Das KMU Quick-Assessment. IT-Sicherheit für den Mittelstand



Ähnliche Dokumente
Fachstelle für Datenschutz. Das Datensicherheits-Assessment IT-Sicherheit für den Mittelstand

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Personal- und Kundendaten Datenschutz in Werbeagenturen

Gebrauchstauglichkeit von Softwareprodukten. Trusted Product Usability Trusted Process Usability

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Personal- und Kundendaten Datenschutz bei Energieversorgern

Personal- und Kundendaten Datenschutz im Einzelhandel

Vertrauenswürdiges Enterprise Mobility Management (EMM) Trusted App Trusted Mobile Service Trusted Mobile Solution Trusted Mobile Infrastructure

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

Kirchlicher Datenschutz

GPP Projekte gemeinsam zum Erfolg führen

Personal- und Patientendaten Datenschutz in Krankenhäusern

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Normen als Zertifizierungsgrundlagen im Bereich IT-Sicherheit

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Vertrauenswürdige IT-Systeme und IT-Produkte. Trusted Site Security Trusted Product Security

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Dieter Brunner ISO in der betrieblichen Praxis

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

Änderung der ISO/IEC Anpassung an ISO 9001: 2000

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

Informationssicherheit als Outsourcing Kandidat

Maintenance & Re-Zertifizierung

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO Konformität. datenschutz cert GmbH Version 1.2

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

DS DATA SYSTEMS GmbH

IT-Sicherheit in der Energiewirtschaft

Datum der Bestätigung durch den Akkreditierungsbeirat:

Die Umsetzung von IT-Sicherheit in KMU

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

Wir organisieren Ihre Sicherheit

Informations-Sicherheit mit ISIS12

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Informationssicherheit mit Zertifikat! Dr. Holger Grieb. IT Sicherheitstag NRW Köln, 04. Dezember 2013

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage

Auditierung und Zertifizierung durch die ZFDZ kundenorientiert. Zertifizierung nach DAkkS (Deutsche nutzenstiftend

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Effizientes Risikomanagement für den Mittelstand

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

«Zertifizierter» Datenschutz

Proof Points Setzen wir um Setzen wir nicht um. a. Trainee-Programme sind als Bestandteil unserer HR-Strategie im Unternehmen fest etabliert.

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Security Audits. Ihre IT beim TÜV

TÜV TRUST IT GmbH Agenda Übersicht TÜV TRUST IT GmbH ISMS Bestandsaufnahme und GAP Analyse ISMS Bebauungsplan ISMS Framework Diskussion und Fazit

BÜV-ZERT NORD-OST GMBH Zertifizierungsstelle für Managementsysteme der Baustoffindustrie

Management Soft Diligence MSD

Audits und Assessments als Mittel zur Risk Mitigation in der Aviatik. Helmut Gottschalk. AeroEx

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Informationssicherheitsmanagement

Rechtliche Aspekte der (revisions-) sicheren Administration von IT-Systemen Secure Linux Administration Conference, 07.

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt

Sitz der Gesellschaft Bonn/Handelsregister Amtsgericht Bonn HRB /Geschäftsführer Thomas Michel FBCS

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII


LGA InterCert GmbH Nürnberg. Exzellente Patientenschulung. (c) Fachreferent Gesundheitswesen Martin Ossenbrink

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH EN 16001

Ihr Rechenzentrum: hochverfügbar und zertifizierfähig

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Leistungsportfolio Security

Messung und Bewertung der Code Qualität in Softwareprojekten. Trusted Product Maintainability

2. Konfiguration der Adobe Software für die Überprüfung von digitalen Unterschriften

Scheer Management BPM Assessment - Wo stehen wir und was müssen wir tun? Thomas Schulte-Wrede

Sicherheit bei Internet- Kreditkartentransaktionen

ISO Erfahrungen aus der. Markus Kukla Leiter der Zertifizierungsstelle

Unternehmensvorstellung

IT-Sicherheitsstandards und IT-Compliance 2010 Befragung zu Status quo, Trends und zukünftigen Anforderungen

Ausschuss für technische und operative Unterstützung (zur Unterrichtung) ZUSAMMENFASSUNG

Ablauf einer Managementzertifizierung

Managementbewertung Managementbewertung

QUICK-CHECK IT-SICHERHEIT

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

WHITEPAPER. ISO Assessment. Security-Schwachstellen und -Defizite erkennen

Bericht. über die Maßnahmen des Gleichbehandlungsprogramms der AggerEnergie GmbH im Jahre 2014

IT im Wandel Kommunale Anforderungen - zentrales Clientmanagement versus Standardtechnologie!?

Ihr Mandant möchte einen neuen Gesellschafter aufnehmen. In welcher Höhe wäre eine Vergütung inklusive Tantieme steuerrechtlich zulässig?

Informationssicherheit ein Best-Practice Überblick (Einblick)

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

Übungsbeispiele für die mündliche Prüfung

Dr. Heiko Lorson. Talent Management und Risiko Eine Befragung von PwC. *connectedthinking

Die PROJEN-GmbH bietet ihren Kunden einheitliche

Akkreditierung. Kosten und Nutzen aus Sicht einer Prüf- und Überwachungsstelle. Monitoring, Energie- und Antriebstechnik

Optimal gesteuerte Versorgungsprozesse was können bewährte QM-Verfahren sowie die neue DIN EN dazu beitragen?.aus der Sicht der Auditorin

Transkript:

Das KMU Quick-Assessment IT-Sicherheit für den Mittelstand

Inhalt 1 Einleitung... 1 2 Ablauf des KMU Quick-Assessments... 2 2.2 Vorbereitungsphase... 3 2.3 Vor-Ort-Phase... 3 2.3.2 Eröffnung... 4 2.3.3 Erstbegehung... 4 2.3.4 Prüfplan Abstimmung... 4 2.3.6 Begehung und Interviews nach Themenkreisen... 5 2.3.7 Bericht... 5 2.3.9 Abschluss... 6 3 Über TÜViT... 7 4 Ansprechpartner... 11

1 Einleitung Mit einem Anteil von über 99% sind die kleinen und mittleren Unternehmen (KMU) ein wesentlicher Erfolgsfaktor der deutschen Wirtschaft. Aber gerade die kleinen und mittleren Unternehmen unterliegen einem stetig wachsenden Angriffsrisiko auf ihre IT und geraten in das Visier von Cyber-Kriminellen. Um die Unternehmenswerte wie z.b. Spezial Know-how gegen Ausspähen und Diebstahl zu schützen, ist eine optimale Nutzung von geeigneten Sicherheitsmaßnahmen und Informationsquellen unabdingbar. An dieser Stelle setzt das KMU Quick-Assessment an. Das KMU Quick-Assessment unterstützt Unternehmen, die den Bedarf erkannt haben, ihren IT-Betrieb und insbesondere ihre IT-Sicherheit vor dem Hintergrund der aktuellen Bedrohungslage optimal zu organisieren. Hierzu gehört neben anderen Maßnahmen die Etablierung eines wirksamen IT-Sicherheits- bzw. IT-Servicemanagement. Das KMU Quick-Assessment ist eine unabhängige Einschätzung der Sicherheit und Effektivität des IT-Einsatzes bei kleinen und mittelständischen Unternehmen, dem Handwerk sowie den Freien Berufen. Das KMU Quick-Assessment basiert auf etablierten Best Practices und Standards des IT-Sicherheits- bzw. IT-Servicemanagements: IT-Grundschutz, BSI Standard 100-2 Informationssicherheits-Managementsysteme, ISO/IEC 27001, ISO/IEC 27002 IT Service Management, ISO/IEC 20000 KMU Quick Assessment Seite 1 11

Die Prüfungspraxis nach o.g. Standards hat gezeigt, dass oftmals weniger aufwendige, dafür aber koordinierte Maßnahmen einen höheren Sicherheits- bzw. Effektivitätsgewinn bringen, als eher technisch orientierte und häufig teure Einzelmaßnahmen. Das Quick-Assessmentverfahren konzentriert sich deshalb auf die für KMU besonders relevanten Maßnahmen, die bereits mit begrenztem Ressourceneinsatz wirksam umsetzbar sind und somit rasch einen hohen Nutzen erreichen. 2 Ablauf des KMU Quick-Assessments Der Ablauf des KMU Quick-Assessments teilt sich in eine Vorbereitungs- sowie eine Vor-Ort-Phase auf. Abbildung 1: Phasen des KMU Quick-Assessments KMU Quick Assessment Seite 2 11

2.2 Vorbereitungsphase Grundlage für die Durchführung des KMU Quick-Assessments ist ein Fragebogen, der als Vorbereitung des Unternehmens auf das Assessment dient. Der Fragebogen beinhaltet unternehmensspezifische Daten wie Unternehmensgröße, Anzahl der Standorte, Angaben zu organisatorischen Abläufen sowie die eingesetzte Automation durch Maschinen oder IT. Des Weiteren ermöglicht der Fragebogen dem IT-Assessor den Einstieg in die konkreten Gegebenheiten des Unternehmens und seiner Abläufe. 2.3 Vor-Ort-Phase Das KMU Quick-Assessment beginnt ca. zwei Wochen nach Vorliegen des Fragebogens. Die konkrete Gestaltung des Ablaufes vor Ort übernimmt der IT-Assessor in Abstimmung mit dem Unternehmen. Das Unternehmen hat im Vorfeld des KMU Quick- Assessments dafür Sorge zu tragen, dass notwendige Ansprechpartner der verschiedenen Organisationseinheiten in ausreichendem Maße verfügbar sind. Zutritte zu gegebenenfalls zutrittsgeschützten Räumlichkeiten sollten frühzeitig vorbereitet werden, so dass im Verlauf des Assessments keine unnötigen Verzögerungen auftreten. Die Vor-Ort-Phase setzt folgende Schwerpunkte (Themenkreise), die einen effektiven und sicheren IT-Betrieb ausmachen: Organisation: umfasst die Aufbau- und Ablauforganisation und rechtliche Aspekte Infrastruktur: umfasst die Gebäudeinfrastruktur IT-Systeme: umfasst die eingesetzten IT-Plattformen Netzwerk: umfasst das IT-Netzwerk Anwendungen: umfasst Aspekte wie Konfiguration und Administration der eingesetzten Anwendungen KMU Quick Assessment Seite 3 11

2.3.2 Eröffnung Das Eröffnungsgespräch dient dem Kennenlernen der Unternehmung, ihrer Abläufe, der eingesetzten Automation bzw. IT sowie der zugehörigen Risiken. Dabei werden die wichtigsten Geschäfts- und Kundendaten identifiziert, welche den Betrieb der Automation bzw. IT ermöglichen, um den Sicherheitsbedarf der zugrundeliegenden IT abzuschätzen. Dies ermöglicht dem Assessor, im weiteren Verlauf die Eignung der bereits getroffenen Schutzmaßnahmen zu bewerten und dient als Grundlage für eine Einschätzung der Effektivität des IT-Einsatzes im Unternehmen. 2.3.3 Erstbegehung Das Ziel der Erstbegehung ist es, einen Eindruck der physischen Gegebenheiten zu bekommen sowie die in der Eröffnung identifizierten Abläufe und ihre Automation bzw. IT auf Plausibilität zu prüfen. Dabei sollen nach Möglichkeit alle Bereiche des Standorts, die für die Leistungserbringung wesentlich sind oder an denen IT in besonderem Maße zum Einsatz kommt, betrachtet werden. 2.3.4 Prüfplan Abstimmung Das Ziel der Abstimmung des Prüfplans ist es, den weiteren Verlauf des KMU Quick-Assessments zwischen Unternehmen und IT-Assessor gemeinsam festzulegen. Der Prüfplan legt die Aktivitäten und ihre Abfolgen, den Ort sowie Beginn und Ende der jeweiligen Aktivität und die Beteiligten des Unternehmens fest. Bei der Erstellung des Prüfplans berücksichtigt der IT-Assessor die zeitliche Verfügbarkeit der jeweiligen Ansprechpartner. KMU Quick Assessment Seite 4 11

2.3.6 Begehung und Interviews nach Themenkreisen Das Ziel der Begehung und Interviews nach Themenkreisen (s. Seite 3) ist das systematische Erschließen der Vor-Ort Gegebenheiten, der Abgleich mit den Angaben des Fragebogens sowie das Spiegeln zu erwartender Maßnahmen mit den tatsächlich getroffenen Maßnahmen und ihrer Wirksamkeit. Die Begehung dauert ca. zwei Stunden je Themenkreis. Zur Durchführung des Assessments greift der IT-Assessor auf folgende Methoden zurück: Dokumentensichtung (inkl. elektronischer Dokumente) Mündliche Befragung der Führungskräfte und Mitarbeiter des Unternehmens Beobachtung, z. B. während der Erstbegehung aufgefallener individueller Umgang mit Sicherheitsregeln Inaugenscheinnahme von z. B. IT-Systemen und Räumen technische und organisatorische Erprobung, z. B. Überprüfung von Alarmanlagen mittels Gehtest oder Prüfung von Zutrittskontrollen Datenanalyse 2.3.7 Bericht Nach Abschluss der Begehungen erstellt der IT-Assessor einen Bericht, wofür er ca. eineinhalb Stunden benötigt. Der Bericht enthält neben einer kurzen Ergebnisübersicht auch eine zusammenfassende Übersicht der Erfüllung einzelner Aspekte der Themenkreise sowie ein Kapitel mit konkreten Handlungsempfehlungen zur Verbesserung der Effektivität und Sicherheit der IT. Die im Assessment gemachten Feststellungen werden in konsolidierter Form tabellarisch aufgelistet und durch ein Management Summary ergänzt. KMU Quick Assessment Seite 5 11

2.3.9 Abschluss Der IT-Assessor stellt in einer einstündigen Präsentation der Unternehmensleitung die Ergebnisse des KMU Quick-Assessments vor und übergibt im Anschluss den Assessment Bericht. Das Ziel des Abschlusses ist die verständliche Vermittlung der Ergebnisse des Assessments. Zugleich soll er der Unternehmensleitung aufzeigen, in welcher Hinsicht gegebenenfalls Handlungsbedarf besteht und wie erforderliche nächste Schritte aussehen können. KMU Quick Assessment Seite 6 11

3 Über TÜViT Die TÜV Informationstechnik GmbH kurz TÜViT - mit Sitz in Essen ist einer der führenden Prüfdienstleister für IT-Sicherheit und IT-Qualität. Wir unterstützen Hersteller, Betreiber und Anwender von IT-Systemen, IT-Produkten sowie IT-Infrastrukturen durch Prüfung und Zertifizierung, ihre Unternehmenswerte zu bewahren. Unsere Experten im Bereich der IT-Sicherheit konzentrieren sich auf Themen wie Common Criteria Evaluationen, Cyber Security, Penetrationstests, Bewertung von Informationssicherheits- Managementsystemen nach ISO/IEC 27001 sowie Datenschutz- Audits. Ein weiterer Aspekt ist die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit. Im Bereich der IT-Qualität koordiniert TÜViT anhand anerkannter Standards das Projekt-, Qualitäts- und Risikomanagement, um unsere Kunden beim Erreichen wichtiger Unternehmensziele zu unterstützen. Unsere Dienstleistungen werden stets nach dem Stand der Technik ausgeführt und erfüllen höchste Sicherheits- und Qualitätsansprüche. Zahlreiche Akkreditierungen und Zertifizierungen durch nationale und internationale Organisationen und Behörden weisen unsere Kompetenzen auf dem Gebiet der IT-Sicherheit und IT-Qualität nach. Bundesamt für Sicherheit in der Informationstechnik Anerkennung nach DIN EN ISO/IEC 17025:2005 für Prüfungen nach ITSEC/ITSEM/CC/CEM sowie BSI-TR 03121-1, BSI-TR 03121-3, BSI-TR 03132, BSI TR-03104 und BSI TR-03105 Teil 3 und Teil 5 IT-Sicherheitsdienstleister für den festgelegten Anwendungsbereich IS-Revision und IS-Beratung und Penetrationstests KMU Quick Assessment Seite 7 11

Lizenzierte Auditoren für IT-Grundschutz und ISO/IEC 27001 Lizenzierte Auditoren für De-Mail Deutsche Akkreditierungsstelle Prüflabor für IT-Qualität: Kompetenz für Prüfungen in den Bereichen IT-Ergonomie und IT-Sicherheit, akkreditiert nach DIN EN ISO/IEC 17025:2005 Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach ITSEC/ITSEM/CC/ISO 15408/CEM Prüfstelle IT-Ergonomie: Akkreditierung für Evaluationen nach DIN EN ISO 9241-110, DIN EN ISO 9241-11, DIN ISO/IEC 25051, DIN EN ISO 13407 und ISO 9241-210 Zertifizierungsstelle: Kompetenz für Zertifizierungen von Produkten in dem Bereich IT-Sicherheit, akkreditiert nach DIN EN 45011 Bundesnetzagentur Bestätigungsstelle nach SigG/SigV für die Bestätigung von Produkten für qualifizierte elektronische Signaturen Bestätigungsstelle nach SigG/SigV für die Bestätigung der Umsetzung von Sicherheitskonzepten für Zertifizierungsdiensteanbieter Die Deutsche Kreditwirtschaft Gelistete Prüfstelle für elektronischen Zahlungsverkehr Unabhängiges Landeszentrum für Datenschutz Schleswig- Holstein Sachverständige Prüfstelle für IT-Produkte (rechtlich/technisch) EuroPriSe Gutachter (rechtlich/technisch) KMU Quick Assessment Seite 8 11

Information-technology Promotion Agency, Japan Prüfstelle IT-Sicherheit: Akkreditierung für Prüfungen nach CC/CEM National Institute of Technology and Evaluation, Japan Prüfstelle IT-Sicherheit: Akkreditierung nach DIN EN ISO/IEC 17025 in dem Bereich der IT / Common Criteria Evaluationen (Lab Code: ASNITE0019T) National Institute of Standards and Technology National Voluntary Laboratory Accreditation Program, USA Prüfstelle IT-Sicherheit (NVLAP Lab Code: 200636-0) für Cryptographic Module Testing (Scopes 17BCS, 17CAV/01, 17CMH1/01, 17CMH1/02, 17CMH2/01, 17CMH2/02, 17CMS1/01, 17CMS1/02, 17CMS2/01, 17CMS2/02) und Biometrics Testing Europay, MasterCard and Visa, USA/Großbritannien/Japan Full Service Laboratory für Prüfungen von ICs und Chipkarten nach EMVCo Sicherheitsrichtlinien Modular Label Auditor Visa, USA Test House zur Durchführung von Visa Chip Product Sicherheitsevaluationen MasterCard, Großbritannien Akkreditiert zur Durchführung von CAST (Compliance Assessment and Security Testing) Evaluationen Betaalvereniging Nederland, Niederlande Evaluation Laboratory KMU Quick Assessment Seite 9 11

In nationalen und internationalen Forschungsprojekten und Gremien gestaltet TÜViT den Stand der Technik aktiv mit. TÜViT betreibt selbst ein wirksames Qualitätsmanagementsystem und Umweltmanagement, welche nach ISO 9001:2008 bzw. ISO 14001:2004 zertifiziert sind und erfüllt somit die hohen Ansprüche und Erwartungen ihrer Kunden. TÜViT gehört zur TÜV NORD GROUP mit Hauptsitz in Hannover. TÜV NORD beschäftigt über 10.000 Mitarbeiter weltweit und ist neben dem nationalen Markt in 70 Staaten Europas, Asiens und Amerikas vertreten. Während der 140-jährigen TÜV-Tradition hat TÜV NORD technische Tests und Prüfungen in zahlreichen Bereichen durchgeführt und entwickelt. Die TÜV NORD GROUP ist nach ihren Grundsätzen verpflichtet, ihre Dienstleistungen unabhängig sowie neutral anzubieten und durchzuführen. KMU Quick Assessment Seite 10 11

4 Ansprechpartner Peter Kattner, LL.M. IT Security Fachstelle für Datenschutz TÜV Informationstechnik GmbH TÜV NORD GROUP Langemarckstraße 20 45141 Essen Tel.: +49 201 8999-643 Fax: +49 201 8999-666 p.kattner@tuvit.de www.tuvit.de Version: 1.2 KMU Quick Assessment Seite 11 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback