Notfallmanagementforum 2008

Ähnliche Dokumente
GI FG SECMGT Frankfurt Bernd Ewert

Vorbereitung auf den Ernstfall aktuelle Herausforderungen für das BCM in Theorie und Praxis. Business Continuity Management bei EY 18 Juli 2017

Notfallmanagement-Forum 2009

MiWeCon Ingenieurbüro. Management of Risk. Präsentation für XPUG (70) Michael Weber

Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

Notfallmanagement Forum 2011 Nürnberg,

(IT) Notfallmanagement im Unternehmen und in der Behörde Planung und Umsetzung gemäß BSI-Standard und ISO 22301

Standards für den Notfall ein Widerspruch? Der Business Continuity Standard BS :2006

IT Risk Management. Digicomp Hacking Day, Umberto Annino

Management- und Organisationsberatung. Business Continuity Management (BCM)

Notfall- und Krisenmanagement in Unternehmen

Wissensmanagement. Thema: ITIL

Wissensmanagement. Thema: ITIL

Matthias Hämmerle MBCI - Beraterprofil Stand:

IT Notfallhandbuch: Das große Missverständnis

Inhaltsübersicht. Teil I Überblick 25. Teil II Service-Strategie 87. Teil III Service Design 183. Teil IV Service Transition 323

ISO/IEC Neue Version, neue Konzepte. Quo Vadis ISMS?

BCM Schnellcheck. Referent Jürgen Vischer

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

Neue Ansätze zur Bewertung von Informationssicherheitsrisiken in Unternehmen

ITIL Überblick. der. Einstieg und Anwendung. Justus Meier, Bodo Zurhausen ^- ADDISON-WESLEY. Martin Bucksteeg, Nadin Ebel, Frank Eggert,

ITIL V3 zwischen Anspruch und Realität

ÄNDERUNGEN UND SCHWERPUNKTE

IHK Die Weiterbildung. Zertifikatslehrgang. IT Service Management (ITIL)

Sicherheit und Compliance in der Cloud: Regulatorische Anforderungen und Good-Practice Frameworks

1.1 Historie von FitSM Der Aufbau von FitSM FitSM als leichtgewichtiger Ansatz... 6

BCM Business Continuity Management

RUAG Cyber Security Cyber verstehen. Werte schützen.

IT-Service Management mit ITIL

Neues aus der Standardisierung:! ISO/IEC & 27002:2013. Dr.-Ing. Oliver Weissmann

Teil I Überblick... 25

IT-Grundschutz nach BSI 100-1/-4

Best Practices Ansätze Strukturierte Vorgehensweise im Continuity Management

Inhaltsverzeichnis. Martin Beims. IT-Service Management mit ITIL. ITIL Edition 2011, ISO 20000:2011 und PRINCE2 in der Praxis ISBN:

Service Strategie und Sourcing Governance als Werkzeuge zur Durchsetzung der Sourcing Ziele auf Kundenseite

E DIN EN ISO 9001: (D/E)

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

(IT-) Notfallmanagement gemäß BSI-Standard und ISO 22301

Krisenfest. durch Business Continuity Management nach ISO Klaus Weitmann, Auditor, Quality Austria und CIS

Vorwort. 5 Event Management Das Event Management unter ITIL 39. Bibliografische Informationen digitalisiert durch

ITIL Dokumentationspaket

1. Verzeichnis der ITIL V3 (2011) Service Strategy Prozesse Dipl.-Ing. Walter Abel Management Consulting

AnyWeb AG

Projektrisikomanagement im Corporate Risk Management

Zertifizierung von Cloud Information Security?

BCM in der Energieversorgung: 4 Stunden ohne Strom was soll s!

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Cloud Security Der sichere Weg in die Cloud

UNTERNEHMENSPRÄSENTATION

Environmental Management Systems for Oil Transporting companies

ISO 9001:2015. ISO 9001 Revision Challenges and opportunities

ZUR VORBEREITUNG AUF IHR SEMINAR ITIL EXPERT ALL-IN-1

Betriebliches Notfallmanagement Business Continuity Management

ITIL Trainernachweise

ISO 27001: ÄNDERUNGEN UND DEREN AUSWIRKUNGEN AUF IHRE IT-SICHERHEIT. PERSICON@night 16. Januar 2014

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

ITIL V3 Basis-Zertifizierung

(IT-) Notfallmanagement. gemäß BSI-Standard Wirtschaftsinformatiker Krzysztof Paschke GRC Partner GmbH

ISO Zertifizierungen. Alexander Häußler

Vorstellung der EN für den Mittelstand. Dr. Ludger Ackermann dc-ce RZ-Beratung

Fallbeispiele zur Kompetenz IT-Sicherheit und CyberSecurity Berlin, Leipziger Platz 15

verinice.xp 2018 Aufbau eines standardisierten IT- Sicherheitskonzepts für Hoster nach BSI IT-Grundschutz Philipp Neumann

Neuerungen und Anpassungen rund um ISO/IEC 27001:2013

Sachstand zum nationalen Luftverkehrssicherheitsplan LR 24

ISO/IEC & ITIL Unterschiede im Fokus gemeinsame Zukunft? Markus Schiemer, ISO Auditor, CIS Wien

ITIL. Incident- und Problem- Management in der Anwendung. Uli Manschke Technical Consultant HP OpenView

Sicherheit um jeden Preis? Bietet die zertifizierte Sicherheit garantierte Sicherheit?

FitSM Ein effizienterer Weg zum Service-Management-System für kleine und mittlere Organisationen. Dr. Michael Brenner

Process Management Office Process Management as a Service

Lösungen die standhalten.

Inhalt 1 Übersicht Cobit IT-Prozesse

IIBA Austria Chapter Meeting

Delegieren von IT- Sicherheitsaufgaben

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

27001 & 27002:2013. Dr.-Ing. Oliver Weissmann. Sonntag, 9. Juni 13

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb

BS Standard für Business Continuity Management

Integrale Sanierungsentscheidungen - gemeinsame Betrachtung der Straße und aller Leitungsträger -

Implementierung von IEC 61508

Christian Lotz, Dipl.-Inform. Med. certified IT Service Manager (ITIL) & ISO Consultant. 13. Januar 2011

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

Corporate Intelligence

Ronny Kirsch Interim Security Officer

Datenschutzmanagementsysteme und GDPR

IT-Notfallmanagement - Aufbau, Praxisbeispiele u. Erfahrungen

S-ITsec: strategisches IT-Security-Managementsystem

Globalisierung Herausforderungen für Pironet NDH

Management von Informationssicherheit und Informationsrisiken Februar 2016

Eine ISO-Norm für Wissensmanagement?

Textmasterformat bearbeiten

Cyber Crime. Podiumsdiskussion Erste Bank 27. September 2016

C R I S A M im Vergleich

Inhalt. 1 Einführung... 1

CeBIT CARMAO GmbH

Willkommen zur ITIL-Foundation! Intro - 1 von 8

Informations- / IT-Sicherheit Standards

Management operationaler IT- und Prozess-Risiken

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Transkript:

Notfallmanagementforum 2008 ISO/PAS 22399:2007 Lothar Goecke

consequa GmbH Unternehmensstandort Hamburg gegründet 1.4. 2005 langjährige Beratungserfahrungen Business Continuity Information Security Service Quality bei Großunternehmen und Mittelstand Banken und Versicherungen Industrie und Handel Logistik- und Medienunternehmen Behörden Wir helfen unseren Kunden, ihre Geschäftsfähigkeit gegen operationelle Risiken abzusichern und so ihre Wettbewerbsfähigkeit zu verbessern.

Unternehmensziele - Leistungen der consequa Ordnungs- Wirtschaftmäßigkeilichkeit Risikobeherrschung Compliance Qualität Business Continuity BC-Leitfaden Business Impact Analyse BC-Konzept BC-Pläne BC-Test BC-Review Information Security IS-Leitlinie IS-Richtlinien IS-Risikoanalyse IT-Infrastruktur IS-Audit Service Quality IT-Strategie SLAs IT-Prozesse Krisenmanagement KM-Leitfaden KM-Übung Datenschutz DS-Organisation DS-Audit

Agenda Inhalt der ISO/PAS 22399 ISOPAS 22399 IPOCM-Framework vs. BS25999 PDCA-Lifecycle Relevanz des ISO-Standards in Deutschland neben BSI 100-4 und BS 25999 Zusammenfassung

Public Available Specification - Standard Technical committees bereiten Standards vor. Vorschläge müssen mit 75% Stimmanteilen angenommen werden. Bei dringenden Marktbedürfnissen können diese Gremien auch ISO Public Available Specifications (ISO/PAS) 50%ger Mehrheit verabschiedet werden. Bei 2/3 Mehrheit entsteht ein ISO Technical Specification (ISO/TS) TS und PAS werden nach 3 Jahren reviewed und beibehalten zum Standard erhoben oder gelöscht

ISO TC 223 weitere Themen Essential information and data requirements for command and control Inter/intra organizational warning procedures Principles for command, control, coordination and cooperation in resolving incidents Framework for standards Vocabulary Systems requirements for interoperability.

Einbezogene internationale Standards Die ISO/PAS 22399 basiert auf Best Practices aus fünf Nationen. Es sind Teile enthalten von NFPA 1600:2400, amerikanischer Standard, BS 25999-1:2006, des britischer Standard, HB 221:2004, australischer Standard, INS 24001:2007, sraelischer Standard, Business Continuity Plan Drafting Guideline, Ministry of Economy, Trade and Industry of Japan 2005 und Business Continuity Guideline, Central Disaster Management Council, Cabinet Office, Government of Japan, 2005. Normativer Verweis auf: ISO/IEC Guide 73:2002 Risk management Vocabulary Guidelines for use in standards

Methode Statt PDCA lifecycle IPOCM framework: Incident Prepardness and Operational (business) Continuity Management. operational continuity geeignet für öffentlich, privat und non-profit B2B und B2C alle Firmengrößen Definition: Ganzheitlicher Managementprozess, der Bedrohungen und Schäden einer Organisation identifiziert und ein Rahmenwerk zur Minimierung der Auswirkungen bietet.

Konzept operationelles Level Recovery Continuity Prevention Response 100% Ereignis Unterbrechung verkürzen Schaden minimieren Zeit

Begriffe und Definitionen critical activity consequence crisis disaster disruption emergency exercising event hazard impact impact analysis incident incident management plan incident preparedness IPOCM IPOCM policy mitigation mutual aid agreement operational continuity (OC) operational continuity management (OCM) operational continuity management program operational continuity management team operational continuity plan (OCP) operational continuity strategy operational continuity team organization prevention probability recovery time objective (RTO) residual risk resilience response program risk risk acceptance risk assessment risk communication risk criteria risk management risk reduction risk transfer risk tolerance risk treatment simulation exercise stakeholder (interested party) tabletop exercise testing threat top management

Methode Start: know your Organisation Policy Continual Improvement Planning Implementation and Operation Performance Assessment Management Review

Start Geltungsbereich festlegen Basis ist Risikomanagement Unternehmens-Strategien Business-Pläne Balanced Scorecards SWOT-Analysen kritische operationelle Ziele identifizieren grobe Richtung vorgeben IPOCM Programm begründen durch z.b. Ereignisse, Risiken, Trends, Haftung, Verantwortung Schadensabwendung

Policy Policy entwickeln vom Management getrieben Management kommuniziert ins Unternehmen Management ist aktiv beteiligt Policy review lessons learned Veränderungen einbeziehen Risikoprofil berücksichtigen Personalveränderungen berücksichtigen compliance aktualisieren IPOCM Organisation etablieren Koordinator einsetzen (initial: Projektleiter)

Planning Gesetze und Richtlinien Risikoanalyse Business Impact Analyse (RTO) IPOCM Methode Prävention und Vermeidung Reaktion Sofortmaßnahmen (emergency response) Kontinuität (continuity response) Wiederherstellung (recovery response)

Implementation and Operation Kapazitäten Rollen Verantwortlichkeiten Kompetenzen Sensibilisierung Training Kommunikation (extern und intern) Controlling (operationell und finanziell)

Performance Assessment Kennzahlen (KPI) Review,Test und Reporting Korrigierende Maßnahmen Self-Assessment (ASIS Business Continuity Guideline Checklist)

Management Review Audit- und Review-Ergebnisse Kennzahlenentwicklung Reifegrad geplante Maßnahmen Risikoveränderungen

Continual Improvement IPOCM Prozess statt Projekt Einbettung in alle notwendigen Unternehmensabläufe

Anhang A (informell) BIA IPOCM Geltungsbereich Risiko Analyse BIA Scope Vorselektion Kritischer Prozesse, Services... Szenarien Vorauswahl max. downtime kritische Funktionen Schäden maximum tolerable outage RTO Mindestressourcen

Anhang B (informell) Emergency response management program Rollen und Verantwortung Ressourcen Anforderungen Zusätzliche Informationen

Anhang C (informell) Continuity management program Konsolidierung und Dokumentation der operational continuity management (OCM) Pläne Ausstattung, Versorgung und Versorgungsketten OCM plan strategy options

Anhang D (informell) Building an incident preparedness and operational continuity culture Elements Management Unterstützung Veröffentlichung der IPOCM Policy gemeinsames Verständnis aller Beteiligten Übernahme der Verantwortung durch die Unternehmensleitung Einbeziehen der mittleren Führungsebene Schulung, Sensibilisierung und Übungen

25999-22399 BS 25999 Understanding your Business Start: know your Organisation Programme management BC strategies Develop and implement a BCM response Building and embedding a BCM culture Continual Improvement Policy Planning Implementation and Operation Performance Assessment Exercise maintenance and audit Management Review

100-4 - 22399 Planung und Konzeption der Notfallvorsorge Start: know your Organisation Permanente Aufrechterhaltung Erstellung Notfallhandbuch zur Notfallbewältigung Etablierung und Pflege einer Notfallmanagement-Kultur Continual Improvement Policy Planning Implementation and Operation Performance Assessment Planung und Durchführung von Übungen und Tests Management Review

HB292 - Australien Commencement Risk & vulnerability analysis Business impact analysis Monitor & review Response strategies Resources & interdependencies Continuity plans Communication Strategy Training, maintaining & testing Activation & deployment

TR 19 - Singapur Risk analysis & review Programme management Business Impact Analysis Strategy Business continuity plan Test & exercise

ASIS GDL BC 01 2005 (USA, z.z. in Überarbeitung) Business Continuity Guideline A Practical Approach for Emergency Preparedness, Crisis Management, and Disaster Recovery Die ASIS formuliert die Standards für die ANSI 6 Seiten Audit Checkliste im Anhang Readiness Risk assessment BIA Teams Recovery Recovery/ Resumption Test & Train Evaluate & Maintain Prevention Compliance Strategies Plans Response

22399 - Lob und Tadel nicht zur Zertifizierung vorgesehen Beispiel für Risikoanalyse und BIA Schaden im Zeitverlauf ( <-> RIA ) Anforderungen ohne RPO Abgrenzung / Schnittstelle zum Krisenmanagement Dokumentationsstruktur Einbettung in das Risikomanagement Begriffsdefinitionen Wiederherstellungsplan TR19 Technical Reference for BCM (Singapore) HB 221:2004 wurde HB 292:2006

Vielen Dank für Ihre Aufmerksamkeit! Dipl.-Math. Lothar Goecke Geschäftsführer consequa GmbH Süderstraße 73 20097 Hamburg www.consequa.de Tel.: 040 / 78 89 70 62 Fax: 040 / 78 89 70 66 Mob:0171/ 863 50 17 lothar.goecke@consequa.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback