LEISTUNGSBESCHREIBUNG



Ähnliche Dokumente
Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

ITIL & IT-Sicherheit. Michael Storz CN8

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

GPP Projekte gemeinsam zum Erfolg führen

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Personal- und Kundendaten Datenschutz in Werbeagenturen

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Personal- und Kundendaten Datenschutz bei Energieversorgern

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Qualitätsmanagement- Handbuch nach DIN EN ISO 13485: prozessorientiert


INTERNET SERVICES ONLINE

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Informationssicherheit als Outsourcing Kandidat

Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012

CosmosDirekt. Theorie und Praxis der IT - Sicherheit. Ort: Saarbrücken, Antonio Gelardi IT - Sicherheitsbeauftragter

Maintenance & Re-Zertifizierung

Personal- und Kundendaten Datenschutz im Einzelhandel

IT-Revision als Chance für das IT- Management

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Ronny R. Buol Certified Information Systems Auditor (CISA) Informatik-Projektleiter mit eidg. FA Dipl. Betriebsökonom

Dok.-Nr.: Seite 1 von 6

DDV-SIEGEL. Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs-Unternehmen.

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

Informationssicherheitsmanagement

Vertrag über die Betreuung und Beratung eines EDV-Netzwerkes

VEDA Managed Services IBM POWER SYSTEMS

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom netformat GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Datenschutz und Informationssicherheit

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Strukturierte Informationssicherheit

Qualitätsmanagement-Handbuch Das QM-System Struktur des QM-Systems

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

Sicherheitsaspekte der kommunalen Arbeit

Verfahrensordnung für die Durchführung der Compliance-Zertifizierung der ICG

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Checkliste Überwachung der Arbeitnehmenden

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

EN : Informationen für Management und Betrieb

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Fragebogen zur Anforderungsanalyse

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Der Schutz von Patientendaten

Auftragsdatenverarbeiter: Darf s ein bißchen mehr sein?

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Information Security Policy für Geschäftspartner

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Finanzierung für den Mittelstand. Leitbild. der Abbildung schankz

IT-Sicherheitsüberprüfung Der Schutz vor Wirtschaftsspionage

Konzernrichtlinie der TÜV AUSTRIA HOLDING AG. zum Thema. Beschwerdeverfahren

Managementsysteme und Arbeitssicherheit

IT-Sicherheitsmanagement bei der Landeshauptstadt München

Kaufvertrag / Mietvertrag / Leasingvertrag über die Lieferung von Hardware und Systemsoftware

Erstellung eines Verfahrensverzeichnisses aus QSEC

HUMAN ASSET REVIEW

Zusammenarbeit im Projekt

Unternehmensvorstellung

6. SLA (Leistungsgruppen)

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Industrial Defender Defense in Depth Strategie

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Modul 1 Modul 2 Modul 3

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Dokumentenlenkung - Pflicht oder Kür-

Risikoanalyse mit der OCTAVE-Methode

Aspekte der Informationssicherheit bei der Einführung von SAP an der TU Dresden. Vorgehen, Werkzeuge, Erfahrungen-

IT-Governance und COBIT. DI Eberhard Binder

Newsletter: Februar 2016

ß ñ. Sarah Schneider Sprachdienste s p a n i s c h - d e u t s c h e s S p r a c h b ü r o

SLA Einführung bei der Stuttgarter Volksbank AG - Ein Praxisbericht -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Datenschutzbeauftragte

Teamentwicklung und Projektmanagement

Der IT Security Manager

Änderungen ISO 27001: 2013

Vertrag über Lieferung, Implementierung und Einführung eines IT-Systems (Projektvertrag)

Personal- und Patientendaten Datenschutz in Krankenhäusern

statuscheck im Unternehmen

Software Audit durch den Hersteller. Marc Roggli, SAM Consultant Zürich WTC

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

Daten-Bearbeitungsreglement

Datenschutz-Management

Prüfung Netzwerk. Sicherheitslücken im IT-Verbund

Transkript:

Auditierung eines IT-Sicherheitsmanagement Systems Human Internet CONSULT AG Kirchschlager Weg 8 71711 Murr Version: 1.0 Datum: 2006 Seiten: 8

INHALTSVERZEICHNIS 1 AUSGANGSSITUATION...3 2 AUDITIERUNG EINES IT-SICHERHEITSMANAGEMENT SYSTEMS...3 2.1 Aufnahme IST-Situation... 4 2.2 Analyse und Auswertung... 5 2.3 Ergebnisdokumentation... 5 2.4 Rahmenbedingungen... 5 3 PROJEKTORGANISATION...7 4 MITWIRKUNGSPFLICHTEN DES AUFTRAGGEBERS...7 5 GEHEIMHALTUNG UND VERTRAULICHKEIT...8 Human Internet CONSULT AG 2006 Seite 2

1 AUSGANGSSITUATION Die modernen Geschäftsprozesse in den Instituten erleben eine immer stärker werdende Abhängigkeit von der IT. Unternehmensziele sind heutzutage nur noch bei einem ordnungsmäßigen und sicheren Einsatz der EDV möglich. Durch die vernetzten Systeme, die große Verbreitung, die hohe Leistungsfähigkeit als auch die große Funktionalität steigt die Abhängigkeit immer mehr. Aus diesen Gründen sind IT Sicherheitsmanagement Systeme im Einsatz die über geeignete Regelungen zur Steuerung, Überwachung und Kontrolle der Risiken verfügen sowie angemessene Sicherheitsvorkehrungen für den Einsatz der Elektronischen Datenverarbeitung abbilden. Dieses IT Sicherheitsmanagement Systeme müssen in regelmäßigen Abständen geprüft werden. Information Security Management System ISMS Einführung und Einhaltung der IT - Sicherheit IT-Risikomanagement Schutzbedarfsfeststellung Risikoanalyse IT-Strukturanalyse Dokumentsichtung, Interviews, Begehung Maßnahmenkatalog Implementierung Technik, Prozesse, Sensibilisierung, Vertragsinhalte,... Frame Work Strategien Security Policies Richtlinien Konzepte Rahmenbedingungen Geschäftsprozesse, Gesetze, Kultur Scope Review / Audit Prozess-Sicht Review / Audit Asset-Sicht Kontrolle / Überwachung Security Reports Monitoring Abbildung 1: IT Sicherheitsmanagementprozess (Information Security Management System) 2 AUDITIERUNG EINES IT- SICHERHEITSMANAGEMENT- SYSTEMS Aufgrund bestehender, komplexer Sicherheitsanforderungen benötigen die verantwortlichen Stellen (IT Sicherheitsbeauftragter, Sicherheitsteam) externe Unterstützung bei der Auditierung ihrer im Einsatz befindlichen e, die sich wie folgt darstellt: Aufnahme IST Situation Analyse und Auswertung Ergebnisdokumentation Bei der Bewertung der IT-Sicherheitsmaßnahmen wird besonders auf die Konformität zum MA- RISK, KWG, OPDV, Grundschutzhandbuch des BSI und der ISO 17799/BS7799 Wert gelegt. Unser Vorgehen im Einzelnen: Human Internet CONSULT AG 2006 Seite 3

Innerhalb des Projektes wird der derzeitige Stand der IT- Sicherheit überprüft. Hierbei werden neben der Technik insbesondere auch organisatorische und prozessbezogene Sicherheitsmaßnahmen aufgenommen und analysiert. Das bestehende Sicherheitsniveau wird gegenüber den Anforderungen aus etablierten Sicherheitsstandards wie MA RISK, KWG, OPDV, Grundschutzhandbuch des BSI und der ISO 17799/BS7799 überprüft. Darüber hinaus findet eine Prüfung der Einhaltung gesetzlicher Vorgaben statt (z.b. Bundesdatenschutzgesetz). Die Human Internet CONSULT AG stellt das bestehende Sicherheitsniveau transparent dar und zeigt Sicherheitslücken und Optimierungsbedarf innerhalb eines Maßnahmenkataloges auf. Der Maßnahmenkatalog beschreibt hierbei die erforderlichen Maßnahmen und die kundenindividuelle Vorgehensweise zur Anpassung des IT- Sicherheitsmanagementprozesses. Darüber hinaus werden notwendige Maßnahmen im Bereich der Organisation, Betriebsprozesse und Technik dokumentiert und diskutiert. Zusammenfassend ergeben sich folgende Ziele: Identifizierung vorhandener Schwachstellen im Bereich Technik, Betrieb oder Prozessen Bewertung des aktuellen Sicherheitsniveaus Kostengünstige und unabhängige Ermittlung Ihrer individuellen Potentiale zur Erhöhung der IT- Sicherheit inklusive konkreter Lösungsvorschläge Sensibilisierung des IT- Managements bezüglich IT- Sicherheit Argumentationshilfe bezüglich notwendiger Investitionen Beschreibung der Vorgehensweise und der erforderlichen Maßnahmen zur Anpassung des IT- Sicherheitsmanagementprozesses Prüfung auf Einhaltung gesetzlicher Vorgaben und Anforderungen aus Sicherheitsstandards 2.1 Aufnahme IST- Situation Durch Sichtung von Dokumenten (z.b. Netz- und Systemdokumentationen, Richtlinien, etc.) sowie durch Interviews mit Ansprechpartnern im Bereich IT- Sicherheit, Netzwerk- und Systemadministration gewinnen die Mitarbeiter der Human Internet CONSULT AG ein Bild des Sicherheitsniveaus beim Kunden. Die Aufnahme umfasst unter anderen folgenden Bereich: IT- Sicherheitsmanagementprozess Security Policy Internet- und Mailnutzungsrichtlinien Content Security, Virenschutz Netzwerkabsicherung (RAS, VPN, Firewall) Authentisierung und Authorisierungskonzepte, Verschlüsselung sensitiver Daten Security Incident Erkennung (Intrusion Detection Systeme, Logauswertung,...) Betriebsprozesse (Incident Management, Change Management) Betriebsaspekte (Patch Management, Backup & Restore,...) Infrastruktur (Zutrittsregelungen, Stromversorgung, Klimaanlage, Feuerschutz,...) Human Internet CONSULT AG 2006 Seite 4

2.2 Analyse und Auswertung Die Human Internet CONSULT AG wertet die aufgenommenen Informationen aus. Die Auswertung erfolgt hinsichtlich der Ermittlung des derzeitigen Sicherheitslevels sowie zur Identifizierung von Bereichen, in denen eine Erhöhung der IT- Sicherheit durch Anpassungen der Infrastruktur, Systeme oder Prozesse sinnvoll und erforderlich ist. Die Prüfung erfolgt gegenüber gesetzlichen Vorgaben und Anforderungen aus Sicherheitsstandards wie BSI Grundschutzhandbuch und BS7799/ ISO17799. Sind Optimierungen möglich, so werden konkrete Lösungsvorschläge erarbeitet und dokumentiert. 2.3 Ergebnisdokumentation Die Human Internet CONSULT AG dokumentiert die Ergebnisse der Analyse und der Auswertung innerhalb von zwei Dokumenten: SOLL-IST Vergleich Dokumentation des derzeitigen Sicherheitsniveaus Maßnahmenkatalog Dokumentation von Sicherheitsmängeln und Optimierungsansätzen inklusive konkreter Lösungsvorschläge 2.4 Rahmenbedingungen Zustimmung der IT-Bereichsleitung und falls notwendig des Vorstandes Benennung aller relevanten Ansprechpartner Zeitnahe Verfügbarkeit aller relevanten Ansprechpartner (für Interviews, Workshops, etc.) Mitarbeit durch die Fachabteilungen (IT, Personal, Betriebsrat, Datenschutz) sowie die beteiligten Leitungsebenen Zugang zu allen benötigten DV-Unterlagen, Räumlichkeiten und sonstigen Informationen Eventuelle, während des Projektes aufkommende, Verzögerungen oder Zusatzaufgaben werden durch den Projektleiter direkt an den Ansprechpartner des Kunden kommuniziert und für das weitere Vorgehen abgestimmt Der Auftraggeber bestimmt einen Projektkoordinator, der für die internen Abstimmungsprozesse verantwortlich ist. Der Projektkoordinator wird spätestens zum Projekt Kick-Off benannt. Human Internet CONSULT AG 2006 Seite 5

Der Auftraggeber benötigt für die Erarbeitung der Ergebnisse ein Kernteam mit den folgenden Aufgaben und Funktionen: interner Koordinator und Verantwortlicher für die Durchführung (IT-Sicherheitsbeauftragter) einen Stellvertreter für den internen Koordinator, der auch von einem der beiden folgenden Funktionen wahrgenommen werden kann Mitarbeiter, der zu den eingesetzten IT-Systemen und Netzen fachkundig ist Mitarbeiter, der zu den IT-Anwendungen aus fachlicher Sicht aussagefähig ist Wünschenswert ist die Präsenz von Revision und Datenschutzbeauftragtem des Auftraggebers im Projektverlauf. Der Auftraggeber stellt das oben beschriebene Kernteam auf. Die Anzahl der beteiligten Personen hängt davon ab, inwieweit die o. a. Aufgaben und Funktionen unter den Personen aufgeteilt bzw. zusammengefasst werden. Die im Rahmen des Projektes durchzuführenden Arbeiten werden innerhalb von Arbeitspaketen erfolgen. Diese bilden logische Einheiten im Projekt und liefern die Teilergebnisse des Projektes. Die Beteiligung der verschiedenen Experten des Auftraggebers und des Auftragnehmers erfolgt auf der Basis der Themen jedes Arbeitspaketes und wird weiter unten tabellarisch dargestellt. Das Vorgehensmodell für die Durchführung des Projektes lehnt sich an das Grundschutzhandbuch des BSI und den Code of Practice der ISO 17799/BS7799 an. Human Internet CONSULT AG 2006 Seite 6

3 PROJEKTORGANISATION Im Rahmen des Projektmanagements werden Leistungen zur Koordination, Abstimmung und Kommunikation erbracht. In Abhängigkeit vom Zeitpunkt der Vertragsunterzeichnung erstellt die Human Internet CONSULT AG zusammen mit dem Auftraggeber und der Sparkasse einvernehmlich einen detaillierten Projektplan. Terminverschiebungen werden rechtzeitig der anderen Vertragsseite mitgeteilt und die Terminplanung einvernehmlich abgeändert. In diesem Rahmen erfolgt ebenfalls die Definition der Pflichten der Geschäftspartner und der Eskalationsstufen im Problemfall. Der Auftraggeber benennt einen Ansprechpartner für die Human Internet CONSULT AG, der als Koordinator die Gesamtverantwortung für die ordnungsgemäße Durchführung des Auftrages hat. Die Human Internet CONSULT AG benennt einen Projektleiter. Die Human Internet CONSULT AG wird nach Absprache externe Berater und Beraterinnen einsetzen. Während der Durchführung der Tätigkeiten werden Berater/innen auch beim Auftraggeber vor Ort sein. Für eine erfolgreiche Tätigkeit ist die Human Internet CONSULT AG auf die intensive Zusammenarbeit mit den Mitarbeitern des Auftraggebers angewiesen. 4 MITWIRKUNGSPFLICHTEN DES AUFTRAGGEBERS Der Auftraggeber verpflichtet sich, die Human Internet CONSULT AG bei der Durchführung ihrer Aufgaben zu unterstützen. Insbesondere wird der Auftraggeber folgende Anforderungen sicherstellen: Pläne/Unterlagen/Dokumente Für die reibungslose Durchführung der vereinbarten Dienstleistungen können Zugriffe auf Verkabelungspläne, Aufzeichnungen zur Netzwerk-Infrastruktur, Mitarbeiterverzeichnis mit Raumund Telefonnummern, etc. notwendig sein. Der Auftraggeber stellt diese im Bedarfsfall zur Verfügung. Inventarisierung Sind Aufzeichnungen und Eintragungen zur Inventarisierung notwendig, so sind Ablauf und inhaltliche Angaben vom Auftraggeber in der jeweiligen Anlage zu benennen und aufzunehmen. Auftraggeber-Infrastruktur Der Auftraggeber stellt sicher, dass der Human Internet CONSULT AG und seinen Beratern sämtliche Kommunikationsanschlüsse und -komponenten kostenlos zur Verfügung gestellt werden, die zur Durchführung der Vertragsleistungen notwendig sind. Die für die Leistungserbringung notwendigen Arbeitsmittel sowie die für die Arbeitsumgebungen erforderlichen Zugriffsberechtigungen werden im Einzelfall vom Auftraggeber zeitaktuell bereitgestellt. Human Internet CONSULT AG 2006 Seite 7

5 GEHEIMHALTUNG UND VERTRAULICHKEIT Die Human Internet CONSULT AG verpflichtet sich, alle im Zusammenhang mit der Durchführung ihrer Aufgaben und Funktionen bekannt gewordenen Informationen vertraulich zu behandeln und nicht an Dritte weiterzugeben. Diese Verpflichtung erstreckt sich auf alle mit den Aufgaben und Funktionen beauftragten Mitarbeiter/innen der Human Internet CONSULT AG sowie auf die unter Vertrag stehenden Mitarbeiter/innen der eingesetzten Subunternehmen. Die Human Internet CONSULT AG wird alle im Zusammenhang mit dieser Vereinbarung anvertrauten Schriftstücke, Drucksachen, Geschäftspapiere sowie alle eigenen Aufzeichnungen über geschäftliche Dinge, die den Auftraggeber berühren, jederzeit als das Eigentum des Auftraggebers betrachten. Diese Dokumente dürfen nicht in die Hände Unbefugter gelangen und sind auf Verlangen jederzeit, spätestens nach Beendigung dieses Vertrages, unaufgefordert dem Auftraggeber auszuhändigen. Die Human Internet CONSULT AG wird ihre Mitarbeiter/innen darauf hinweisen, dass die in den Räumen des Auftraggebers geltenden Sicherheits- und Ordnungsvorschriften befolgt werden. Human Internet CONSULT AG 2006 Seite 8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback