NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de
4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf Druck: NCC Guttermann GmbH www.nccms.de
Security Management Chancen nutzen - Risiken minimieren Die IT-Landschaft des Mittelstands hat sich in den vergangenen Jahren rasant entwickelt. Damit steigen nicht nur die technischen Herausforderungen, sondern auch die Anforderungen an die IT-Sicherheit. Dabei gilt es, die Risiken zu minimieren und parallel dazu die Einhaltung interner und gesetzlicher Vorgaben (IT Compliance) nicht aus den Augen verlieren. Ein strategisches Risikomanagement berücksichtigt diese drei Komponenten. Security Management => ein Werkzeug zur Definition, Steuerung, Kontrolle, Aufrechterhaltung und fortlaufender Verbesserung der Informationssicherheit. Informationssicherheit Eigenschaften von IT-Systemen, die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen Datenschutz gesetzeskonforme Verwendung personenbezogener Daten (BDSG) IT-Compliance Berücksichtigung rechtlichen und vertragliche Verpflichtungen Die Auswahl adäquater Werkzeuge (Software) unterstützt die Einführung eines zeitgemäßen Security Managements; die getroffenen Maßnahmen verzahnen technische, organisatorische und personelle Aspekte. Was wir für Sie tun können Die Abteilung Security Management ist auf die Entwicklung und Einführung von IT-Sicherheitskonzepten spezialisiert: Wir beraten unsere Kunden bei der Identifizierung möglicher Sicherheitsrisiken aus Sicht der internen und externen Compliance; wir definieren im Dialog mit unseren Kunden und unter Berücksichtigung des vorhandenen Budgets die geeigneten technischen und organisatorischen Maßnahmen zur Herstellung des avisierten Sicherheits- und Datenschutzstandards; wir erstellen einen Zeit- und Budgetplan für die praxistaugliche Umsetzung der getroffenen Entscheidungen; nach der Implementierung stehen wir Ihnen als Ansprechpartner für alle Fragen zur IT-Security zur Verfügung.
IT Compliance Pflicht oder Kür? Handle unternehmerisch! ist das tägliche Credo jedes Unternehmers. Der Einsatz von IT ist dabei nicht Selbstzweck, sondern ein Werkzeug zur Umsetzung des primären Geschäftsziels: Wertschöpfung. Der Umgang mit IT und digitalen Informationen unterliegt dabei zunehmend komplexeren Anforderungen. Halte dich an die Regeln!, könnte in diesem Kontext die die einfache Übersetzung von Compliance bei der Nutzung von Informationstechnologie lauten. IT Compliance => Einhaltung rechtlicher und regulatorischer Vorgaben; kurz: die Spielregeln zu kennen und anzuwenden. Was so einfach klingt, ist häufig die erste Herausforderung: die konkrete Identifikation der Vorgaben und Anforderungen. Nur wer weiß, was von ihm erwartet wird, kann die Erwartung auch erfüllen Bei genauer Betrachtung wird deutlich, dass geschäftliche Interessen und regulatorische Anforderungen nicht zwingend im Widerspruch zueinanderstehen. Im Gegenteil: Beide Seiten verfolgen dieselben Ziele: Schutz, Verfügbarkeit, Transparenz und Sorgfalt. Wer die von extern vorgegebenen Hausaufgaben verstanden hat, wird feststellen, dass die Umsetzung der regulatorischen Pflichten als Ausgangspunkt für die Optimierung interner Prozesse genutzt werden kann. Was wir für Sie tun können Ausgehend von den BSI Grundschutzkatalogen oder der ISO 27001 unterstützen wir unsere Kunden bei der Planung, Einführung und dem Aufbau eines internen Compliance-Konzepts. Wir unterstützen unsere Kunden u. a bei: Einführung eines ISMS nach ISO 27001 oder dem BSI IT-Grundschutz Erstellung von Sicherheitskonzepten und Dokumente nach ISO 27001 oder BSI IT-Grundschutz
IT Security Angemessener Schutz für sensible Informationen Durch die steigende Zahl möglicher Bedrohungen wie beispielsweise Cyber-Angriffe, Sabotage, Vandalismus oder auch Elementarschäden, werden Informationen zu einem besonders schützenswerten Gut. Entscheidend an dieser Stelle, ist die Schaffung eines angemessenen Schutzniveaus unter Berücksichtigung der Machbarkeit und der primären Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität der Informationen (Daten). Die Einführung und Aufrechterhaltung geeigneter Sicherheitsmaßnahmen dient besonders IT Security => Verfügbarkeit, Vertraulichkeit und Integrität von Daten dem Schutz vor Gefahren und Bedrohungen, der Vermeidung von Schäden und dem Minimieren von Risiken. Definition primärer Schutzziele der IT Security Verfügbarkeit Vertraulichkeit Integrität Grad der Sicherstellung des zuverlässigen Zugriffs auf Daten und Informationen. Sicherer Zugriff auf Daten und Informationen ausschließlich für Befugte. Schutz vor nicht autorisierter Veränderung von Daten und Informationen. Was wir für Sie tun können Wir identifizieren Schwachstellen und definieren gemeinsam mit Ihnen geeignete Best-Practice Maßnahmen im Bereich von Mensch, Technik und Organisation (MeTeOr). Wir erstellen und pflegen die Dokumentation Ihrer IT- Infrastruktur mit allen nötigen und angemessenen Inhalten. Wir schulen Ihre Mitarbeiter und unterstützen Sie bei der Durchführung von IT Security Kampagnen. IT Security Produkte IT SECURITY AUDIT IT DOKUMENTATION IT SECURITY AWARENESS
Datenschutz Daten nutzen, Privatsphäre schützen Mitarbeiter, Kunden, Lieferanten also Menschen haben auch im beruflichen Kontext das Recht auf informationelle Selbstbestimmung; ein Begriff, der auf das Volkszählungsurteil aus den 1980er Jahren zurückzuführen ist. Dem Datenschutzrecht liegt die Idee zugrunde, dass jeder Mensch grundsätzlich selbst entscheiden darf, wem seine persönlichen Daten zugänglich sein sollen. Konsequenz für Unternehmern: die Pflicht zur Bestellung eines (internen) Datenschutzbeauftragten. Anders als die Bezeichnung Datenschutz vermuten lässt, dient er nicht dem Schutz von Daten, sondern von Persönlichkeitsrechten. Transparenz erhöht Glaubwürdigkeit Kunden erwarten von Ihren Lieferanten und Geschäftspartnern mehr als nur ein gutes Produkt zum fairen Preis. Transparenz und Datensicherheit beeinflussen zunehmend die Kaufentscheidung. Wer vor dieser Entwicklung langfristig die Augen verschließt, riskiert Bußgelder und Imageschäden und damit die Loyalität seiner Kunden. Datenschutz Produkte ERSTGESPRÄCH AUDIT EXTERNER DSB DSB SUPPORT
Ansprechpartner der NCC Guttermann Jörg ter Beek Leiter Consulting Security Management Tel. 02506-9320-337 E-Mail: jterbeek@nccms.de Herr ter Beek ist verantwortlich für die Organisation, Qualitätssicherung und Weiterentwicklung dieses Geschäftsbereichs. Er ist erster Ansprechpartner für unsere Kunden aus dem Bereich IT-Security und Datenschutz sowie Ihr Ansprechpartner für alle kaufmännischen Belange. Boris Michel Dipl.-Betriebswirt (FH) Datenschutzbeauftragter Tel. 02506-9320-221 E-Mail: bmichel@nccms.de Herr Michel verfügt über umfangreiches Wissen im Bereich Datenschutz und weiteren damit zusammenhängenden Rechtsgebieten. Durch seine datenschutzrechtliche Expertise als zertifizierter Datenschutzbeauftragter kann er bei Bedarf auch komplexe IT-Strukturen aus Sicht des Datenschutzes betrachten. Martina Brinkmann IRCA Lead Auditor ISMS nach ISO 27001 Datenschutzbeauftragte Tel. 02506-9320-336 E-Mail: mbrinkmann@nccms.de Frau Brinkmann erweitert das Team des Security Managements durch ihr umfangreiches Wissen im Bereich IT-Sicherheit. Sie ist zuständig für die Durchführung von IT- Sicherheitsaudits sowie die Erstellung anschließender Ergebnisberichte und Dokumentationen.
Wir können noch mehr: Kompetenzübersicht der NCC Guttermann IT Solutions Nahezu alle Geschäftsprozesse eines Unternehmens sind IT-gestützt. Ohne eine zuverlässig funktionierende Informationstechnologie kommt der Geschäftsbetrieb sehr schnell zum Stillstand. Die möglichst ständige Verfügbarkeit Ihrer IT-Infrastruktur ohne Ausfallzeiten ist somit Voraussetzung für Ihren Unternehmenserfolg. Business Solutions Mehr Transparenz und effizientere Arbeitsabläufe sind besonders wichtig für kleine und mittlere Unternehmen. Denn sie sind es, die durch den Einsatz moderner Software-Programme Ihre Unternehmensprozesse optimieren können. Durch die Kombination aus passender Software und guter Beratung lassen sich Ihre Unternehmensprozesse so abbilden, dass das Programm sich Ihren Anforderungen anpasst. Und nicht umgekehrt. Document Systems Das papierlose Büro - wohl eher Wunsch als Wirklichkeit, denn entgegen aller Vorsätze, wächst das Druckvolumen weiter. Eine ganzheitliche Betrachtung Ihrer Büroorganisation, kann sich daher durchaus für Sie lohnen. Spezielle Prozessanalysen, individuelle Konzepte und maßgeschneiderte Lösungsansätze sind unsere Werkzeuge zur Prüfung und Optimierung Ihres Paper Output Managements. Security Management Die Unternehmens-IT ist eines der Werkzeuge zur Umsetzung übergeordneter Unternehmensziele. Doch nur funktionieren ist heute nicht mehr die einzige Anforderung, mit der sich Entscheider beschäftigen müssen. IT-Sicherheit und die gesetzeskonforme Datenverarbeitung sind zwei weitere zentrale Kriterien.