A) Initialisierungsphase



Ähnliche Dokumente
Informationssicherheit im mittelstand. Bavarian IT Security & Safety Cluster

ISIS12 INFORMATIONSSICHERHEIT IN MITTELSTÄNDISCHEN UNTERNEHMEN UND ORGANISATIONEN

Informationssicherheit in handlichen Päckchen ISIS12

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

Prozessoptimierung. und. Prozessmanagement

ITIL & IT-Sicherheit. Michael Storz CN8

Informationssicherheitsmanagement

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

How to do? Projekte - Zeiterfassung

IT-Revision als Chance für das IT- Management

Die Umsetzung von IT-Sicherheit in KMU

Informationssicherheit als Outsourcing Kandidat

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

GPP Projekte gemeinsam zum Erfolg führen

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum

AKH-DER-P-5.3. Gültig ab: Version:1.0.1 Seite 1 von 5

Leseauszug DGQ-Band 14-26

Informations-Sicherheit mit ISIS12

Internet Explorer Version 6

ClubWebMan Veranstaltungskalender

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Benutzeranleitung Service Desk Tool Erizone

IT-Grundschutz praktisch im Projekt Nationales Waffenregister

DURCH VIDA ERZEUGTE PROTOKOLLDATEIEN 1 EINFÜHRUNG

Bei der Focus Methode handelt es sich um eine Analyse-Methode die der Erkennung und Abstellung von Fehlerzuständen dient.

Sehr geehrter Herr Pfarrer, sehr geehrte pastorale Mitarbeiterin, sehr geehrter pastoraler Mitarbeiter!

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

GRS SIGNUM Product-Lifecycle-Management

Sicherheitsaspekte der kommunalen Arbeit

ITIL Incident Management

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Anleitung IQXPERT-Demo-Version Ideenmanagement

Grundlagen für den erfolgreichen Einstieg in das Business Process Management SHD Professional Service

IT-Sicherheitspolitik. der teilnehmenden Hochschulen und Forschungseinrichtungen in Schleswig-Holstein

Inhalt. meliarts. 1. Allgemeine Informationen Administration Aufruf Das Kontextmenü Vorlagen...

Weisungen des Bundesrates über die IKT-Sicherheit in der Bundesverwaltung

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Geyer & Weinig: Service Level Management in neuer Qualität.

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Hilfe zur Urlaubsplanung und Zeiterfassung


BSI Technische Richtlinie

Informationssicherheit in der kommunalen Verwaltung - Schaffung eines IT- Grundschutzniveaus für kl. und mittlere Gemeinden

Qualitätsmanagement-Handbuch Das QM-System Struktur des QM-Systems

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Neuer Releasestand Finanzbuchhaltung DAM-EDV E Inhaltsverzeichnis. 1. Neuerungen Schnittstelle Telebanking mit IBAN und BIC...

Fachanforderungen für die Abiturprüfung im Fach Elektrotechnik

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

SharePoint Demonstration

DGQ Regionalkreis Hamburg ISO Konfigurationsmanagement

1. Einleitung Abfrage des COON-Benutzernamens Ändern des Initial-Passwortes Anmelden an der COON-Plattform...

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

MIT NEUEN FACHTHEMEN

Umsetzungsverfahren. Inhalt. KMU-Zertifizierung Informationssicherheit

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

AMS Alarm Management System

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

Ihre Interessentendatensätze bei inobroker. 1. Interessentendatensätze

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

E i n f ü h r u n g u n d Ü b e r s i c h t

Programmmoduls für die CEMES-Plattform zur onlinebasierten Ermittlung der Leistungspunkte

DER BESSER INFORMIERTE GEWINNT!

GDD-Erfa-Kreis Berlin

Lavid-F.I.S. Ablaufbeschreibung für. Arbeitszeiterfassung. Lavid-F.I.S.

Robot Karol für Delphi

Informatik und Datenschutz im Bund

L & G TECH Industriezerspanung

MORE Profile. Pass- und Lizenzverwaltungssystem. Stand: MORE Projects GmbH

Codex Newsletter. Allgemeines. Codex Newsletter

PDCA Plan Do Check Act Deming-Zyklus der kontinuierlichen Verbesserung

Nischendisziplin Configuration Management?

Wiederkehrende Buchungen

SOL-IT insurancecube. Verwalten. Verbinden. Überblicken.

Haushaltstellen bewirtschaften

RDS Consulting. Support Handbuch. Version 1.0

Erstellung eines Verfahrensverzeichnisses aus QSEC

Angaben zu einem Kontakt...1 So können Sie einen Kontakt erfassen...4 Was Sie mit einem Kontakt tun können...7

Managementbewertung Managementbewertung

Einstieg in Exact Online Buchungen erfassen. Stand 05/2014

Innovations-Software

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

IT-Controlling in der Sparkasse Hildesheim

Anleitung SEPA-Lastschriften mit VR-NetWorld Software Version 5.x

Erstellung von Prozessbeschreibungen. PB 4.2-1: Erstellung von Prozessbeschreibungen

Spielbericht Online. Nachbearbeitung durch die Vereine ist erforderlich bei: a) Nichtantritt des angesetzten Schiedsrichters

Educase. Release Notes 1.7: Neue Funktionen und Verbesserungen. Base-Net Informatik AG Wassergrabe 14 CH-6210 Sursee

FORUM Gesellschaft für Informationssicherheit mbh. ForumBankSafe-IT Der IT-Sicherheitsmanager

S TAND N OVEMBE R 2012 HANDBUCH DUDLE.ELK-WUE.DE T E R M I N A B S P R A C H E N I N D E R L A N D E S K I R C H E

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

10 größten SLA Irrtümer. Seminar: 8663 Service-Level-Agreement. Qualified for the Job

Vertrauen Sie auf 45 Jahre Dienstleistungsexpertise der ALBA Group. Sicherheit an erster Stelle: Schadensmanagement in Ihrem Unternehmen

Passgenau schulen Bedarfsanalyse

Transkript:

Einleitung Die folgenden Seiten beschreiben in Kurzform die mit jedem Schritt verbundenen Aufgaben, die beim ersten Durchlauf zu bearbeiten sind. Zu Beginn eines ISIS12-Projekts legen das Unternehmen und der ISIS12- Dienstleister fest, wie die einzelnen Aufgaben aufgeteilt werden. Die folgenden Seiten enthalten zudem Auszüge aus dem ISIS12-Handbuch, das den Anwendern an die Hand gegeben wird.

A) Initialisierungsphase Schritt 1: Leitlinie erstellen ISIS12 Schritt 1 beschäftigt sich mit der Erstellung einer Unternehmensleitlinie für Informationssicherheit. Diese ist von der Unternehmensleitung zu unterzeichnen. Die Unternehmensleitlinie ist das zentrale Strategiepapier. Darin werden die Informationssicherheitsziele, sowie die daraus abgeleiteten und abzuleitenden Konzepte und Maßnahmen festgehalten. Die Mitarbeiter müssen zur Einhaltung und Umsetzung von der Unternehmensleitung motiviert werden und immer Zugang zu einer schriftlichen Version haben. Je nach Festlegung, ist die Unternehmensleitlinie für das gesamte Unternehmen oder nur für Teilbereiche gültig. Zu berücksichtigen sind insbesondere auch die unternehmensspezifischen Sicherheitsziele wie z.b. Reduzierung der Kosten im Schadensfall oder Aufrechterhaltung der Produktionsfähigkeit. LEITLINIE ERSTELLEN

Schritt 2: Mitarbeiter sensibilisieren In ISIS12 Schritt 2 stehen die Mitarbeiter und Führungskräfte im Mittelpunkt. Auf allen Organisationsebenen muss die Notwendigkeit des Projekts kommuniziert werden. In einem speziellen ISIS12-Vortrag sollen alle Mitarbeiter über den ISIS12-Workflow und die spezifische Bedeutung der Informationssicherheit für das Unternehmen hingewiesen werden. Neben dem Erhalt eines schriftlichen Exemplars der Leitlinie für Informationssicherheit, sollen die Mitarbeiter regelmäßig (z.b. über das Intranet) über Neuerungen wie z.b. Ansprechpartner, Änderungen der Leitlinie oder Hinweise auf Verhaltensfehler informiert werden. Bei Nichteinhaltung der Leitlinie können schwerwiegende Konsequenzen, wie z.b. Kündigung oder ein straf- oder zivilrechtliches Verfahren die Folge sein. MITARBEITER SENSIBILISIEREN

B) Festlegung der Aufbauund Ablauforganisation Schritt 3: Informationssicherheitsteam aufbauen ISIS12 Schritt 3 beschreibt den Aufbau, die Zusammensetzung, die Aufgaben und Pflichten des Informationssicherheitsteams. Leiter ist der Informationssicherheitsbeauftragte (ISB), der auch für die Einführung des ISIS12-Prozesses verantwortlich ist. Neben einem Mitglied der Unternehmensleitung, ist zudem der IT-Leiter Mitglied dieses Teams. Die Berichterstattung erfolgt direkt an die Unternehmensleitung. In der ISIS12-Einführungsphase ist die Un-terstützung eines ISIS12- Dienstleisters empfehlenswert. Zu berücksichtigen ist, dass dem ISB zu Beginn des Projekts ausreichend Arbeitszeit gewährt wird. Abhängig von der Unterneh-mensgröße kann zu Beginn eine Auslastung bis zu 100 % möglich sein. Später kann der Ar-beitsaufwand auf ca. 20 % einer Vollzeitstelle sinken. INFORMATIONS- SICHERHEITSTEAM AUFBAUEN

Schritt 4: IT-Dokumentationsstruktur festlegen ISIS12 Schritt 4 beschäftigt sich mit einer zielführenden IT-Dokumentation. Absolut wichtig ist die Aktualität der Daten, die der IT-Verantwortliche kontinuierlich kontrollieren muss. Um Änderungen nachzuvollziehen, ist eine Versionierung der Dokumente erforderlich. Nach der Erfassung des IST-Zustands, verlangt ISIS12 die Erstellung eines Netzplans und bis zum Beginn des zweiten ISIS12- Durchlaufs nach ein bis zwei Jahren auch die Einführung eines Softwaretools, das das Management der IT-Systeme unterstützt (CMDB- Tool). Die Dokumen-tation im IT- Handbuch erfolgt in Systemakten und in Prozesssteckbriefen. Das IT- Notfallhandbuch regelt die Abläufe im Notfall. IT-DOKUMENTATIONS- STRUKTUR FESTLEGEN

Schritt 5: IT-Service-Management-Prozess einführen In ISIS12 Schritt 5 erfolgt die Implementierung von drei fundamentalen IT-Service-Managementprozessen: Wartung, Änderung und Störungsbeseitigung. Die Wartungsprozesse werden im IT-Betriebshandbuch beschrieben. Wird im Rahmen einer Wartung eine Ände-rung nötig, wird diese über den Änderungsprozess eingesteuert. Final wird der Störungsbeseitigungsprozess definiert. Hier wendet sich der Benutzer an die IT-Abteilung, die unter Zu-hilfenahme der Ergebnisse von Schritt 7 die einzuleitenden Maßnahmen priorisieren kann. IT-SERVICE- MANAGEMENT- PROZESS EINFÜHREN

C) Entwicklung und Umsetzung ISIS-Konzept Schritt 6: Kritische Applikationen identifizieren Mit ISIS12 Schritt 6 beginnt die operative Phase des ISIS12 Vorgehensmodells. Dabei werden wenige unternehmenskritische Anwendungen identifiziert und bewertet. Diesen werden jeweils 3 Schutzbedarfskategorien bezogen auf die Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit zugeordnet. Aus der Schutzbedarfsfeststellung werden dann die Maximal Tolerierbare Ausfallzeit (MTA) und die Service Level Agreements (SLA) abgeleitet und im Service-Katalog dokumentiert, der über ein CMDB- Softwaretool verwaltet wird. KRITISCHE APPLIKATIONEN IDENTIFIZIEREN

Schritt 7: IT-Struktur analysieren Nach der Lokalisierung kritischer Applikationen steht in ISIS12 Schritt 7 die Definition des Informationsverbunds im Mittelpunkt. In diesem werden die technischen, personellen, or-ganisatorischen und infrastrukturellen Objekte, die für die Verarbeitung von Informationen im Unternehmen benötigt werden, zusammen gefasst. Die Objekte werden in sicherheitsre-levanter Abhängigkeit zur den kritischen Applikationen erfasst und weitergehend in Teilbe-reichen gruppiert. Der Schutzbedarf der kritischen Applikationen und die MTA werden den Objekten vererbt. IT-STRUKTUR ANALYSIEREN

Schritt 8: Sicherheitsmaßnahmen modellieren In ISIS12 Schritt 8 erfolgt die Zuordnung der empfohlenen Sicherheitsmaßnahmen zu den in Schritt 7 ermittelten Objekten. Diese erfolgen in Anlehnung an den ISIS12-Katalog, der einen gegenüber dem BSI- Grundschutzkatalog reduzierten Maßnahmenkatalog enthält. Die Bau-steine, die für den gesamten Informationsverbund anzuwenden sind, lauten: Universale As-pekte (S1), Infrastruktur (S2), IT-Systeme/ Netze (S3) und Anwendungen (S4). Diesen Baustei-nen werden den IT-Objekten zugeordnet, z.b. Gebäude und Serverraum gehören zur Infra-struktur. Eine Erleichterung schafft in diesem Schritt das ISIS12- Softwaretool, mit dem die Zuordnung bereits in der IT-Strukturanalyse automatisch erfolgt. SICHERHEITS- MASSNAHMEN MODELLIEREN

Schritt 9: Ist-Soll vergleichen In ISIS12 Schritt 9 soll mit dem Ist- Soll-Vergleich ein Überblick über den Umsetzungsgrad, der in Schritt 8 geforderten Maßnahmen gegeben werden. Die Erhebung kann durch die vom ISB ernannten verantwortlichen Spezialisten im Unternehmen durchgeführt werden. Die hierfür vom ISIS12-Softwaretool erstellten Erhebungsbögen, können im größeren Kreis oder in Einzelinterviews abgearbeitet werden. Die möglichen Beurteilungen der Umsetzung lauten: ja, teilweise, nein oder nicht notwendig. IST - SOLL VERGLEICHEN

Schritt 10: Umsetzung planen In ISIS12 Schritt 10 wird ein Maßnahmenkatalog erzeugt und konsolidiert. Die umzusetzen-den Maßnahmen werden priorisiert und zusammen mit einer Kostenabschätzung der Ge-schäftsleitung als Vorschlag präsentiert. Nach Festlegung der Umsetzungsreihenfolge der Maßnahmen, werden diese in ISIS12 Schritt 11 final umgesetzt. UMSETZUNG PLANEN

Schritt 11: Umsetzen In ISIS12 Schritt 11 werden die konsolidierten und genehmigten Sicherheitsmaßnahmen im Unternehmen umgesetzt. Für jede Maßnahmen, sind die Rollen des Initiators, des Umsetzers und der Zeitpunkt der Realisierung festzulegen.. Bei einer komplexen Umsetzung ist zu über-legen, ob eine Schulung der Mitarbeiter sinnvoll ist. UMSETZEN

Schritt 12: Revision Mit dem Abschluss des Schritts fordert das ISIS12-Softwaretool zur Eingabe eines Revisions-termins für eine oder mehrere Maßnahmen auf. Die gescannte Revisionsliste wird in Schritt 12 erzeugt.war es während des ersten ISIS12-Zyklusses so, dass die Schritte nacheinander abzuarbeiten waren, so ist es nach Abschluss von Schritt 12 möglich auf jeden Schritt im Softwaretool di-rekt zuzugreifen. In Schritt 12 erzeugt das ISIS12- Softwaretool eine Kennzahl, die den Umsetzungsgrad der Maßnahmen darstellt. REVISION

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback