ISO 27001 Zertifizierung auf der Basis IT-Grundschutz



Ähnliche Dokumente
Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

DATEV eg, Nürnberg. Betrieb der DATEV Rechenzentren. Anforderungsprofil Business Continuity

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

Kooperationsgruppe Informationssicherheit des IT-PLR. Leitlinie für die Informationssicherheit. in der öffentlichen Verwaltung

Einstieg in ein kommunales Informationssicherheits- Managementsystem (ISMS)

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

IT-Sicherheit in der Energiewirtschaft

Dok.-Nr.: Seite 1 von 6

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Informationssicherheitsmanagement

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Datenschutz und IT-Sicherheit. Smart Meter CA & Gateway Administration. SmartMeterCA &

Die Umsetzung von IT-Sicherheit in KMU

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH EN 16001

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Informationssicherheit als Outsourcing Kandidat

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

BSV Ludwigsburg Erstellung einer neuen Internetseite

Kirchlicher Datenschutz

Ihr Zeichen, Ihre Nachricht vom Unser Zeichen (Bei Antwort angeben) Durchwahl (0511) 120- Hannover NDS EU-DLR

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Informationssicherheit auf Basis des IT-Grundschutzes bei der GDV Dienstleistungs-GmbH & Co. KG. Torsten Hemmer Berlin, 15.

Scannen Sie schon oder blättern Sie noch?

Personal- und Kundendaten Datenschutz in Werbeagenturen

How-to: Webserver NAT. Securepoint Security System Version 2007nx

GRS SIGNUM Product-Lifecycle-Management

3 Juristische Grundlagen

Leistungsportfolio Security

PB QMS-Umstellungsverfahren

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Mitteilung zur Kenntnisnahme

Bundeskanzlei BK Programm GEVER Bund. als Basis für GEVER. 29. November 2012

Personal- und Kundendaten Datenschutz bei Energieversorgern

Workflows verwalten. Tipps & Tricks

GPP Projekte gemeinsam zum Erfolg führen

MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt

Ablauf einer Managementzertifizierung

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

STECKBRIEF 1 st, 2 nd, 3 rd PARTY AUDITOR

IT-Grundschutz - der direkte Weg zur Informationssicherheit

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

Akkreditierung gemäß D -Gesetz

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

BITBW News Juli Geschafft!

ISO Erfahrungen aus der. Markus Kukla Leiter der Zertifizierungsstelle

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Datenschutz und Informationssicherheit

Informations-Sicherheit mit ISIS12

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

IT-Sicherheitszertifikat

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH VDA 6.X

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

Ablauf einer Managementzertifizierung

Auditmanager. Vorbereitung, Durchführung und Maßnahmenumsetzung von Audits leicht gemacht. Auditmanager. im System

Ausbildung zum Compliance Officer Mittelstand

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Konzeption & Umsetzung eines länderübergreifenden IKZM - Prozesses

MUSTER-IT-SICHERHEITSKONZEPTE DER EKD

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Arbeitstreffen: CO 2 -Bilanzen, Energiecontrolling und Klimaschutzkonzepte in Schleswig-Holstein

Ausschreibungsunterlagen mit der Funktion als Serien- versenden

Trainingsprogramm 2016

Finanzierung und Unterstützung bei der Umsetzung von Maßnahmen durch das Land Hessen

Informationssicherheit in handlichen Päckchen ISIS12

BÜV-ZERT NORD-OST GMBH Zertifizierungsstelle für Managementsysteme der Baustoffindustrie

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Befähigte Person Wer ist das?

Spitzenausgleich-Effizienzsystemverordnung- SpaEfV

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

Qualitätsbeauftragter / interner Auditor und Qualitätsmanager. DGQ Prüfung zum Qualitätsmanager. Wege zum umfassenden Qualitätsmanagement

Sanktionsreglement zu den Richtlinien für Regionalmarken. Eigentümer: IG Regionalprodukte Letzte Aktualisierung: Version: 4.

1. Oktober 2013, Bonn

Lenkung von Dokumenten und Aufzeichnungen. Studienabteilung

Was meinen die Leute eigentlich mit: Grexit?

Daten Monitoring und VPN Fernwartung

Architekturplanung und IS-Portfolio-

Jetzt dabei sein: Check-in Energieeffizienz.

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Cloud Computing mit IT-Grundschutz

Optimal vorbereitet. Fit fürs Studium mit den Vorbereitungskursen der OHN. Fragen? Jetzt anmelden!

Fair-Fairer-Hamburg? Impulsvortrag zur Podiumsdiskussion

Zertifizierung IT-Sicherheitsbeauftragter

Lenkung der QM-Dokumentation

2007 Finanzdienstleister, 350 User, Wien Verfügbarkeit der Serversysteme muss gehoben 2007

Personal- und Kundendaten Datenschutz im Einzelhandel

AVE Verfahren Erst-Zertifizierung

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Qualitätsmanagementsystem der IHK Köln. Überblick 2015

Leitfaden. zur Einführung neuer Studiengänge

Information zur Revision der ISO Sehr geehrte Damen und Herren,

Software-Entwicklungsprozesse zertifizieren

Hessische Zentrale für Datenverarbeitung der zentrale IT-Dienstleister für die hessische Landesverwaltung

Version 1.0 [Wiederherstellung der Active Directory] Stand: Professionelle Datensicherung mit SafeUndSave.com. Beschreibung.

DS DATA SYSTEMS GmbH

Transkript:

T.I.S.P. Community Meeting 2011 ISO 27001 Zertifizierung auf der Basis IT-Grundschutz Uwe Holle

Ziel des Vortrages Ziel des Vortrages ist es, Erfahrungen darzustellen, auf dem Weg zu einer ISO 27001 Zertifizierung auf der Basis IT-Grundschutz im Bereich der EU-Zahlstelle Niedersachsen/Bremen Die BSI-Standards und die IT-Grundschutz Kataloge sind auf der Internetseite des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu finden.

Grundfragen 1.) Warum ein Zertifikat? 2.) Was ist eine EU-Zahlstelle?

Vorstellung der EU-Zahlstelle Niedersachsen/Bremen Aufgaben einer EU-Zahlstelle Europäischer Garantiefonds für die Landwirtschaft (EGFL) Europäischer Landwirtschaftsfonds für die Entwicklung des ländlichen Raums (ELER) In Niedersachsen: ca. 80 verschiedene Fördermaßnahmen mit einem finanziellen Volumen von jährlich ca. 1,2 Milliarden Euro Einrichtung der EU-Zahlstelle Niedersachsen/Bremen für die Abwicklung der Fördermaßnahmen des EGFL und ELER erfolgte im Niedersächsischen Ministerium

Vorstellung der EU-Zahlstelle Niedersachsen/Bremen Gesetzliche Grundlage Verordnung (EG) Nr. 885/2006 u.a. Zulassungskriterien einer EU-Zahlstelle (Anhang I) Punkt 3. Information und Kommunikation B) Sicherheit der Informationssysteme Die Zahlstelle wählt einen dieser internationalen Standards als Basis für die Sicherheit der Informationssysteme aus. - ISO Standard - IT-Grundschutz - COBIT Beschluss der Agrarministerkonferenz: Einheitliche Anwendung des IT-Grundschutzes für die EU-Zahlstellen der Bundesrepublik Deutschland.

Vorstellung der EU-Zahlstelle Niedersachsen/Bremen Prüfdienste Interner Revisionsdienst Bescheinigende Stelle Zuständige Behörde EU-Kommission Europäischer Rechnungshof Bundesrechnungshof Landesrechnungshof EU-Zahlstelle Um den Prüfaufwand und die Prüftätigkeiten möglichst gering zu halten: ISO 27001 Zertifizierung auf der Basis IT-Grundschutz

Informationsverbund Aufbau der EU-Zahlstelle Niedersächsischen Ministerium Leitung der EU-Zahlstelle Auszahlung und Verbuchung Niedersächsischen Ministerium für Umwelt und Klimaschutz Verschiedene Fachreferate Verschiedene Fachreferate Bewilligungsstellen Landwirtschaftskammer Niedersachsen Ämter für Landentwicklung Niedersächsische Landesbetrieb für Wasserwirtschaft, Küsten- und Naturschutz IT-Betrieb Servicezentrum Landentwicklung und Agrarförderung Landesbetrieb für Statistik und Kommunikationstechnologie Niedersachsen

Informationsverbund Technischer Aufbau der EU-Zahlstelle Bewilligungsstellen des NLWKN 11 Ämter für Landentwicklung ML 10 Bewilligungsstellen der LWK Netz Netz der der LWK LWK Niedersachsen Niedersachsen MU Landesnetz (LSKN) (LSKN) MF SLA Zentrale technische Dienststelle der EU-Zahlstelle Informationsverbund für die Zertifizierung

Informationsverbund Weitere Probleme bei der Abgrenzung Landesnetz Betreiber LSKN Technische Lösung Lösung Firewall E-Mail Server Definition Zentral beim LSKN angesiedelt Unterstützend eingesetzt kein Hauptgeschäftsprozess Active Directory Gemeinsame Domäne mit der Vermessungs- und Katasterverwaltung (LGLN) Formelle Regelungen - Richtlinien Organisatorische Regelung Diese Ergebnisse fließen in die Leitlinie zur Informationssicherheit ein!

Leitlinie zur Informationssicherheit Leitlinie zur Informationssicherheit Zweck Beschreibt die Sicherheitsziele sowie die verfolgte Sicherheitsstrategie Inhalt - Aufbau eines Informationssicherheitsmanagementsystems nach der Methode des IT-Grundschutzes vom BSI - Festlegung des Geltungsbereiches Definition des Informationsverbundes - Verantwortung der Behörden- bzw. Unternehmensleitung für die Informationssicherheit. - Aufbau der Sicherheitsorganisation Rollenbeschreibung: z.b. IT-Sicherheitsbeauftragter, Bausteinverantwortlicher Zusammensetzung des Sicherheitsmanagementteams Durch die Leitung in Kraft gesetzt und den Mitarbeitern bekannt gegeben!

Jetzt geht es richtig los! 2006 Ziel: Erreichen des Auditortestates der Einstiegsstufe (alle A-Maßnahmen) - Bundesweite öffentliche Ausschreibung Beratung und Prüfung Ziel erreicht: Auditor Testat Einstieg 0004-2006 2007 Gültigkeit: 30.11.2008 Die Fachlichkeit muss jetzt wieder im Vordergrund stehen! 2008 Prozess der Informationssicherheit hat sich nicht etabliert und wurde von der Leitungsebene nicht entsprechend gewichtet! Ergebnis: Nächste Stufe wurde nicht erreicht! Kein Auditor-Testat oder Zertifikat liegt mehr vor!

Und nun? Prüfdienste bemängeln den Stand der Informationssicherheit und führen eigene Prüfungen durch. Leitung der EU-Zahlstelle wurde aktiv. Austausch des IT-Sicherheitsbeauftragten im Informationsverbund und des beratenden Auditors. Bestandsaufnahme durch den neuen Berater Aufbau des Informationssicherheitsmanagementsystems im Rahmen eines Projektes (Zieltermin: Zertifizierungsaudit muss im September 2010 durchgeführt sein.)

2. Versuch Basisinformationen lagen auf Grund der Tätigkeiten für das Auditor Testat vor. - Kritischen Punkte der Infrastruktur wurden angefasst. Brandschutz von Patchfeldern (M1.62) Klimatisierung Rechenzentrum Verkabelung Brandschutzkonzept - Bearbeitung der Bausteine. Bisherige Praktiken mit den Bausteinverantwortlichen aufgenommen. Anpassung der bisherigen Abläufe an die Anforderungen des IT-Grundschutzes. Erstellung von Dokumentationen der Abläufe und Regelungen (z.b. Richtlinien).

2. Versuch 2009 Umbaumaßnahmen im Gebäude Nach der Aufnahme der Prozesse - Standardisierung Druck auf die Leitungsebene des Informationsverbundes wurde von der EU-Zahlstelle durch die Einschaltung des Staatssekretärs erhöht. Monatliche Berichte zum aktuellen Stand an den Staatssekretär. 2010 Kontinuierlicher Aufbau des Informationssicherheitsmanagements - Sicherheitsmanagementteam - Sensibilisierungsmaßnahmen für die Mitarbeiter.

2. Versuch 2010 06.Juni Zertifizierungsantrag beim BSI gestellt 09.Juli Rückmeldung durch das BSI, mit Vergabe der Zertifizierungskennung 04.August Lieferung der Referenzdokumente Beginn der Auditierung 13.-25.August Audit vor Ort 24.September Abschluss der Auditierung 25.Oktober Vorlage endgültiger Auditbericht 17.November Ausstellungsdatum des ISO 27001 Zertifikates auf der Basis IT-Grundschutz 2011 August/September Durchführung des Überwachungsaudits 24.Oktober Bescheid vom BSI über den positiven Abschluss des 1. Überwachungsaudits.

Dank Herrn Reto Lorenz Praxisorientierte Umsetzung des IT-Grundschutzes Positiver Umgang mit der Leitungsebene, den Bausteinverantwortlichen und den Mitarbeitern.

Fazit - Leitungsebene muss absolut hinter dem Ziel stehen und nicht andere Aufgaben so priorisieren, dass die Informationssicherheit völlig nachrangig behandelt wird. - geeignete Beratung ist notwendig. - Klare Abgrenzung des Informationsverbundes. - Viele Aufräumarbeiten sind zu erledigen. Beispiele: Brandschutzgutachten, Prozessbeschreibungen usw. - Mitarbeiter sind in die Prozesse einzubinden und bezüglich der Informationssicherheit zu sensibilisieren. Auswirkungen - Prozesse laufen effektiver, weil standardisiert, ab. - Umgang mit Sicherheitsvorfällen ist professioneller geworden (Beispiel Stromausfall in Hannover).

Fragen Vielen Dank für Ihre Aufmerksamkeit

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback