Normierte Informationssicherheit durch die Consultative Informationsverarbeitung



Ähnliche Dokumente
der Informationssicherheit

Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB /Geschäftsführer Thomas Michel FBCS

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

Handbuch Interne Kontrollsysteme (IKS)

Qualitätsmanagementsysteme im Gesundheitswesen

Informations- / IT-Sicherheit Standards

Identifikation von Erfolgsfaktoren und Ableitung von Handlungsempfehlungen für die Implementierung eines Qualitätsmanagementsystems in der Apotheke

Implementierung eines steuerlichen Risikomanagementsystems

Technische Universität München Fachgebiet Dienstleistungsökonomik. Strategisches Kooperationsmanagement von Wirtschaftsverbänden.

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

IT- Sicherheitsmanagement

IT-Sicherheit in der Energiewirtschaft

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Sicherheitsaspekte der kommunalen Arbeit

Risikomanagement bei Medizinprodukten


IT-Sicherheitsmanagement bei der Landeshauptstadt München

Einführung und Umsetzung eines QM-Systems. Büro für Qualitätsmanagement Dr. Jens Wonigeit

Informationssicherheit in der kommunalen Verwaltung - Schaffung eines IT- Grundschutzniveaus für kl. und mittlere Gemeinden

GESCHLOSSENE IMMOBILIENFONDS EIN FUZZY-BEWERTUNGSMODELL UNTER BESONDERER BERÜCKSICHTIGUNG STEUERLICHER ASPEKTE. Dissertation

Inhaltsverzeichnis...I. Tabellenverzeichnis... V. 1. Einleitung Ziele der Untersuchung und Abgrenzung des Untersuchungsgegenstandes...

IT-Grundschutz nach BSI 100-1/-4

Internes Audit in universitären Hochschulen

DIN ISO Familie. Regeln und Regeln für Regeln regeln die Regeln und deren Regeln. Hartmut Vöhringer

Risiko: Inventur, Felder, Bewertung, Priorisierung, Strategien

Proaktive Entscheidungsunterstützung für Geschäftsprozesse durch neuronale Netze

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

Fachtagung Safety in Transportation Leitfaden für die IT Sicherheit auf Grundlage IEC 62443

Informationssicherheit - Last oder Nutzen für Industrie 4.0

GPP Projekte gemeinsam zum Erfolg führen

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

ecco Kundensupport zur Normenrevision ISO 9001:2015 und ISO 14001:

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

SAP/IS-U Einführung. e.on Mitte AG. Stand , Version 1.0

MM IT-Sicherheit

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

Risiko-Management im Krankenhaus Implementierung eines Managementsystems zur Minimierung von Risiken

Das Qualitätsmanagement-Audit im Umfeld des Managements

Security & Quality: Implementierung von ISO und ISO in der Medizintechnik

Dissertation. zur Erlangung des akademischen Grades eines. Doktors der Wirtschaftswissenschaften. (Dr. rer. pol.)

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Informationssicherheit in der Energieversorgung

Technische Realisierung von Datenschutz in Unternehmen. Prof. Dr. Hannes Federrath Universität Regensburg

Petri-Netzbasierte Modellierung und. Analyse von Risikoaspekten in. Zur Erlangung des akademischen Grades eines. Doktors der Wirtschaftswissenschaften

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Sebastian Merk, M.Sc. Erstgutachter: Zweitgutachter: Prof. Dr. Alexander Gerybadze Prof. Dr. Andreas Pyka

Ergebnisorientierte Leistungsvereinbarungen bei PPP-Modellen. Inhaltsverzeichnis

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Regulatorische Anforderungen an die Entwicklung von Medizinprodukten

Talentmanagement in Unternehmen gestalten. Suche und Bindung von technischen Fachkräften

Beck-Wirtschaftsberater im dtv Rating. Wie Sie Ihre Bank überzeugen. von Prof. Dr. Ottmar Schneck

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Die Neue Revision der ISO 9001:2015

CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

» IT-Sicherheit nach Maß «

Wir organisieren Ihre Sicherheit

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

Reihe: Immobilienmanagement Band 13

Informationssicherheit in handlichen Päckchen ISIS12

Leistungsportfolio Security

International anerkannter Standard für IT-Sicherheit: ISO Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

Informationssicherheit als Outsourcing Kandidat

Kirchlicher Datenschutz

Dirk Loomans, Micha-Klaus Müller. Bedrohungs- und Schwachstellenanalysen

Qualitätsmanagement an beruflichen Schulen in Deutschland: Stand der Implementierung. Diplomarbeit

Die Umsetzung von IT-Sicherheit in KMU

Risiko und Compliance Management Nur der guten Ordnung halber? Wolfram Bartuschka Dr. Daniel Kautenburger-Behr

CCF.NRW. Corporate Carbon Footprint für Unternehmen in Nordrhein-Westfalen. Ein Pilotprojekt der EnergieAgentur.NRW

Corporate Social Responsibility am Beispiel der deutschen Versicherungsbranche und der ARAG SE

IT-Governance und COBIT. DI Eberhard Binder

Zertifizierung nach DIN ENIS09000

Risikomanagement in sozialen Unternehmen

Security Reporting. Security Forum FH Brandenburg Guido Gluschke 2012 VICCON GmbH

Prozessanalyse und -optimierung. Die Beratungsleistung der Dr. Peter & Company AG

Änderungen ISO 27001: 2013

Marktforschung für ein mittelständisches Unternehmen in der Volksrepublik China. Diplomarbeit. - am praktischen Beispiel der Michael Weinig AG -

13* Markteinsteiger - eine interessante Zielgruppe? Erfolg von speziellen Marketing-Massnahmen zur Gewinnung und Bindung von Markteinsteigern

STECKBRIEF 1 st, 2 nd, 3 rd PARTY AUDITOR

Digitale Gremienarbeit

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Informations-Sicherheit mit ISIS12

Qualitätssicherung in der Steuerberatung - Verfahren der externen Qualitätskontrolle für den Berufsstand der Steuerberater

Controlling von Direktbanken

ISO 27001: ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

1. In welchen Prozess soll LPA eingeführt werden und warum? (Auslöser und Prozess)

WHITEPAPER. ISO Assessment. Security-Schwachstellen und -Defizite erkennen

Handbuch. Mit Informationen zur Unterstützung des Risikomanagers. von Medizinischen IT-Netzwerken. zur Umsetzung der DIN EN

Vorwort des betreuenden Herausgebers (Berndt) A. Strategieprozess und aufsichtsrechtliche Anforderungen (Bastek-Margon)... 7

Prof. Dr. Johann Janssen

Vom Umwelt- zum Energiemanagementsystem

Transkript:

Normierte Informationssicherheit durch die Consultative Informationsverarbeitung INAUGURALDISSERTATION zur Erlangung des akademischen Grades eines Doktors der Wirtschaftswissenschaften an der Wirtschaftswissenschaftlichen Fakultät der Julius-Maximilians-Universität Würzburg vorgelegt von Diplom-Kaufmann Andreas Gabriel aus Werneck Würzburg 2010

Inhaltsverzeichnis 1 Sicherheit - die Geißel des 21. Jahrhunderts? 1 1.1 Relevanz und Notwendigkeit der Informationssicherheit 3 1.2 Definition der Zielgruppe 6 1.3 Beschreibung der Vorgehensweise 7 1.4 Aufbau der Arbeit 9 2 Grundlegende Begriffe 15 2.1 Norm oder Standard? 15 2.1.1 Ausprägungen von Standards 15 2.1.2 Norm 17 2.1.3 Normungsgremien 18 2.1.4 Internes und externes Audit 19 2.1.5 Zertifizierung 20 2.1.6 Normierung und Vereinheitlichung 21 2.2 Wichtige Begriffe im Bereich Sicherheit 21 2.2.1 Entstehung des menschlichen Sicherheitsbedürfnisses 22 2.2.2 IT und IT-Sicherheit 23 2.2.3 Schwachstelle, Bedrohung, Risiko und Wahrscheinlichkeit 24 2.2.4 Organisatorische Sicherheit 26 2.2.5 Compliance 26 2.2.6 Ganzheitliche Betrachtung der Informationssicherheit 28 2.3 Wissen und Expertensysteme 30 3 Wissensbasierte Systeme 35 3.1 Von der sequentiellen zur regelbasierten Programmierung 35 3.2 Historische Entwicklung Wissensbasierter Systeme 38 3.3 Grundsätzliche Funktionsweise 40 3.4 Unterschiedliche Ausprägungen Wissensbasierter Systeme 42 3.4.1 Semantische Netze 46 3.4.2 Künstliche Intelligenz 49 3.4.3 Wissensbasierte- bzw. Expertensysteme 52 3.4.4 Neuronale Netze 56

4 Consultative Informationsverarbeitung 59 4.1 Von der Funktions- zur Fallorientierung 60 4.1.1 Funktionsorientierung in der unternehmerischen Praxis 61 4.1.2 Funktionsorientierung in der öffentlichen Verwaltung 61 4.2 Definition und Beschreibung 62 4.2.1 Notwendigkeit und Existenzberechtigung 65 4.2.2 Potentiale und Erfolgschancen 66 4.2.3 Grenzen und potentielle Hindernisse 70 4.3 Erstellung und Wartung eines CFV-Systems 71 4.3.1 P H A S E I: Umgang mit dem Produktionsfaktor Wissen 72 4.3.2 P H A S E II: Definition geeigneter Wissensquellen 73 4.3.3 PHASE III: System-Architektur 73 4.3.4 P H A S E IV: Entwicklung der eigentlichen Wissensbasis 75 4.3.5 P H A S E V: Fragesystem für die Inferenzmaschine 76 4.3.6 P H A S E VI: Einsatz der CIV 77 4.3.7 PHASE VII: Weiterentwicklung, Wartung und Pflege 78 4.3.8 PHASE VIII: Arbeit des Knowledge-Engineers 78 5 Mittelstand - Stellenwert und Charakterisierung 81 5.1 Abgrenzungsmöglichkeiten KMU - Großbetrieb 81 5.1.1 Quantitativ 81 5.1.2 Qualitativ 82 5.1.3 Definition für diese Arbeit 83 5.2 Besonderheiten im Mittelstand 84 5.2.1 Arbeitsverteilung 85 5.2.2 Notwendigkeit der Informationssicherheit 89 5.3 Anforderungen und Notwendigkeiten der Informationssicherheit 94 5.4 Umsetzung im Rahmen der CIV 97 6 Ein Mindestmaß an Sicherheit 101 6.1 Obligatorische Schutzmaßnahmen 102 6.1.1 Organisatorische Sicherheit 104 6.1.2 Technische Sicherheit 107 6.2 Weiterführende Schutzmaßnahmen 114

6.3 Wer trägt die Verantwortung im Bereich Sicherheit? 116 6.4 Umsetzung im Rahmen der CIV 118 7 Sicherheitskennzahlen 121 7.1 Grundlagen 122 7.2 Return On Investment 126 7.3 Return On Security Investment 127 7.4 Umsetzung eines Kennzahlenssystems 128 7.4.1 Kategorie I: Nur bei Veränderung zu betrachten 128 7.4.2 Kategorie II: Regelmäßig zu analysierende Kennzahlen 131 7.5 Umsetzung im Rahmen der CIV 138 8 Sicherheitsrechtliche Rahmenbedingungen 141 8.1 Grundlegende Betrachtung 141 8.2 Vorgaben aus deutschem Recht 142 8.2.1 Gesellschaftsrecht 142 8.2.2 Gesetz zur Kontrolle und Transparenz im Unternehmensbereich 143 8.2.3 Datenschutzrecht 145 8.3 Selbstverpflichtungsvorgaben von Berufsständen 147 8.3.1 Basel II 147 8.3.2 Institut der Wirtschaftsprüfer 148 8.4 Sarbanes Oxley Act 150 8.5 EuroSOX 150 8.6 Umsetzung im Rahmen der CIV 151 9 Notwendigkeiten, in die eigene Sicherheit zu investieren 155 9.1 Vergleich Sicherheitszertifizierung vs. DIN EN ISO 9001:2008 155 9.2 Gründe für eine Sicherheitszertifizierung 156 9.2.1 Automobilbranche 157 9.2.2 Öffentliches Gesundheitswesen 159 9.2.3 De-Mail 161 9.3 Umsetzung im Rahmen der CIV 162 10 Sicherheitsstandards und -normen 165 10.1 IT-Grundschutz des BSI 166

10.2 Normenreihe ISO 2700x 169 10.3 Information Technology Infrastructure Library : 175 10.4 Control Objectives for Information and related Technology 177 10.5 Weiterführende Sicherheitsansätze 179 10.6 Gegenüberstellung und Bewertung 183 10.7 Umsetzung im Rahmen der CIV 189 11 Informationssicherheitsmanagementsystem 193 11.1 Modellhafte Umsetzung 193 11.2 Charakterisierung 197 11.3 Definition wichtiger Projektschritte 200 11.3.1 Definition des Anwendungsbereichs 202 11.3.2 Basisdokumente 203 11.3.3 Erklärung zur Anwendbarkeit 207 11.4 Implementierung der Vorgehensweise,Plan-Do-Check-Act' 208 11.5 Projektteam und-ablauf 211 11.5.1 Zusammenstellung des Projektteams 212 11.5.2 Projektplanung 213 11.6 Umsetzung im Rahmen der CIV 219 12 Risikomanagement 221 12.1 Wichtige Definitionen 224 12.2 Durchführung einer Risikoanalyse 226 12.2.1 Erfassung der Unternehmenswerte 228 12.2.2 Analyse der Unternehmenswerte 231 12.2.3 Risikobewertung 233 12.2.4 Strategieauswahl 237 12.2.5 Bedrohungen und Schwachstellen 239 12.2.6 Sicherheitsmaßnahmen 243 12.2.7 Qualitätssicherung 244 12.2.8 Restrisiko ; 247 12.3 Einbeziehung der Fachabteilungen 248 12.4 Umsetzung im Rahmen der CIV 253

13 Umsetzung im Rahmen der CIV 257 13.1 Technische Basis 257 13.2 Fragenbasis 260 13.2.1 Eindeutige Fragealternativen 261 13.2.2 Mathematische Antwortfindung 264 13.3 Konzeption der Fragekategorien 265 13.4 Fragen und Antwortalternativen/Abhängigkeiten/Ergebnisse 267 13.4.1 Fragen und Antwortalternativen 268 13.4.2 Abhängigkeiten 268 13.4.3 Ergebnisse 269 14 Management Summary 279 Anhang - Übersicht 285 1. Publikationen im Bereich der Informationssicherheit 287 2. Umsetzung des PDCA-Zyklus 288 3. Meilensteine eines Zertifizierungsprojekts 290 4. C/I/A-Analyse bei einem KMU 291 5. BSI-Gefahrenkataloge (Auszug) 292 6. BSI-Maßnahmenkataloge (Auszug) 293 7. Erfassungsschema 294 8. Vorgehensweise bei der Zuordnung Unternehmenswert - Bedrohung 298 9. Beispielumsetzung eines Fragenkatalogs 300 10. Verknüpfung der einzelnen Fragen 304 Quellenverzeichnis 307 Abbildungsverzeichnis 327 Tabellenverzeichnis 329 Abkürzungsverzeichnis 331

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback