Security Excellence Informationssicherheit ganzheitlich und nachhaltig
Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information Security Consultant Materna GmbH, Business Line IT Factory, Security Consulting Security Excellence
Schäden durch höhere Gewalt Angriffe von Außen Gefahren von Innen Quelle: Symantec 2014
Warum benötigen wir Informationssicherheit? Kundenanforderungen öffentliche Kunden Zuverlässige Serviceleistungen sichere Infrastrukturen E-Business Entwicklungspartnerschaft Know-how Schutz Kunden / Lieferanten- Compliance Rechtliche Vorgaben Risk Management z.b. KontraG Datenschutz BDSG, EU Haftungsfragen Regulierung / Corp. Governance (z. B. SOX, Basel III) IT-Sicherheitsgesetz Compliance Eigeninteresse Schutz von Informationen und Wissen Schutz der Infrastrukturen Kooperation mit Wettbewerbern Image in der Öffentlichkeit TRUST Die Informationsressourcen sind für ein wissensbasiertes Unternehmen von unschätzbarer Wichtigkeit.
Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Security Excellence
Risikomanagement Notfallmanagement Datenschutz Notfallmanagement Notfallmanagement Datenschutz MDM IDM BCM Begleitende Assessments Schulungen & Workshops Coaching RZ-Bewertung Externer ISB Vorbereitung zur Zertifizierung ISIS12 ISMS Datenschutz Notfallmanagement BCM IDM Risikomanagement Risikomanagement Datenschutz Notfallmanagement MDM Interne Audits Security Projektmanagement Risikomanagement Risikomanagement Strategie- und Prozessberatung Delta-Schulungen Erstellen von Policies und Richtlinien Pentesting Awarenessmaßnahmen Kampagnen Wir müssen Technologie, Prozesse und Menschen ganzheitlich betrachten.
Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Security Excellence
Security Assessment Einschätzung des Security Reifegrads durch strukturierten Fragenkatalog Vergleichbarkeit durch 4-stufiges Bewertungsschema anonymisiertes Benchmarking der Teilnehmer möglich Basiert auf NIST* Cyber Security Framework Referenzierungen zu weiteren Standards (z.b. ISO 27001) Identifikation von Handlungsfeldern Ausweis des Reifegrades und der Relevanz *NIST: National Institute of Standards and Technology
Vorgehen ISO 27001 Assessment Beim Auftraggeber Beim Auftragnehmer Vor Ort Remote Vorbereitung Durchführung Analyse Beim Auftraggeber Vor Ort Abschluss Verständnis / Sensibilisierung ISO27001 Abstimmung Ziele, Inhalte, Fokus und Abgrenzung des Assessments Terminierung Interviews Bestimmung Interviewpartner Geheimhaltungserklärung (NDA) Termin für abschließende Ergebnispräsentation Benötigte Hilfsmittel (Raum, Beamer) Assessment Interviews Begehungen Assessment und Dokumentation Alle im Fokus stehenden Aspekte der ISO27001 Security- Themen werden unter Anwendung des Fragenkatalogs hinterfragt und protokolliert. * Auswertung Prüfung auf Plausibilität und Nachvollziehbarkeit Bewertung durch unabhängigen internen Consultant Erstellung Offene- Punkte-Liste Erstellung Ergebnisbericht Zusammenfassung Strukturierte Darstellung Empfehlungen und Maßnahmen Präsentation Beim Auftraggeber Abstimmung * bei Bedarf Übereinkunft Klärung und Diskussion der Offenen-Punkte-Liste Ergebnisbericht & Projektabschluss Ergebnispräsentation Abschlussbericht mit Analyseergebnissen, Verbesserungspotenzialen und Handlungsempfehlungen Empfehlung weitere Vorgehensweise
Für Ihre Investition bekommen Sie Standortbestimmung Wie sicher sind Sie wirklich Handlungsempfehlung Lücken nachhaltig schließen
Mehrwert / Nutzen für den Kunden ( externe Effekte ) Risiken erkennen Sicherung der Geschäftskontinuität Haftungsrisiko reduzieren aus Verträgen, aus Delikten, aus Verpflichtungen Nachweis für Wirtschaftsprüfer Bestandsführung, Sorgfaltspflicht, Compliance Aussenwirkung Orientierung an internationalen Standard Bessere Positionierung beim Kunden Wettbewerbsvorteil, Wahrnehmung am Markt Finanzielle Effekte Günstigere Kreditkonditionen Wirtschaftlichkeit Vertrauen Bedrohungen erkennen Krisenfester Kompetenz Werte sichern Wettbewerbsfähigkeit Akzeptanz Glaubwürdigkeit Wettbewerbsvorteil Schadensvermeidung
Gibt es noch Fragen? Ansprechpartner: Dipl.-Ing. Alfons Marx Manager, DQS-Auditor E-Mail: alfons.marx@materna.de Telefon: 01570 112 8322 Vortrag: Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information Security Consultant E-Mail: sebastian.uellenbeck@materna.de Telefon: 0173 710 7194 Unternehmen: Materna GmbH Voßkuhle 37 44141 Dortmund Web: www.materna.de