Neun Jahre ISO-27001-Zertifizierung Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell
UNTERNEHMENSSTRATEGIE IT-Dienstleistungszentrum im Bund Das IT-Dienstleistungszentrum der Bundesverwaltung für Vision Reform & Modernisierung Bürger- & Wirtschaftsservices Das Shared IT Service Center im Bund Der marktführende E-Government Partner Der IT-Integrator für EU-Anwendungen Mission Als Kooperations- und Konsolidierungspartner liefern wir der Bundesverwaltung IT-Lösungen in vereinbarter Qualität & Sicherheit zum besten Preis innovativ sicher kompetent partnerschaftlich vertrauenswürdig kosteneffizient 05.06.2014 BRZ GmbH 2014 2
DAS ERSTE ZERTIFIKAT - ÖNORM A 7799 05.06.2014 BRZ GmbH 2014 3
DIE RAHMENBEDINGUNGEN 2005 Sicherheit Angriffe erfolgten primär gegen den Netzwerkperimeter und Betriebssysteme Malware zielte auf Windows-Systeme Trojaner Mydoom bringt erstmals den Begriff Botnetze in den Fokus Wurm Win32/Zotob manipuliert den Microsoft Internet Explorer 05.06.2014 BRZ GmbH 2014 4
DIE RAHMENBEDINGUNGEN 2005 Compliance Standard ÖNORM A 7799 i.v.m: BS 7799-2:2002 Sicherheit erfordert die Umsetzung eines kategorischen Katalogs von Maßnahmen Viele Policies machen viel Sicherheit 05.06.2014 BRZ GmbH 2014 5
AWARENESS IN BILD UND TON 05.06.2014 BRZ GmbH 2014 6
ZERTIFIKATS-UPGRADE ISO 27001 05.06.2014 BRZ GmbH 2014 7
DIE PHASE DER ERNÜCHTERUNG Nach der ersten Phase der Euphorie beginnt die Ernüchterung: Auch ein CISO muss lernen, dass es Irrtümer gibt. Befolgen von Policies, weil sie der Chef unterschrieben hat Sicherheitsprojekte müssen immer die höchste Priorität haben Setze immer die strengste Security-Lösung ein Es ist im besten Interesse des Unternehmens, eine einzige monolithische Policy zu haben, die von Sicherheitsexperten erstellt wurde 05.06.2014 BRZ GmbH 8
DIE ANTWORT LAUTET 05.06.2014 BRZ GmbH 2014 9
REZERTIFIZIERUNG 2008 05.06.2014 BRZ GmbH 2014 10
JETZT WAR ES ZEIT FÜR. 05.06.2014 BRZ GmbH 2014 11
SECURITY 2.0 IST Service- und Risiko-orientiert Security 2.0 bringt ein schlankes Regelwerk mit 14 neuen SRL statt > 100 Ergänzung durch die Sicherheitsarchitektur mit techn. Vorgaben eine SRL für alle Mitarbeiter (IS am Arbeitsplatz) E-Learning statt Frontalschulung Operative Sicherheitsvorgaben nicht mehr im Sicherheitsprozess, sondern in Servicemanagement- Prozessen 05.06.2014 BRZ GmbH 12
SECURITY 2.0 AM PRÜFSTAND 2011 geprüft und für GUT befunden 05.06.2014 BRZ GmbH 2014 13
REIFEGRADMODELL DES ISMS Sicherheit braucht Ziele ISO 27001 bildet ein umfassendes ISMS ab Jedes Kapitel erhielt einen Zielwert nach 5-stufigem Maturity-Modell Die Ausgangsbewertung zeigte Schwächen bei einzelnen Bewertungen Kombinierte Bewertung aus Selbst- und Außensicht (CIS-Auditoren) Kontinuierliche Arbeit an den Schwachstellen mit regelmäßiger Kontrolle Es muss nicht in jeder Disziplin der Topwert sein - sondern angemessen 05.06.2014 BRZ GmbH 14
HARMONISIERUNG DER MANAGEMENTSYSTEME Viele Managementsysteme sind der Tod der Mitarbeiterakzeptanz, außer man führt sie zusammen gemeinsames Politikdokument für Sicherheits-, Qualitäts- und Business Continuity Management gemeinsame Audits reduzieren Aufwand operative Sicherheit in den ITSM-Prozessen IS-Risiken im Enterprise Riskmanagement 05.06.2014 BRZ GmbH 15
ÄNDERUNG DES RISIKOVERSTÄNDNISSES Der Standard ISO/IEC 27001:2013 schließt die Entwicklung des risikobasierten Ansatzes ab. BS 7799 ein kategorischer Maßnahmenkatalog mit verpflichtender Umsetzung jeder einzelnen Maßnahme ISO/IEC 27001:2005 Sicherheitsmaßnahmen adressieren Risiken ISO/IEC 27001:2013 Risiken der zu unterstützenden Managementprozesse sind mit Maßnahmen zu hinterlegen Einführung eines Risk Owners Alignment mit ISO 31000 (ERM-BRZ) Prüfung der Wirksamkeit der Maßnahmen zur Risikosenkung 05.06.2014 BRZ GmbH 16
KOSTEN Was kostet ein Zertifikat? 1. Ein Zertifikat kann man nicht kaufen! 2. Die Frage ist nicht Brauche ich ein Zertifikat? sondern 3. Kann ich es mir leisten, kein ISMS zu haben? 4. Habe ich ein ISMS, dann kostet das Zertifikat nur mehr einen kleinen Aufwand. 05.06.2014 BRZ GmbH 17
AM WEG IN S ZEHNTE JAHR 05.06.2014 BRZ GmbH 2014 18
Johannes MARIEL CISO der BRZ GmbH Mail: johannes.mariel (at) brz.gv.at Tel.: +43 1 71123 882785 Web: www.brz.gv.at