Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess



Ähnliche Dokumente

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

Informationssicherheitsmanagement

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Die Umsetzung von IT-Sicherheit in KMU

FORUM Gesellschaft für Informationssicherheit mbh. GenoBankSafe-IT Der IT-Sicherheitsmanager

GPP Projekte gemeinsam zum Erfolg führen

Geyer & Weinig: Service Level Management in neuer Qualität.

Informationssicherheit als Outsourcing Kandidat

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Was sind Jahres- und Zielvereinbarungsgespräche?

Informationsmanagement

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

[Customer Service by KCS.net] KEEPING CUSTOMERS SUCCESSFUL

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Prozessmanagement Modeerscheinung oder Notwendigkeit

Was beinhaltet ein Qualitätsmanagementsystem (QM- System)?

Cloud Computing mit IT-Grundschutz

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Tag des Datenschutzes

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage

Übersicht Beratungsleistungen

P H I U S. Strategieentwicklung in Wissenschaft und Forschung

Informationssicherheit mit Zertifikat! Dr. Holger Grieb. IT Sicherheitstag NRW Köln, 04. Dezember 2013

IT-Revision als Chance für das IT- Management

Managementsysteme und Arbeitssicherheit

Prozessbeschrieb des Wissensaustauschs zwischen den Generationen in Unternehmen, Organisationen und in der Verwaltung

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Welches Übersetzungsbüro passt zu mir?

Organisation des Qualitätsmanagements

Qualitätsbeauftragter / interner Auditor und Qualitätsmanager. DGQ Prüfung zum Qualitätsmanager. Wege zum umfassenden Qualitätsmanagement

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Probleme kann man nie mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein BERATUNG

ISO 9001:2015 REVISION. Die neue Struktur mit veränderten Schwerpunkten wurde am 23. September 2015 veröffentlicht und ist seit

Prozessoptimierung. und. Prozessmanagement

Die 7 wichtigsten Erfolgsfaktoren für die Einführung von Zielvereinbarungen und deren Ergebnissicherung

Mit dem Tool Stundenverwaltung von Hanno Kniebel erhalten Sie die Möglichkeit zur effizienten Verwaltung von Montagezeiten Ihrer Mitarbeiter.

Projekt- Management. Landesverband der Mütterzentren NRW. oder warum Horst bei uns Helga heißt

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

BUSINESS-COACHING. für PROFESSIONALS FÜHRUNGS- UND FACHKRÄFTE, UNTERNEHMER, SELBSTSTÄNDIGE UND EXECUTIVES. Kaderli Coaching & Training

Qualitätsmanagement-Handbuch Das QM-System Struktur des QM-Systems

Weiterbildungen 2014/15

ChangeManagement. Vom IT-Spezialisten zum Führungsexperten

BUSINESS-COACHING. für PROFESSIONALS FÜHRUNGS- UND FACHKRÄFTE, UNTERNEHMER, SELBSTSTÄNDIGE UND EXECUTIVES. Dr. Doris Ohnesorge & Ingo Kaderli

Hinweise: Das I. Jour Fixe 2009 steht unter dem Motto. Gas geben in der Krise!

Stellungnahme der Bundesärztekammer

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Dieter Brunner ISO in der betrieblichen Praxis

1. In welchen Prozess soll LPA eingeführt werden und warum? (Auslöser und Prozess)

Geschäftsprozessimplementierung mit BPMN, ADF und WebCenter

«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Change Management. Hilda Tellioğlu, Hilda Tellioğlu

Unterrichtsmaterialien in digitaler und in gedruckter Form. Auszug aus: Abi-Retter-Strategien: Texterörterung. Das komplette Material finden Sie hier:

Wir sprechen. mittelständisch!

Beratung in der Gesundheitswirtschaft Management- und Organisationsberatung, die umsetzt, was sie verspricht

Konzentration auf das. Wesentliche.

Informationssicherheit in handlichen Päckchen ISIS12

RMeasy das SAP IS U Add On für Versorgungsunternehmen. Optimieren Sie Ihre Prozesse in Kundengewinnung und Kundenbindung.

DURCHBLICK IST UNSER GESCHÄFT

Die elektronische Rechnung als Fortsetzung der elektronischen Beauftragung so einfach geht es:

Sind wir attraktiv für Mitarbeiter? Employer Branding für Unternehmen auf Wachstumskurs.

Qualitätsmanagement Handbuch gemäss ISO 9001:2008 / ISO 13485:2003

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Trainingsplan 16-wöchiger Trainingsplan für einen Triathlon (Volkstriathlon), Einsteiger

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

07. November, Zürich-Oerlikon

Skills-Management Investieren in Kompetenz

Speicher in der Cloud

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

IT- Sicherheitsmanagement

Prozessmanagement. Schulungsflyer

Wie wirksam wird Ihr Controlling kommuniziert?

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Vorstellung des BMBF-Projektes FluSs aus Sicht eines Endanwenders. Düsseldorf Maritim-Hotel, 09. Juli 2013 Mark Zwirner

Unsere vier hilfreichsten Tipps für szenarienbasierte Nachfrageplanung

Richtlinien über das Betriebskonzept für Einrichtungen der Heimpflege für Kinder und Jugendliche

Projektmanagement in der Spieleentwicklung

Was ist das Budget für Arbeit?

Vermögensberatung. Inhalt

Mitteilung zur Kenntnisnahme

Agieren statt Reagieren. Risikomanagement das Werkzeug der Zukunft

Prof. Dr. Johann Janssen

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

Human Resources Strategie

Checkliste. Prioritäten setzen mit dem Pareto-Prinzip

KMU-verträgliche Umsetzung eines integrierten Qualitäts- und Umweltmanagementsystems

Transkript:

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet das Management von prüfungspflichtigen Kapitalgesellschaften für die Sicherheit ihrer unternehmensrelevanten IT-Strukturen zu sorgen. IT-Sicherheit ist deshalb eine gesetzlich verankerte Aufgabe der Unternehmensleitung. Doch auch ohne gesetzliche Vorgabe liegt die IT-Sicherheit im ureigensten Interesse des Unternehmens. Es gilt, die Risiken auf ein möglichst geringes Niveau zu bringen, das wirtschaftlich vertretbar ist und dauerhaft gehalten werden kann. Standards spielen dabei eine wichtige Rolle. Der Einsatz von Sicherheitsstandards im Unternehmen oder in einzelnen Bereichen verbessert die sicherheitsrelevanten IT-Prozesse zum Vorteil des Unternehmers, seiner Kunden sowie seiner Mitarbeiter. Die bekannten Sicherheitsstandards oder Standards mit Sicherheitsaspekten sind ISO 17799, BS 7799, IT-Grundschutzhandbuch, ITIL oder Cobit. Auch die Begriffe Business Continuity Management (BCM) und IT-Service Continuity Management (IT-SCM) werden immer wieder genannt. Die Auswahl eines geeigneten Standards richtet sich jedoch nach den Anforderungen an die IT-Sicherheit im Unternehmen und kann nicht pauschal festgelegt werden. So ist zum Beispiel zu entscheiden, ob eine Zertifizierung angestrebt wird. Was muss konkret beachtet werden? Die Wiederherstellung der IT-Infrastruktur im Katastrophenfall ist von strategischer Bedeutung für das Überleben eines Unternehmens am Markt. Die Bewertung der Maßnahmen im Rahmen der Katastrophenvorsorge muss auf Grundlage der wirtschaftlichen Bedeutung der Geschäftsprozesse erfolgen. Bei einer nachhaltigen Störung muss die IT-Sicherheitsinfrastruktur des Unternehmens ein Anlaufen der Geschäftsprozesse in definierten Zeitfenstern ermöglichen. Je wichtiger dabei ein Geschäftsprozess für die Unternehmung ist, desto mehr muss in die IT- Sicherheitsinfrastruktur investiert werden. Ziel ist der Aufbau einer IT- Sicherheitsorganisation und eines IT-Sicherheitsmanagements, welches die Anforderungen der Fachbereiche umsetzt. Einer der wichtigsten Grundsätze ist jedoch die Unterstützung des Managements. Nur damit kann eine dauerhafte Weiterentwicklung des IT-Sicherheitsniveaus erreicht werden. Die Grundlage: Der IT-Sicherheitsprozess Die Durchsetzung und Aufrechterhaltung eines angemessenen und ausreichenden IT- Sicherheitsniveaus kann nur durch geplantes und organisiertes Vorgehen aller Beteiligten gewährleistet werden. Es sind strategische Leitaussagen zu formulieren, konzeptionelle Vorgaben zu erarbeiten und die organisatorischen Rahmenbedingungen zu schaffen, um das ordnungsgemäße und sichere IT-gestützte Arbeiten des Unternehmens oder der Behörde zu ermöglichen. Sinnvollerweise wird durch die Unternehmensleitung ein gesteuerter IT-Sicherheitsprozess initiiert, der die Voraussetzungen für die durchdachte Gestaltung sowie sinnvolle Umsetzung und Erfolgskontrolle von IT-Sicherheitsmaßnahmen gewährleistet (Auszug aus dem IT- GSHB). Der Aufbau des IT-Sicherheitsprozesses ist somit der wichtigste Schritt bei der Implementierung und/oder Verbesserung der IT-Sicherheit. Entsprechend den Strukturen moderner Unternehmen stellt dies eine komplexe und anspruchsvolle Aufgabe dar. EMPRISE Process Management GmbH Seite 1

Die Einführung von Sicherheitsstandards im Unternehmen erfolgt nach dem jeweiligen Vorgehensmodell, dessen Schritte unterschiedlich ausgeprägt sind. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mit den IT-Grundschutzhandbuch (IT- GSHB) [1] eine effiziente und praxiserprobte Möglichkeit entwickelt, die IT-Sicherheit in Unternehmen zu implementieren und/oder zu verbessern. Abbildung 1: Vorgehensmodell nach IT-Grundschutzhandbuch des BSI Das IT-Grundschutzhandbuch enthält auf knapp 3.000 Seiten die empfohlenen Standardsicherheitsmaßnahmen für typische IT-Systeme. Es ist für den normalen Schutzbedarf angemessen und ausreichend und stellt die Basis für hochschutzbedürftige IT-Systeme dar. Es ist schnell anzuwenden und es stehen bereits Gefährdungs- und Maßnahmenkataloge zur Verfügung. Zusätzlich ist im BSI-Standard 100-2 die IT-Grundschutz Vorgehensweise [2] erläutert. Das Vorgehen ist allerdings fast ausschließlich textuell beschrieben. Im Rahmen der Prozessorientierung ist dabei aber die Visualisierung der Organisation und des Ablaufs von zentraler Bedeutung. Die Mitarbeiter lernen den IT-Sicherheitsprozess besser kennen. Dieser muss so gestaltet sein, dass er nicht nur von Spezialisten, sondern von allen Beteiligten verstanden wird. Die Ableitung eines transparenten, leicht nachvollziehbaren und konkreten Vorgehensmodells aus dem IT-GSHB ist daher eine langwierige und zeitaufwendige Aufgabe. Genau an dieser Stelle setzt das BONAPART Referenzmodell IT-Sicherheitsprozess an. Es liefert ein Prozessmodell, das die Implementierung der IT-Sicherheit zielführend und strukturiert durchführen kann. Aus dem IT-Grundschutzhandbuch abgeleitet kann es für das jeweilige Unternehmen individuell angepasst werden. EMPRISE Process Management GmbH Seite 2

Durch die grafische Beschreibung der Organisation und des Ablaufs, sowie der konsequenten Umsetzung des prozessorientierten Ansatzes ist das BONAPART Referenzmodell leicht verständlich und nachvollziehbar. Abbildung 2: BONAPART Referenzmodell IT-Sicherheitsprozess Es ist mit wenig Aufwand an die konkrete Organisation im Unternehmen anpassbar. Die vom BSI zur Verfügung gestellten Templates, Vorlagen, Kataloge und Formblätter sind bereits enthalten und können direkt aus dem Prozessmodell heraus gestartet werden. Durch die zusätzliche Modellierung des Ablaufs bei einer Zertifizierung, können die relevanten Bestandteile schnell nachvollzogen werden. Neben den vielen anderen Exportmöglichkeiten in BONAPART stellt der einfach zu handhabende HTML-Export eine schnelle Einbindung in das Intranet sicher und erleichtert damit die Kommunikation des IT-Sicherheitsprozesses erheblich. Was muss getan werden? Um nicht schon zu Beginn der Implementierung zu scheitern, sollte man sich zunächst auf die wirklich kritischen Schutzobjekte beschränken und den IT-Sicherheitsprozess an diese Gegebenheit anpassen. Im Laufe der Zeit können dann die relevanten Schutzobjekte erweitert werden, um ein vollständiges Bild zu erhalten. Die Umsetzbarkeit darf dabei nie aus den Augen verloren werden, denn die IT-Sicherheit muss auch gelebt werden können. Nach der Analyse der IT-Sicherheit und des derzeitigen IT-Sicherheitsniveaus wird im ersten Schritt die IT-Sicherheitsorganisation in Form eines Organigramms an das Unternehmen angepasst (Aufbauorganisation). Der Aufbau hängt dabei von der Größe des Unternehmens ab und kann daher nicht pauschal festgelegt werden. EMPRISE Process Management GmbH Seite 3

Abbildung 3: BONAPART Referenzmodell IT-Sicherheitsorganisation (Aufbauorganisation) Im nächsten Schritt ist dann der IT-Sicherheitsprozess (Ablauforganisation) an das Unternehmen anzupassen. Da zu Beginn nicht alle Anpassungen durchgeführt werden können, sind einige Änderungen erst nach Durchführung des Prozesses Erstellung eines IT-Sicherheitskonzeptes anzustoßen. Für den Praxiseinsatz bedeutet dies, dass die Abarbeitung des IT-Sicherheitsprozesses einhergeht mit der Anpassung des Prozessmodells. Es ist ein ständig durchzuführender und iterativer Prozess. So können sich zum Beispiel nach der Implementierung der IT-Sicherheit bei der Aufrechterhaltung im laufenden Betrieb erneute Verbesserungen ergeben, die bei Relevanz erneut in den IT-Sicherheitsprozess nachgezogen werden müssen. BONAPART basiert auf der objektorientierten KSA-Methode (Kommunikations-Struktur- Analyse). Hieraus und aufgrund der konsequenten Umsetzung der objektorientierten Prinzipien ist eine konsistente Modellierung gewährleistet. In BONAPART wird die Aufbau- und Ablauforganisation, sowie die Systemlandschaft eines Unternehmens abgebildet. Alle Abbildungen sind von einer Wechselbeziehung geprägt. Notwendige Objekte der Ablauforganisation wie Aufgaben, Informationen, Sachmittel, Speicher und Medien bilden einen Prozess. Zusätzlich werden in einem Organigramm alle Elemente der Aufbauorganisation wie organisatorische Einheiten, Stellen und Leiter abgebildet. Diese können als Bearbeiter einzelner Aktivitäten den Prozessen zugeordnet werden. Die Systemlandschaft wird über Speicher und Sachmittel dargestellt und kann um weitere Elemente erweitert werden. Der so mit BONAPART angepasste Prozess ist eine enorme Hilfestellung für die tägliche Arbeit im Rahmen der IT-Sicherheit. Zusätzlich können operative Sicherheitsprozesse wie zum Beispiel die Alarmierung im Katastrophenfall, modelliert und konsistent, sowie transparent abgebildet und mit dem IT-Sicherheitsprozess verbunden werden. Alle im Laufe der Prozessdurchführung erstellten Dokumente, sollten mit dem Prozessmodell und den dabei relevanten Prozessschritten verbunden werden. Dabei kann es sich zum Beispiel um die IT-Sicherheitsstrategie, eine IT-Sicherheitsleitlinie, oder dem IT-Sicherheitskonzept handeln. So kann der zuständige Bearbeiter einer Aktivität bei der Abarbeitung direkt auf diese Dokumente zugreifen. EMPRISE Process Management GmbH Seite 4

Das Prozessmodellierungswerkzeug kann zusätzlich als Informationssicherheitsmanagementsystem (ISMS) verwendet werden. Gemäß BSI Standard 100-1 [3] legt das ISMS fest, mit welchen Instrumenten und Methoden das Management die auf Informationssicherheit ausgerichteten Aufgaben und Aktivitäten nachvollziehbar lenkt. Dabei gehören folgende Komponenten zu einem ISMS: Management Prinzipien Ressourcen Mitarbeiter IT-Sicherheitsprozess, mit der IT-Sicherheitsleitlinie inklusive der Ziele und der Strategie, das IT-Sicherheitskonzept und die IT- Sicherheitsorganisation Alle geforderten Komponenten können im Prozessmodell und dem Werkzeug BONAPART abgebildet und dokumentiert werden. Mit dem BONAPART Referenzmodell werden die gesetzlichen Auflagen erfüllt. Es erleichtert die Verminderung der Risiken auf ein akzeptables Niveau und neben der Revisionssicherheit wird ein zertifizierbares IT-Sicherheitsniveau erreicht. Da alle relevanten Dokumente bei Eintritt eines Notfalls / einer Katastrophe auch in Papierform vorliegen müssen, ist mit BONAPART auf einfache Art und Weise ein Word-Export möglich. Abbildung 4: BONAPART Referenzmodell Zertifizierung Ausblick und Fazit Nicht nur bei der Anwendung des IT-Grundschutzhandbuches, sondern bei allen eingesetzten Standards zur IT-Sicherheit, sollte eine prozessorientierte Vorgehensweise EMPRISE Process Management GmbH Seite 5

eingesetzt werden. Zusätzlich wird mit diesem Vorgehen der prozessorientierten Ausrichtung des Unternehmens auch bei der IT-Sicherheit Rechnung getragen. Durch die umfangreichen Exportmöglichkeiten, kann der IT-Sicherheitsprozess im gesamten Unternehmen einfach und transparent dokumentiert und publiziert werden. Die Kommunikation und das Verständnis im Unternehmen zum Thema IT-Sicherheit wird sich durch diese Vorgehensweise verbessern. Literatur [1] BSI, IT-Grundschutzhandbuch [2] BSI Standard 100-2 IT-Grundschutz Vorgehensweise [3] BSI Standard 100-1 Managementsysteme für Informationssicherheit (ISMS) 10.02.2006 EMPRISE Process Management GmbH Seite 6

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback