Die ideale Sicherheitsorganisation?

Ähnliche Dokumente
Erhebung der Fachgruppe Security und der Clusis zur Organisation der Informationssicherheit

Information Security Organisation Survey

GEFMA FM-Excellence: Lösungen für Betreiberverantwortung im Facility Management

Management von Informationssicherheit und Informationsrisiken Februar 2016

DuD 2014 IT-GRUNDSCHUTZZERTIFIZIERUNG IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN. Jörn Maier, Director Information Security Management

VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen?

Qualitätsmanagement nach DIN EN ISO 9000ff

Informations-Sicherheitsmanagement und Compliance

DE 098/2008. IT- Sicherheitsleitlinie

Der IT-Security Dschungel im Krankenhaus. Ein möglicher Ausweg

werte ScHAffeN. werte SIcHerN.

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Personalmanagement 2020

Inhaltsverzeichnis. Inhaltsverzeichnis. Normabschnitt

Checklisten als Hilfsmittel

Digitalisierung als Projekt

Mehr Effizienz dank Online Marketing Audit. Whitepaper inkl. Best Practice Beispiel

Checkliste ISO/IEC 27001:2013 Dokumente und Aufzeichnungen

Martin Fröhlich I Kurt Glasner (Hrsg.) IT Governance. Leitfaden für eine praxisgerechte Implementierung GABLER

Risikooptimierung durch Einhaltung von Standards und Zertifizierung

RmCU V 4.0 DIN Rail RmCU V 3.4 DIN Rail / Compact

Medienkonferenz Tätigkeitsbericht 2012

Sicher ist sicher. Online Backup mit NetApp zertifizierter Qualität

Sicher ist sicher. Online Backup mit NetApp zertifizierter Qualität

Sicher ist sicher. Online Backup mit NetApp zertifizierter Qualität

Damit die Einführung eines ISMS und die ISO Zertifizierung gelingen

Cloud Security Der sichere Weg in die Cloud

ISIS12 INFORMATIONSSICHERHEIT & DATENSCHUTZ

Stellenmarkt und Anforderungen für Business Analysten. Frankfurt, 2015 Sep. 25

TEIL 1 allgemeiner Teil

Informationssicherheit

Pressekonferenz zur CEBIT 2018

Service-Provider unter Compliance-Druck

Den Datenschutz nicht vergessen

Schnittstellen und Abgrenzungen ohne Mauern 1

Unternehmensvorstellung. Wir schützen Ihre Unternehmenswerte

(IT) Notfallmanagement im Unternehmen und in der Behörde Planung und Umsetzung gemäß BSI-Standard und ISO 22301

IT-Sicherheitsbeauftragter (IHK)

In 5 Schritten zum DMS

Auf der sicheren Seite So ist Software-Compliance in Ihrem Unternehmen garantiert? Rico Duda, SAM Senior Consultant Maximilian Hoppe, SAM Consultant

Das DINI-Zertifikat 2010 Qualitätskriterien für wissenschaftliche Publikationsdienste Uwe Müller

IT-Grundschutz Stolpersteine auf dem Weg zur Zertifizierung Vorbereitung ist alles!

Wir schützen. Ihre Unternehmenswerte. Die PRIOLAN GmbH stellt sich vor

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

BSI IT-Grundschutz in der Praxis

Cloud Computing mit IT-Grundschutz

Auf der sicheren Seite Software-Compliance garantieren?

Die neue ISO 9004 Was wird sich ändern? 04152

Sicher ist sicher. Online Backup mit NetApp zertifizierter Qualität

Sicherheit für Ihre Geodaten

Projektpraxis Datenschutz

IT-Grundschutz Informationssicherheit ohne Risiken und Nebenwirkungen

Inhalt. Überblick über die Normenfamilie. Struktur der ISO/IEC 27018:2014. Die Norm im Einzelnen. Schnittmenge zum Datenschutz. Kritische Würdigung

IT-Sicherheit für Stadtwerke Sind Sie READY für ein zertifiziertes ISMS? Thomas Steinbach Leipzig, 10. Mai 2017

DATENSCHUTZMANAGEMENT MIT VERINICE. Berlin, den

Fragebogen. Anleitung. Sehr geehrte Unternehmer,

Ziele und Chancen der Initiative Energie Kommune :Klimaschutz= Kostensenkung (E3K)

Arbeitsschutz-Management - neue Angebote der BG RCI -

Bruno Tenhagen. Zertifizierung nach ISO/IEC 27001

Lowtech-Hightech-Kooperationen. Themenschwerpunkt 1: Internes Management offener Innovationsprozesse. Oliver Som

Sicherer Erfolg dank ISDS-Konzept: Erfahrung, Erkenntnisse und Umsetzungsempfehlungen für kantonale Polizeiorganisationen

Blick über den Tellerand Erfahrungen der EVU

Effizienz der kommunalen Infrastruktur am Beispiel Bauhof und Fuhrpark

intellecom GmbH Unternehmensprofil Joachim Ernst Geschäftsführer

Grundlagen des Datenschutzes und der IT-Sicherheit

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten.

Qualifizierte APT-Response Dienstleister. im Sinne 3 BSIG

Softwarelösung für den Prozess der IT-Sicherheit. Wie sicher ist Ihre IT?

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Datenschutz und Informationssicherheit

2. Bildungsweg vom gehobenen Polizeidienst

E d i t i o n G o v e r n a n c e

Praktisches Cyber Risk Management

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC von BSI.

Informationssicherheits- und Notfallmanagement: Trends Befragung zu Status quo, Trends und zukünftigen Anforderungen

Sana Management Service GmbH 2018

ISO 9001:2015 Delta Audits und Neuerungen der Norm. Claus Engler, Produktmanager für Risikomanagementsysteme, TÜV SÜD Management Service GmbH

ERFA-Nachmittag IKS Sicht Gemeindeinspektorat

Cassini I Guiding ahead

Information Security Management System Informationssicherheitsrichtlinie

Internes Kontrollsystem und Risikobeurteilung in der IT

Praxis und Nutzen der Zertifizierung

Benennung verpflichtend

qx-club Sommer-Forum Governance unter Solvency II Fluch oder Segen?

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

15 Jahre IT-Grundschutz

Entwicklung von SAM in der Schweiz. Marc Roggli, SAM Consultant Zürich WTC

Journey to the. Cloud

Internetkriminalität im Mittelstand - die tägliche Realität? Sicherheit im Netz für KMUs

DATENSCHUTZ in der Praxis

verinice.xp 2018 Aufbau eines standardisierten IT- Sicherheitskonzepts für Hoster nach BSI IT-Grundschutz Philipp Neumann

ISMS-Einführung in Kliniken

Mit ISIS12 zur ISO/IEC 27001

Komplexes einfach machen. Mit der IT-Revision der dhpg.

Agenda INTELLIGENT. EINFACH. PREMIUM.

Transkript:

Die ideale Sicherheitsorganisation? Dr. Marcus Holthaus, IMSEC GmbH, Cham Marcus.Holthaus@imsec.ch, 041 780 00 11 / 00 21 Fax 3. Juli 2001 Inhalt Die richtige Antwort? Stellen und Verantwortlichkeiten Dokumente, Abdeckung und Einhaltung Massnahmen Standards Outsourcing Stellenwert und Budget Security Function Survey

Die richtige Antwort?... Gibt es nicht! Heraushebung einzelner Punkte Ideale Antwort aus Sicht eines Informationssicherheitsbeauftragten (vgl. Beilage) Realistische Einschätzung (ohne Vorgriff auf Resultate): Niemand hat den Idealfall umgesetzt, viele weit entfernt Was darf Sicherheit kosten? Dieser Vortrag als Ergänzung der Umfrage aus Erfahrung Stellen und Verantwortlichkeiten (1) ISiBe & DSB: Jeweils hohe fachliche Anforderungen Hauptaufgaben: Nachdenken über mögliche Technologie- und Organisationsfolgen Erarbeitung von Lösungsansätzen, Organisation von integrierbaren Technologien zur Lösung Verantwortung? Nicht operativ, aber Förderungspflicht

Stellen und Verantwortlichkeiten (2) ISiBe Eigene Bewerbung als ISiBe 1996: keine Chance! Pendenzenberge, instanziierter schwarzer Peter, schlechtes Gewissen der Unternehmung? Ja -> fehlende Awareness (oder keine Vorfälle!) Nein -> gute Voraussetzung für effektive Arbeit Keine Chance alleine! Vordringlichste Aufgaben: Aktivitäten hinaustragen, Awareness bilden Risiken aufzeigen Strategien entwickeln und verkaufen -> interne Marketing-Aufgabe Ideal: ISiBe und DSB haben ähnliche Fachkompetenzen -> gegenseitige Vertretungen möglich Stellen und Verantwortlichkeiten (3) DSB V.a. Aufgaben aus Datenschutzgesetz mit Komplikationen Ausland Besonders schützenswerte Daten Konfliktierende Datenschutzansprüche Z.B. Publikation des Geburtsdatums in Zertifikaten oder von Zertifikaten in Verzeichnissen? Weitere rechtliche Gebiete Urheberrecht: SW-Lizenzierung, Webserver-Publikationen Compliance und Disclaiming...

Stellen und Verantwortlichkeiten (4) Verlagerung der Verantwortung in die Linie Aufbau eines Objektmodells mit Verknüpfungen: Datensammlungen mit Verantwortlichen (DSVA) Anwendungen mit Verantwortlichen (AVA) Systeme mit Verantwortlichen (SVA) Weitere Abgrenzungen (baulich, Prozesse, etc.) Strategievorgabe, Verfahren, Massnahmenkataloge Auslagerung einzelner oder mehrerer Aufgaben nach Aussen Je technischer, desto einfacher Problem: Niemand will den Job... Dokumente, Abdeckung und Einhaltung Grundlage für alle organisatorischen und z.t. auch für technische Massnahmen Beliebig komplex Schlecht: Papierberg, Papiertigerzoo Gut: Schlank, verlinkt, aktuell, konkret => oft überarbeiten Redaktion notwendig Einhaltung prüfen!

Massnahmen Kategorien: Organisatorisch Personell Technisch baulich Abstraktionsgrad Standard Angepasster Standard Unstandardisiert Kataloge Für jede Anwendung BSI-Grundschutzhandbuch Produktekataloge? Standards Management: BS 7799 bzw. ISO 17799 Zertifizierbar Geringer Umfang Hoher Abstraktionsgrad Technologie: Inzwischen für viele Branchen anerkannte Best Practice Guides Zum Teil verbindlich vorgeschriebene Mindeststandards oder Kataloge mit Empfehlungen (TCB seit 1996!) Druck zur Zertifizierung entsteht jetzt

Outsourcing Illusionen verflogen. Realität: Kostet nicht weniger, sondern eher mehr Komplexe Schnittstellen zwischen Auftraggeber und Auftragnehmer -> alles muss detailliert geregelt werden (bzw: müsste!) Komplexe rechtliche Zusammenhänge, Abgrenzungsproblematik, Kontrollpflicht! Sicherheit beinahe nicht kontrollierbar (Aufwand, Komplexität, Kosten, Ignoranz oder andere Gründe) Es gibt nur wenige funktionierende Outsourcings Stellenwert und Budget Sicherheit wird immer wichtiger Aktuelle Infrastruktur als Basis einer Informationsgesellschaft? Nein. Nicht vertrauenswürdig weil Zu komplex Zu wenig konsequent sicher Zu wenig verlässlich Folgen Informationsgesellschaft lässt auf sich warten Wir benötigen Kontrolle über unsere Systeme Klarheit über Kosten und Nutzen ist wesentlich Vertrauen ist Voraussetzung Der grosse Vertrauensverlust steht bevor!

Security Function Survey Erstmalige Durchführung Nochmalige Durchführung ist unklar Theoretische Erwartung: Resultate werden tendenziell von Jahr zu Jahr besser!

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback