VEGA Deutschland. Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger? A Finmeccanica Company

Ähnliche Dokumente
Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

PEFC SCHWEIZ NORMATIVES DOKUMENT ND 003. Anforderungen zur Zertifizierung auf Ebene eines Betriebes

IT-Grundschutz. Manuel Atug & Daniel Jedecke Chaos Computer Club Cologne (C4) e.v. OpenChaos Januar 2007

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

VdS Cyber-Security der Brandschutz des 21. Jahrhunderts. Cyber-Security für kleine und mittlere Unternehmen (KMU)

GEFMA FM-Excellence: Lösungen für Betreiberverantwortung im Facility Management

Leistungsportfolio Security

Praxisbericht Zertifizierung Digitale Nachweise in IT-Grundschutz- Zertifizierungsverfahren

Zertifizierung IT-Sicherheitsbeauftragter

ISO mit oder ohne BSI-Grundschutz? Oliver Müller

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH BRC (GLOBAL STANDARD-FOOD)

DIGITALE INFRASTRUKTUR SCHÜTZEN UND OPTIMIEREN

Scannen Sie schon oder blättern Sie noch?

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Sicherheit entsprechend den BSI-Standards

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

BSI IT-GRUNDSCHUTZ 3.0: EINE PRAGMATISCHE VORGEHENSWEISE. Alternative Ansätze im Sicherheitsmanagement

nach Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik

rücker + schindele Ingenieurdienstleistungen Unternehmensberatung

International anerkannter Standard für IT-Sicherheit: ISO Umsetzung und Zertifizierung auf der Basis von BSI Grundschutz

Dieter Börner Management-Service. Quelle : Bundesamt für Sicherheit in der Informationstechnik

SerNet. Vom Prozess zum Workflow - IS-Management mit Tools unterstützen. Alexander Koderman SerNet GmbH. Seite 1 / 2010 SerNet GmbH

Zentrum für Informationssicherheit

ISO 27001: Basis für formales Verfahren zur Zertifzierung; seit 2005 internationaler Standard; Prozessorientierter Ansatz

Zentrum für Informationssicherheit

Cloud für Verwaltung - Vertrauen braucht Sicherheit

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Erstellung eines Sicherheitskonzeptes nach BSI-GS für das Personenstandswesen. Marco Puschmann

Praktizierter Grundschutz in einem mittelständigen Unternehmen


IT-Grundschutz. IT-Grundschutz. Dipl.-Inf. (FH) Thorsten Gerlach

Modernisierung des IT-Grundschutzes

nach Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik

Neu erstellen!!! Wenigstens das Deckblatt erscheint fehlerfrei IT-Sicherheitsbeauftragter

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

Sicherheitsnachweise für elektronische Patientenakten

Lösungen die standhalten.

Regelwerk der Informationssicherheit: Ebene 1

Zertifizierte IT-Sicherheit internationale Standards praxisnah umsetzen. IT Profis Berlin,

Patch- und Änderungsmanagement

Nachweisbare Sicherheit durch Zertifizierung nach BSI Grundschutz

BCM Schnellcheck. Referent Jürgen Vischer

IT-Revision als Chance für das IT- Management

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Umsetzung BSI Grundschutz

ISO Zertifizierung

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Information Security Management Systeme-ISMS Beispiele erfolgreicher Umsetzung

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Zertifizierung IT-Sicherheitsbeauftragter

Dieter Brunner ISO in der betrieblichen Praxis

Neues vom IT-Grundschutz: Ausblick und Diskussion

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Muster mit Beispiel Auditbericht im Rahmen der Zertifizierung nach ISO auf der Basis von IT-Grundschutz

Datenschutz & Datensicherheit

Checkliste Technische Dokumentation Produktname

Neues aus dem IT-Grundschutz Ausblick und Diskussion

IT-Grundschutzhandbuch

Erfahrungen der. DQS GmbH. bei der Zertifizierung von Medizinprodukteherstellern

Zertifizierung nach ISO auf der Basis von IT-Grundschutz

IT-Grundschutz umsetzen mit GSTOOL

Informationssicherheit in der öffentlichen Verwaltung. BfIS-Land Informationssicherheit in der Landesverwaltung

Leistungsbeschreibung Zertifizierung BCMS, ISMS, SMS

Rainer Schultes. Zertifizierung von Organisationen mit mehreren Standorten (Multi-Site-Zertifizierung) - Leseprobe -

Matrixzertifizierung von Unternehmen mit mehreren Standorten/ Niederlassungen.

Zertifizierung gemäß ISO/IEC 27001

Regelungen zur Durchführung von Audits

IT-Grundschutz-Novellierung Security Forum Hagenberger Kreis. Joern Maier, Director Information Security Management

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH

Verordnung (EU) 2015/1088. Einführung von Vereinfachungen für die allgemeine Luftfahrt Änderungen in Teil-M u. Teil-145

Stolpersteine bei der Einführung von ISO und BSI IT- Grundschutz. Wilhelm Dolle Partner, Consulting Information Technology

Der externe IT-SB; Informationssicherheit durch das krz

IT-Sicherheitsgesetz & IT-Sicherheitskatalog Status Quo und neue Herausforderungen. Referent: Christian Bruns

Informationsveranstaltung der IHK Region Stuttgart

Initiierung des Sicherheitsprozesses: -Erstellen einer IT-Sicherheitsleitlinie -Einrichten eines IT-Sicherheitsmanagements

C R I S A M im Vergleich

ISIS12 Tipps und Tricks

IT-Grundschutz IT-Sicherheit ohne Risiken und Nebenwirkungen

Resümee eines abgeschlossenen Zertifizierungsprojektes. NÜRNBERGER Versicherungsgruppe

Neues aus dem IT-Grundschutz Ausblick und Diskussion

SC150 - ISMS Auditor/Lead Auditor ISO27001:2013 (IRCA A17608)

Antrag auf Erteilung eines ISO Zertifikats auf der Basis von IT-Grundschutz durch das Bundesamt für Sicherheit in der Informationstechnik (BSI)

IT-Grundschutz für mittelständische Unternehmen

Neues aus dem IT-Grundschutz Ausblick und Diskussion

BSI-IGZ zum. Phoenix Videokonferenzsystem. der. Phoenix Software GmbH

Tübingen Berlin Köln Zagreb Fort Collins. Tübingen Berlin Köln Zagreb Fort Collins. ISO 9001 / Glossar

Standards: Geißel oder Chance - am Beispiel Informationssicherheit

Softwareentwicklung nach der ISO9001?

20 Jahre IT-Grundschutz Zeit für eine Modernisierung und Die neuen Vorgehensweisen. Holger Schildt IT-Grundschutz und Allianz für Cyber-Sicherheit

Das IT-Verfahren TOOTSI

Informationssicherheit in Sachsen 4. Workshop der GDI Sachsen am 23. September 2014

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel

IPS-ENERGY ISMS Unterstützung für Information Security Management Systeme IPS GmbH

Transkript:

VEGA Deutschland Die Lenkung der IT-Sicherheit im Unternehmen IT-Sicherheitskonzepte mehr als ein Papiertiger?

Ihr heutiger Gesprächspartner Dieter Gottschling Baujahr 1967 Diplom Kaufmann 13 Jahre Soldat Seit 2000 als Berater tätig Hobbies: Restauration von Oldtimern

Inhalt IT-Sicherheit als Teilaufgabe des Risikomanagements Zertifizierung der IT-Sicherheit IT-Sicherheitszertifikate Der Weg zum IT-Sicherheitszertifikat Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat Zusammenfassung

IT-Sicherheit als Teilaufgabe des Risikomanagements 01/10/2013

IT-Sicherheit als Teilaufgabe des Risikomanagements

IT-Sicherheit als Teilaufgabe des Risikomanagements Pannen bei der Datenverarbeitung oder im Umgang mit Daten sind ein Risiko für Ihr Unternehmen. Da einzelne Gesetze und Vorgaben ein Risikomanagement fordern, kann die IT-Sicherheit als eine Teilaufgabe des Risikomanagements verstanden werden!

IT-Sicherheit als Teilaufgabe des Risikomanagements ISO 27001 sieht das Informations-Sicherheits- Management-System als Teil des gesamten Managementsystems, das auf der Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit umfasst. (ISO 27001 Kapitel 3.7 ISMS)

Zertifizierung der IT-Sicherheit 01/10/2013

Zertifizierung der IT-Sicherheit Das Management trägt die Gesamtverantwortung für die IT-Sicherheit gemäß ISO 27001 und den BSI-Grundschutz- Anforderungen! Frage: Wie kann das Management nachweisen, dass es dieser Aufgabe aktiv nachgekommen ist?

Zertifizierung der IT-Sicherheit Lösungsansatz: Zertifizierung des IT-Sicherheitsprozesses Vorteile: Deckt Lücken auf und hilft somit bei deren Schließung zum Schutz unternehmenswichtiger Daten Unterstützt das Unternehmen beim Nachweis der Einhaltung von Vorschriften und Gesetzen Wettbewerbsfaktor in einem Markt mit vergleichbaren Leistungen / Produkten

Zertifizierung der IT-Sicherheit Nachteile: IT-Sicherheit gibt es nicht zum Nulltarif Prozess IT-Sicherheit ist eine Daueraufgabe Hohe Komplexität bei Konzernen und Mitgliedern der Supply Chain (z.b. Lieferanten mit Zugang zum Warenwirtschaftsystem, Outsourcing von Rz-Dienstleistungen)

IT-Sicherheitszertifikate 01/10/2013

IT-Sicherheitszertifikate BSI: (Auditor-Testat Einstiegsstufe ) (Auditor-Testat Aufbaustufe ) ISO 27001 Zertifizierung auf Basis von IT-Grundschutz ISO: ISO 27001: 2005 (2008 Version in Deutsch) (ISO 27002 enthält Empfehlungen für Kontrollmechanismen)

IT-Sicherheitszertifikate TÜV: Trusted Site Infrastructure TSI V2.0 Level 1 4 (entspricht im Wesentlichen den Infrastrukturanforderungen des BSI Grundschutzes)

IT-Sicherheitszertifikate Auditor Testat Einstiegsstufe Auditor Testat Aufbaustufe ISO 27001 ISO 27001 auf Basis IT- Grundschutz Anzahl u. Einstufung der Maßnahmen Ca. 55 % (insbesondere A) Ca. 70 % (A und insbesondere B) > 80% (A,B, C und ggf. Z) > 80% (A,B, C und ggf. Z) Prüfung des Auditorreports Keine durch das BSI Keine durch das BSI Keine durch das BSI BSI Gültigkeit 2 Jahre 2 Jahre 3 Jahre 3 Jahre (bei jährlichen Überwachungsaudits) Wiederholbarkeit nein nein ja ja Prüfung des ISMS und der konkreten IT- Grundschutzmaßnahmen beinhaltet eine offizielle ISO Zertifizierung

Der Weg zum IT-Sicherheitszertifikat 01/10/2013

Der Weg zum IT-Sicherheitszertifikat (ISO 27001 auf Basis von IT-Grundschutz) 6 Erteilt Zertifikat Antragsteller 2 Antrag auf Zertifizierung 3 Prüfung 4 Einreichung Prüfbericht 1 Auswahl eines Auditors ISO 27001- Auditor auf Basis von IT-Grundschutz 5 Überprüft Auditor / Prüfbericht

Der Weg zum IT-Sicherheitszertifikat (ISO 27001 auf Basis von IT-Grundschutz) Vollständiger Antrag inkl. Unabhängigkeitserklärung Auditbericht 1 Kann Zertifikat noch erteilt werden? Beginn Audit (Sichtung der Dokumente) Nachforderungen Auditbericht 2 Vorlauf >1 Jahr 1 Monat (in Einzelfällen länger) Max. 3 Monate Max. 1 Monat Max. 3 Monate

Der Weg zum IT-Sicherheitszertifikat (ISO 27001 auf Basis von IT-Grundschutz) Der Vorlauf umfasst folgende Tätigkeiten gem. BSI-Standard 100-2 (Vorgehensweise): IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung nach IT-Grundschutz Basis Sicherheitscheck Ergänzende Sicherheitsanalyse i.v.m. BSI- Standard 100-3 (Risikoanalyse) Realisierung der Sicherheitsmaßnahmen

Der Weg zum IT-Sicherheitszertifikat (ISO 27001 auf Basis von IT-Grundschutz) Das Audit erfolgt in zwei Schritten: Schritt 1: Dokumentenprüfung ( Erhebung ) Information über den zu prüfenden IT-Verbund Prüfung der relevanten Dokumente Schritt 2: Vor-Ort Prüfung Prüfung der Umsetzung der dokumentierten IT-Sicherheit Prüfung, über Stichproben

Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat 01/10/2013

Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat IT-Grundschutz- Kataloge Bausteine Gefährdungskataloge Maßnahmenkataloge IT-Grundschutz- Standards BSI-Standard 100-1 (ISMS) Prüfraster für IT-Sicherheit Bedarfsermittlung und Maßnahmenauswahl Leitlinie Allg. Konzepte konkrete Anforderungen Vorgaben zur Umsetzung Technik-übergreifend Spezifische Konzepte konkrete Anforderungen Vorgaben zur Umsetzung Konzentration auf bestimmte Technik / Formen der IT-Nutzung BSI-Standard 100-2 (Vorgehensweise) BSI-Standard 100-3 (Risikoanalyse) BSI-Standard 100-4 (Notfall-Management) Anf.-Katalog zur Produktauswahl Technische Umsetzung Ist- / Soll- Konfiguration Evtl. detaill. Pflichtenheft Betriebshandbücher + Tools Notfallvor sorge- Dokumente Admin- Richtlinien Arbeitsanweisungen IT-Personal für einzelne Produkte Technische Umsetzung Information für Nutzer Arbeitsanweisungen für Nutzer einzelner Produkte

Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat IT-Grundschutz- Kataloge Bausteine Gefährdungskataloge Maßnahmenkataloge

Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat Frage: Wie kann sichergestellt werden, dass nichts vergessen wird? Lösungsansatz: Schritt 1: IT-Strukturanalyse Netze Hardware (inkl. Patchständen, Telefonanlage) Software (inkl. Patchständen) Schnittstellen

Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat Schritt 2: Nutzung des GSTOOLs des BSI (oder vergleichbarer Software) Auswahl der relevanten Bausteine Ergänzung um unternehmensspezifische Gegebenheiten Vorteile: Strukturierte Vorgehensweise Bei einer SW-gestützten IT-Strukturanalyse gibt es immer wieder Überraschungen

Die IT-Sicherheitsdokumentation als Grundlage für ein Zertifikat Nachteile: Arbeitsintensiv Nur eine Momentaufnahme

Zusammenfassung 01/10/2013

Zusammenfassung Zusammenfassung: IT-Sicherheit ist eine Teilaufgabe des Risikomanagements Zertifizierung schafft Sicherheit und einen Wettbewerbsvorteil IT-Strukturanalyse stellt die wesentliche Grundlage dar Die strukturierte Vorgehensweise des BSI und das GSTOOL unterstützen bei der Erstellung von IT-Sicherheitskonzepten

Zusammenfassung Zusammenfassung: Die Lenkung der IT-Sicherheit im Unternehmen wird maßgeblich durch IT-Sicherheitskonzepte und deren Umsetzung bestimmt. IT-Sicherheitskonzepte sind viel mehr als ein Papiertiger!

VEGA Deutschland GmbH Industriestraße 161 50999 Köln +49 (0)2236 748-0 www.vega-deutschland.de info@vega-deutschland.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback