Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1



Ähnliche Dokumente
ITIL & IT-Sicherheit. Michael Storz CN8

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

IT-Revision als Chance für das IT- Management

DATENSCHUTZMANAGEMENT MIT VERINICE. Berlin, den

Modul 3: Service Transition Teil 2

Modul 5: Service Transition Teil 1

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Modul 3: Service Transition

RM-Speedy [01] Hans-Günter Börgmann Iron Mountain GmbH. Reifeindex zum Informationsrisiko WER IST IRON MOUNTAIN?

7-it. ITIL Merkmale. ITIL ist konsequent und durchgängig prozessorientiert

ITIL V3 zwischen Anspruch und Realität

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Sicherheitsaspekte der kommunalen Arbeit

ITSM Executive Studie 2007

Sicherer Fremdpersonaleinsatz unter Compliance - Gesichtspunkten. Wichtiger Fokus im Risikomanagement von Unternehmen.

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

IT-Governance und COBIT. DI Eberhard Binder

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Fachgespräch Compliance, Innenrevision, Risikomanagement, QM (CIRQM) BEB Fachtagung Dienstleistungsmanagement

Informationssicherheit als Outsourcing Kandidat

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Wir organisieren Ihre Sicherheit

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheitsmanagement

TeleTrusT-interner Workshop München, /

IT-Sicherheitsorganisationen zwischen internen und externen Anforderungen

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, , Steffen Müter


Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Dieter Brunner ISO in der betrieblichen Praxis

Sicherer Fremdpersonaleinsatz unter Compliance - Gesichtspunkten Wichtiger Fokus im Risikomanagement von Unternehmen.

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Teil I Überblick... 25

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Inhaltsverzeichnis. Christian Wischki. ITIL V2, ITIL V3 und ISO/IEC Gegenüberstellung und Praxisleitfaden für die Einführung oder den Umstieg

agens 2009 Sicherheit als Bestandteil eines integrierten Compliance Systems aus betriebswirtschaftlicher Sicht

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Das Rechtliche beim Risikomanagement

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt,

GPP Projekte gemeinsam zum Erfolg führen

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012

Cloud Security geht das?

Der Blindflug in der IT - IT-Prozesse messen und steuern -

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, Antonio Gelardi IT - Sicherheitsbeauftragter

IT Service Management und IT Sicherheit

Datenschutzkonforme digitale Patientenakten im Outsourcing. Datenschutzkonforme digitale Patientenakten im Outsourcing

MOBILE DEVICE MANAGEMENT BERATUNG Mehr Sicherheit für Ihre Entscheidung

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz

Vertraulich. Nachname: Vorname: Matrikel-Nummer: Studiengang: Datum: 30. Januar 2015

Ausgewählte Rechtsfragen der IT-Security

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB /Geschäftsführer Thomas Michel FBCS

ITIL V3 Basis-Zertifizierung

CARNEADES GmbH & Co. KG Billungstr. 2 D Quedlinburg Projekte Verträge Claims

BCM Schnellcheck. Referent Jürgen Vischer

IT-Servicemanagement mit ITIL V3

Gemeinsamkeiten & Probleme beim Management von Informationssicherheit & Datenschutz

Software-Validierung im Testsystem

Vorlesung Hochschule Esslingen IT-Winter School 2013

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Mit uns auf dem Weg zur Spitze.

Das Rechtliche beim Risikomanagement

Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Social Media Guidelines. Miriam Nanzka, Hohenzollern SIEBEN

Kirchlicher Datenschutz

InnoFaktor Innovationsstrategien mittelständischer Weltmarktführer im demografischen Wandel

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Selbsttest Prozessmanagement

CIS Ihr Standard für Sicherheit. Ein Partner der QA. CIS Certification & Information CIS GmbH

Hinweis: Die Umfrage wurde von 120 Unternehmen in Deutschland beantwortet.

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Der Schutz von Patientendaten

Ausbildung zum Compliance Officer Mittelstand

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Studie zum Einsatz und Nutzen von strategischem IT-Benchmarking. Katharina Ebner Prof. Dr. Stefan Smolnik

Mit prozessorientiertem Qualitätsmanagement zum Erfolg - Wer das Ziel kennt, wird den Weg finden -

Integriertes Management der Informationssicherheit im Krankenhaus

Managementbewertung Managementbewertung

Erfahrungen mit Hartz IV- Empfängern

Setzen Sie die richtigen Prioritäten im Service Desk!

Transkript:

Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1

Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2

CARMAO Das Unternehmen Gegründet 2003 Firmensitz ist die Gemeinde Brechen (bei Limburg an der Lahn) Geschäftsstelle in München 10 Mitarbeiter Mitglied im KoSiB, CAST, GDD, ISACA,, Ploenzke Netzwerk, VSW Kooperationen mit Fraunhofer SIT, COMPASS, QGroup, E-SEC Beratungen, Dienstleistungen und Schulungen zu risikoorientiertem Informationsmanagement Informationssicherheitsmanagement Informationsrisikomanagement BCM / ITSCM / Notfallmanagement Identitäts- und Berechtigungsmanagement Sicherheitskultur Datenschutzmanagement Nächste Seminare Datenschutzmanagement mit System Brechen, 26.09.2013 Informationsrisikomanagement nach ISO 27005 Brechen, 6.11.2013 www.carmao.de/weiterbildung/ Online-Informationen www.carmao.de www.xing.com/companies/carmaogmbh www.facebook.com/carmaogmbh www.twitter.com/carmaogmbh CARMAO GmbH 2013 3

CARMAO Expert Services Experten finden Experten für die temporäre Einbindung in Ihre Projekte Informations- und IT-Sicherheit Informations- und IT-Risikomanagement Datenschutzmanagement Compliance und IT-Recht BCM und Notfallmanagement Leistungen der CARMAO Fachliche Unterstützung bei der Erstellung des Anforderungsprofils Zeitnahe Reaktion, Vorauswahl und Empfehlung geeigneter Kandidaten Durchführung von Background Screenings (Integritäts-Check) Dienstleister- und Vertragsmanagement CARMAO GmbH 2013 4

Die Begriffswelt der Informationssicherheit Informationssicherheit handelt von Begriffen wie Information, Sicherheit und Risiko Informationen sind immaterielle Vermögenswerte eines Unternehmens Anlageinformationen Kontoinformationen elektronische Archive Mitglieder und Versichertendaten Informationen werden hauptsächlich, aber nicht ausschließlich durch IT verarbeitet Sicherheit kennzeichnet einen Zustand, in dem das verbleibende Risiko als akzeptabel eingestuft wird. Risiko eine Ereignis mit der Möglichkeit negativer Auswirkungen / Abweichungen von einem Ziel CARMAO GmbH 2013 5

Die Ziele der Informationssicherheit Vertraulichkeit Integrität Verfügbarkeit Authentizität Echtheit, Überprüfbarkeit und Vertrauenswürdigkeit Nicht-Abstreitbarkeit CARMAO GmbH 2013 6

Geltungsbereich der Informationssicherheit Die gesamte Organisation Die Geschäftsleitung Alle Geschäftsbereiche Alle Infrastrukturbereiche z.b. auch die Informationstechnik Ausgelagerte Dienste Betriebsrat / Personalrat Aufsichtsgremien CARMAO GmbH 2013 7

Die fünf häufigsten Ursachen für Sicherheitsvorfälle* Informationssicherheit wird nicht als Geschäftskernprozess akzeptiert Verantwortlichkeit an falscher Stelle Fehlende persönliche Haftung und Verantwortlichkeit, Stichwort Zusatzaufgabe Interessenskonflikt wenn reine IT-Aufgabe Fehlender Governance Prozess um Entscheidungsträgern Grundlage für Risikomanagement (Maßnahmen, Controls, Akzeptanz) zu liefern *Quelle: https://community.rapid7.com/community/infosec/blog/2012/06/29/5-non-technical-reasons-organization-get-breached CARMAO GmbH 2013 8

Nutzen von Informationssicherheit Investitionen in Informationssicherheitsverfahren haben folgende Wirtschaftlichkeitseffekte*: Sie minimieren Risiken. Hierbei werden keine Effizienzsteigerungen erwartet sondern lediglich mögliche Schäden, die ohne eine Sicherheitslösung entstehen können, reduziert. Sie steigern die Effizienz von Prozessen, indem sie zur wirtschaftlicheren Gestaltung von Abläufen beitragen. In diesem Fall lassen sich echte Einsparungen durch Investitionsrechenverfahren nachweisen. Sie ermöglichen neue Chancen. Der Einsatz von IT-Sicherheitslösung unterstützt neue Produktionsverfahren, neue Formen der Kundenansprache, neue Leistungsangebote oder erschließt neue Kundengruppen. Auch hier lassen sich positive Erträge berechnen. *Quelle: https://www.sit.fraunhofer.de/fileadmin/dokumente/studien_und_technical_reports/it-security-whitepaper-aktuell.pdf CARMAO GmbH 2013 9

Die Organisation der Informationssicherheit Informationssicherheits-Managementsystem (ISMS) Managementberichte Unternehmensziele Unternehmensvorgaben Informationssicherheit Umsetzung unternehmerische Zielvorgaben Ziele Geschäftsleitung Anforderungsziele / Control objectives / Policies Informationssicherheit Risikomanagement Informationssicherheit Regeln Informationssicherheitsanforderungen/-konzept/-controls Rechtliche und vertragliche Vorgaben Compliance Informationssicherheit Umsetzung von regulatorischen und juristischen Vorgaben Compliance-Berichte Controlling Informationssicherheit BO / IT Informationssicherheitsmaßnahmen Betriebsorganisation und IT-Management CARMAO GmbH 2013 10

Management der Informationssicherheit für IT-Services Kunde Security SLA s Interne Informationssicherheitsrichtlinien Anforderungsziele / Control objectives / Policies Informationssicherheit Compliance Informationssicherheit Umsetzung von vertraglichen und gesetzlichen Vorgaben IT-Service Provider Risikomanagement Informationssicherheit Informationssicherheitsanforderungen/-konzept/-controls Compliance-Berichte Controlling Informationssicherheit Informationssicherheitsmaßnahmen IT-Service Management CARMAO GmbH 2013 11

Aufgaben des Informationssicherheitsbeauftragten Zuständigkeit Der Informationssicherheitsbeauftragte ist nur der Geschäftsleitung gegenüber weisungsgebunden Agiert im Rahmen des Informationssicherheitsleitbilds Hält die Informationssicherheitsrichtlinien aktuell Formuliert die Sicherheitsanforderungen nach Risikoaspekten Schafft Transparenz durch Prüfungen und Managementberichte im Rahmen des Information Security Controllings Kompetenzanforderungen Unterstützung der technischen und geschäftlichen Führungskräfte Unterstützung des operationellen Risikomanagement (Informationsrisiken) Schulung der Mitarbeiter und Schaffung eines Sicherheitsbewusstseins Ansprechpartner bei Vorfällen und Notfällen CARMAO GmbH 2013 12

Informationssicherheit und ITIL Service Design: Information Security Management Die konkrete Ausgestaltung der IT-Services müssen bereits in der Designphase an den Anforderungen der Informationssicherheit ausgerichtet werden Anforderungen des Kunden als Security SLA s Interne Anforderungen aus den eigenen Informationssicherheitsrichtlinien Weitere relevante Prozesse im Service Design Design Coordination Änderungen von Sicherheitsanforderungen im Service-Lifecycle berücksichtigen Service Level Management Management der Security SLA s Supplier Management Verpflichtung der Supplier auf die Informationssicherheitsanforderungen IT Service Continuity Management Festlegung der Sicherheitsanforderungen im Notbetrieb Availability Management Auswirkungen von Security Incidents auf die Verfügbarkeit der Services CARMAO GmbH 2013 13

Informationssicherheit und ITIL Service Transition Change Management Bewertung eines RfC neben Dringlichkeit und Auswirkung auch auf Sicherheitsrelevanz Change Evaluation Informationsrisikobewertung Service Asset und Configuration Management Ermittlung des Schutzbedarfs zu Vertraulichkeit, Verfügbarkeit und Integrität der Configuration Items Release and Deployment Management Berücksichtigung von Tests zur Informationssicherheit Sichere Löschung und Vernichtung bei Stilllegung von CI-Assets Service Validation and Testing IT-Security Audits Knowledgemanagement Wissen über Risiken und Gefahren Wissen über Handlungsoptionen und CARMAO GmbH 2013 14

Informationssicherheit und ITIL Weitere Aspekte Service Operations Umsetzung aller Sicherheitsanforderungen im Betrieb Kontinuierlicher Verbesserungsprozess Kontinuierliche Verbesserung innerhalb des IT-Service Lifecycle Kontinuierliche Verbesserung im internen Informationssicherheitsmanagement Kontinuierliche Verbesserung im ISMS des Kunden CARMAO GmbH 2013 15

Vielen Dank für Ihre Aufmerksamkeit! Firmensitz Rathausstraße 17 65611 Brechen Tel: +49 (6438) 9249-20 Fax: +49 (6438) 9249-23 Geschäftsstelle München Pilotystraße 4 80538 München Tel: +49 (89) 25557-246 Fax: +49 (89) 25557-247 kontakt@carmao.de www.carmao.de CARMAO GmbH 2013 16

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback