting (Reifegrad) [Q] SEC bis Normen: ISO ISO ISO VDA PTS Fragenkatalog Risiko (Gesamt) BIA (Business Impact Analyse) edoc ISO 9001 (QM) ISO (QM) ISO (ITIL) ISO (BCM) ISO (Risk) ISO (Logisik) ISO (DM) PCI / DSS SAS70 Fragenkatalog [Q] SEC Online (SaaS) S) Folie 13

0 Normen: ISO 27001 ISO 27002 ISO 13335 VDA PTS Fragenkatalog Risiko (Gesamt) BIA (Business Impact Analyse) edoc ISO 9001 (QM) ISO 16949 (QM) ISO 20000 (ITIL)

14 [Q] SEC [Q] SEC Version 1.1

15 Vielen Dank für Ihre Aufmerksamkeit! WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüro Zimmerstraße Hamburg Telefon: info@wmc-direkt.de Telefax: Homepage: Gern diskutieren wir Ihre FRAGEN in der Halle 11 am Stand A 50/13? 15

22085 Hamburg Telefon: 040 650 33 6-11 E-Mail: info@wmc-direkt.

16 WMC Ihr Kontakt WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüro Zimmerstraße Hamburg Telefon: Telefax: info@wmc-direkt.de Homepage: Folie 16

Telefon: 040 650 33 6-11 Telefax: 040 650 33 6-29

Ähnliche Dokumente

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz