ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang
Kurze Vorstellung...sind Wegweiser für Ihre Informationssicherheit, geben Orientierung in komplexen Themen, geben einen 360 Blickwinkel auf Ihre Prozesse, navigieren Sie durch Normen und Standards. 14.09.2018 Ralf Wildvang 1
Agenda Anforderungen an Informationssicherheit Was ist ISIS12? ISIS12 und die DS-GVO Zertifizierung Ihres ISMS gemäß ISIS12 Einführung von ISIS12 14.09.2018 Ralf Wildvang 2
Anforderung an Informationssicherheit Steigende Komplexität der Informationstechnik Grad der Vernetzung Abhängigkeit von der IT Angriffe von innen und außen Kosten für IT Kundenanforderungen Servicequalität Vertragliche Anforderungen Rechtliche Vorgaben
Rechtliche Rahmenbedingungen Umfangreiche Gesetze, Vorschriften, Regelungen und Verpflichtungen geben Rahmenbedingungen vor IT-Sicherheitsgesetz BDSG sowie Landes-Datenschutzgesetze Europäische Datenschutz Grundverordnung EU-DSGVO Vertragliche Vorgaben durch Auftraggeber Versicherungs-Policen Branchenspezifische Vorgaben
Beispiel: Vertragliche Anforderungen X (1) Der Auftragnehmer verpflichtet sich ein ISMS zur Einhaltung der Vertraulichkeit, Integrität und Verfügbarkeit... (2) Der Auftragnehmer sichert zu risikoreduzierende Sicherheitsmaßnahmen im Unternehmen... (3) Bei Verstößen gegen (1) und (2) haftet der Auftragnehmer für... (4) Bei Nichteinhaltung kann seitens des Auftraggebers die vertragliche Grundlage entzogen werden, sofern... Zur Erfüllung vertraglicher Anforderungen braucht ein Unternehmen ein Datenschutz- und IT-Sicherheitskonzept!
Beispiel: Die DSGVO Art. 32... geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten Es drohen empfindliche Bußgelder Bußgeld von bis zu 2%/10 Mio. EUR bis 4%/20 Mio. EUR, bezogen auf den weltweit erzielten Jahresumsatz des Unternehmens, je nachdem welcher der Beträge höher ist. (Art. 83) Seit Mai 2018 braucht jedes Unternehmen ein Datenschutz- und IT-Sicherheitskonzept!
Zwischenfazit Technische / Organisatorische Maßnahmen stellen sich oft als große Herausforderung heraus! 14.09.2018 Ralf Wildvang 7
Standards für Informationssicherheit und Kommunen
Was ist ISIS12? ISIS12 - Informations-Sicherheitsmanagement-System in 12 Schritten Verständlich beschriebener 12-stufiger Prozess, der den Einstieg in die Informationssicherheit (ISMS) erleichtert ISMS wird mit IT-Service Management verknüpft Entwickelt für KMU, Kommunen und NGO Spezifischer ISIS12-Maßnahmensatz wird vorgegeben 12-stufiger Prozess als Workflow abgebildet Herausgeber: Bayerischer IT-Sicherheitscluster e.v. Aktuelle Version: 1.9 (Januar 2018)
Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12
Datenschutz trifft Informationssicherheit Architektur Erweiterung DS-GVO DS-GVO DS-GVO DS-GVO Initialisierungsphase Schritte 1-2 DS-GVO DS-GVO DS-GVO DS-GVO Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 DS-GVO DS-GVO
ISIS12 und die DSGVO Schritt DS-GVO - Konformität und Artikel Schritt1 Erweiterung der Sicherheitsleitlinie zur Datenschutzrichtlinie Schritt 2 Datengeheimnis und Schulung Mitarbeiter DSAnpUG-EU: 53 - Schritt 3 Datenschutzbeauftragter DS-GVO: Art. 37,38, 39... DSAnpUG-EU: 5, 7, 38... Schritt 4 Dokumentationspflicht DS-GVO: Art. 4, 5, 12, 13, 14, 15, Schritt 5 Datenschutzprozesse DSAnpUG-EU: 29, 34, 35... DS-GVO: Art. 15, 16, 17, 18, 19, 20, 21, 22, 33, 34... Schritt6 Verarbeitung personenbezogenerdaten in Anwendungen Schritt 7 Sicherheit der Verarbeitung DS-GVO: Art. 32 Schritt 12 Zertifizierung DS-GVO: Art. 42 DS-GVO: Art. 6, 7, 8, 9, 24, 28, 30, 32, 35, 44...
Unterstützung durch Software
Zertifizierung nach ISIS12 Möglichkeit zur Zertifizierung durch die DQS GmbH Zertifikatsgültigkeit von 3 Jahren, inkl. 2 Überwachungsaudits Auditierung durch zertifizierte ISIS12- Auditoren Unterstützung durch ISIS12-Dienstleister möglich
Vorteile / Nutzen - Informationssicherheit mit ISIS12? Kundenanforderungen Rechtliche Vorgaben Eigeninteresse öffentliche Kunden Zuverlässige Serviceleistungen sichere Infrastrukturen E-Business Entwicklungspartnerschaft Know-how Schutz Cloud Thematik Open-Government Schutz der Kundendaten IT-Sicherheitsgesetz(IT-SiG) Risk Management z.b. KontraG Datenschutz BDSG Haftungsfragen Regulierung / Corp. Governance (z. B. SOX, Basel III) Compliance (regulatorische z.b. BNetzA) EU-Datenschutzgrundverordnung (EU- DSGVO) Schutz von Informationen und Wissen Schutz der Infrastrukturen Image in der Öffentlichkeit Cloud Thematik und Cloud-Lizenzmodelle Chancen und auch Herausforderungen der Digitalisierung Attraktivität des Arbeitgebers Moderne Arbeitsplatzgestaltungen Gefährdungslage Haftungsfragen
Vorteile / Nutzen - Zusammenfassung Vorteile eines ISMS mit ISIS12
Einführung von ISIS12 Unterstützung / Coaching durch zertifizierte Berater Hilfestellung Hilfe zur Selbsthilfe durch vordefinierte Arbeitspakete Optimierter Zeitansatz des Projektes Optimierung von Projektkosten Strukturierte Vorgehensweise Vollständige Projektdokumentation 14.09.2018 Ralf Wildvang 17
Abschluss Vielen Dank für die Aufmerksamkeit 14.09.2018 Ralf Wildvang 18
Kontaktinformationen Ralf Wildvang ISO 27001 Security Officer (TÜV Süd) ISO 27001 Auditor (ICO-Cert) Lizensierter / zertifizierter ISIS12 Berater (ICO-Cert) Sempacon GmbH & Co. KG Kerschensteinerweg 1 40723 Hilden Telefon: +49 171 765 66 66 Mail: r.wildvang@sempacon.de 14.09.2018 Ralf Wildvang 19