Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Best Practices – Einführung von ISO 27001 in mittelständischen Unternehmen Congress@it-sa – Der sichere Hafen für Ihre Unternehmens IT it-sa Nürnberg,

Ähnliche Präsentationen


Präsentation zum Thema: "Best Practices – Einführung von ISO 27001 in mittelständischen Unternehmen Congress@it-sa – Der sichere Hafen für Ihre Unternehmens IT it-sa Nürnberg,"—  Präsentation transkript:

1 Best Practices – Einführung von ISO in mittelständischen Unternehmen – Der sichere Hafen für Ihre Unternehmens IT it-sa Nürnberg, Oktober 2014 Peter Schindecker, Geschäftsführer Formware GmbH

2 Einführung ISO 27001- Themenüberblick
IT-Sicherheit Risiko Management Datenschutz IT-Compliance Empfehlungen - KVP Der Weg zur Zertifizierung Informations Sicherheits Management System BCM Management Informationen…  … sind Werte, die (wie auch die übrigen Geschäftswerte) wertvoll für eine Organisation sind und deshalb in geeigneter Weise geschützt werden müssen.  … sollten deshalb - unabhängig von ihren Erscheinungsform sowie Art der Nutzung und Speicherung - immer angemessen geschützt werden. Quelle: ISO/IEC 17799:2005, Einleitung Erste Schritte

3 Technologie und Innovation …
… für dokumentorientierte Geschäftsprozesse Formware-Kurzprofil Gründung: 1988 Mitarbeiter: ca. 65 Sitz: Nußdorf am Inn Niederlassung: Rosenheim/Ludwigsburg IT-Services & Produkte im Bereich Kundenkommunikation Consulting & Projektmanagement Korrespondenz Management Dokumenten & Output Management Business Process Outsourcing (BPO) Software Produkte IT-Service-Center Managed Services

4 Technologie und Innovation …
… für dokumentorientierte Geschäftsprozesse Layout und Design Print on demand Korrespondenz-Steuerung Output-Management Secure / D ISO-zertifizierte Rechenzentren Private Cloud Technologie Online Information Plattform Archiv Services Output Services – alles aus einer Hand Individualisierung & Personalisierung Multichannel-Management Web-to-print Lösungen

5 BPO - Business Process Outsourcing
Business Process Outsourcing findet vornehmlich in folgenden Bereichen Anwendung: Finanz- und Rechnungswesen / Buchhaltung HR/Personalwesen/bAV Beschaffung Logistik Customer Care RZ-Betrieb Banken (Abwicklung von Zahlungsverkehr, Kredit- und Wertpapiergeschäften) -> Fokus: Datenschutz + IT-Sicherheit + IT- Compliance Formware BP-Services Rechnungserstellung und –versand Mahnungs- und Inkasso-Prozess Lohn-/Gehalts- abrechnung Bestellwesen / Ein- kauf / Supply Chain Event Management Versicherungspolice, Verträge, Kontoaus- züge, etc. Tagespost, Mailings, .

6 Referenzen Finanzdienstleister Versicherungen Kommunikation Handel
Energieversorger Druck- und Zustelldienstleister Industrie

7 Projekte in Forschung und Entwicklung (seit 2013)
Formware als Partner der Wissenschaft Gütesiegel „Innovativ durch Forschung“ Auszeichnung der Forschungstätigkeit durch den Stifterverband für die Deutsche Wissenschaft Tool:Cloud Unternehmensübergreifendes Lebenszyklusmanagement für Werkzeuge in der Cloud mittels eindeutiger Kennzeichnung und Identifikation Konsortium mit TU München und mehreren Unternehmen VEDIC [geplant] Vertraulichkeit und Integrität bei der Datenspeicherung und -verarbeitung in der Cloud Konsortium mit Fraunhofer Institut AISEC, Leibniz Universität Hannover und ORBI Team

8 ISMS – Einordnung in das Management System
Risikomanagement – Methoden sehr aufwändig (z.B. FME – Methode aus Automotive / Raumfahrt …..) Frage: Wieviele ISO zertifizierte Unternehmen gibt es weltweit / EU / Deutschland? – Ranking? Beide Standards bieten Unternehmen, Behörden und anderen Organisationen auch die Möglichkeit, sich bei Bedarf zertifizieren zu lassen. Während die Zertifizierung nach ISO/IEC 27001:2013 ohne Vorstufen erfolgt, kann die Zertifizierung nach ISO auf Basis von IT-Grundschutz mit Vorstufen, sogenannten Auditorentestaten, durchgeführt werden. Beide Zerti kate haben eine Gültigkeitsdauer von bis zu drei Jahren, danach erfolgt eine Re-Zerti zierung. Mit jährlichen Überwachungsaudits wird zwischen diesen Re-Zerti zierungen der Erhalt der Zerti zierung sichergestellt. Was ist Informationssicherheit gem. ISO 27000ff ? Informationssicherheit gewährleistet folgende Grundwerte für alle schutzwürdigen Informationen und informationsverarbeitenden Systeme : Kurz gesagt: Alle Geschäftsdaten und Systeme müssen zum erforderlichen Zeitpunkt ausschließlich den berechtigten Nutzern vollständig und unbeschädigt zur Verfügung stehen! • Die Vertraulichkeit stellt sicher, dass bestimmte Informationen, d.h. • geschäftskritische Informationen und Know How, • personenbezogene Daten (MA, Kunden, Partner), nur durch berechtigte Personen, Instanzen oder Prozesse eingesehen werden können. • Die Integrität sorgt für vollständige und unversehrte Daten (korrekt, unveränderbar oder unleugbar geloggt), Daten tragende Systeme und Daten verarbeitende Prozesse. • Die Verfügbarkeit garantiert berechtigten Nutzern den Zugriff auf Informationen und Daten tragende Systeme zum jeweils erforderlichen Zeitpunkt.

9 ISMS – Einordnung in das Management System
Was ist Informationssicherheit gemäß ISO 27000ff ? Informationssicherheit gewährleistet folg. Grundwerte für alle schutz-würdigen Informationen und informationsverarbeitenden Systeme: • Die Vertraulichkeit stellt sicher, dass bestimmte Informationen, d.h. • geschäftskritische Informationen und Know How, • personenbezogene Daten (MA, Kunden, Partner), nur durch berechtigte Personen, Instanzen oder Prozesse eingesehen werden können. • Die Integrität sorgt für vollständige und unversehrte Daten (korrekt, unveränderbar oder unleugbar geloggt), Daten tragende Systeme und Daten verarbeitende Prozesse. • Die Verfügbarkeit garantiert berechtigten Nutzern den Zugriff auf Informationen und Daten tragende Systeme zum jeweils erforderlichen Zeitpunkt. Risikomanagement – Methoden sehr aufwändig (z.B. FME – Methode aus Automotive / Raumfahrt …..) Frage: Wieviele ISO zertifizierte Unternehmen gibt es weltweit / EU / Deutschland? – Ranking? Beide Standards bieten Unternehmen, Behörden und anderen Organisationen auch die Möglichkeit, sich bei Bedarf zertifizieren zu lassen. Während die Zertifizierung nach ISO/IEC 27001:2013 ohne Vorstufen erfolgt, kann die Zertifizierung nach ISO auf Basis von IT-Grundschutz mit Vorstufen, sogenannten Auditorentestaten, durchgeführt werden. Beide Zerti kate haben eine Gültigkeitsdauer von bis zu drei Jahren, danach erfolgt eine Re-Zerti zierung. Mit jährlichen Überwachungsaudits wird zwischen diesen Re-Zerti zierungen der Erhalt der Zerti zierung sichergestellt. Was ist Informationssicherheit gem. ISO 27000ff ? Informationssicherheit gewährleistet folgende Grundwerte für alle schutzwürdigen Informationen und informationsverarbeitenden Systeme : Kurz gesagt: Alle Geschäftsdaten und Systeme müssen zum erforderlichen Zeitpunkt ausschließlich den berechtigten Nutzern vollständig und unbeschädigt zur Verfügung stehen! • Die Vertraulichkeit stellt sicher, dass bestimmte Informationen, d.h. • geschäftskritische Informationen und Know How, • personenbezogene Daten (MA, Kunden, Partner), nur durch berechtigte Personen, Instanzen oder Prozesse eingesehen werden können. • Die Integrität sorgt für vollständige und unversehrte Daten (korrekt, unveränderbar oder unleugbar geloggt), Daten tragende Systeme und Daten verarbeitende Prozesse. • Die Verfügbarkeit garantiert berechtigten Nutzern den Zugriff auf Informationen und Daten tragende Systeme zum jeweils erforderlichen Zeitpunkt.

10 Motivation – Sinn und Zweck der Zertifizierung
Theorie – Ziele und Ergebnisse Messbarkeit der Sicherheit Qualitätsmanagement in Informations-Sicherheit Zertifizierung der Sicherheit Integration in Führungs- und Betriebsstruktur Gewährleistung der Gesetzes-Konformität Transparenz und Kontrolle der Wirksamkeit Optimierung bzgl. Effizienz und Effektivität Vertrauen bei Kunden, Lieferanten und Partnern Vorbereitung auf denkbare Vorfälle und Risiken Reduziertes Haftungs- risiko von V und GF Warum? – Häufigkeit der Kundenaudits mit 10 – 15 Audits p.a. (Aufwand Vorbereitung/Audit von ca. 7 – 10 Tage auf 2 – 5 Tage je nach Audit Schwerpunkt und Umfang !

11 Motivation – Sinn und Zweck der Zertifizierung
Praxis – Ausgangssituation und Ziele Hohe Kundenanforderungen bez. Informationssicherheit Vertrauen bei Kunden, und Partnern (USP) Zertifizierung als notwendige Basis (RFIs, Prozesse, etc.) Ausbau Neukunden Optimierung der Abläufe Unvollständige Prozess- definition und -dokumente Erfolgreiche und effiziente Durchführung Kundenaudits Praxisbezogenes ISMS Gültigkeitsbereich! Geringe Awareness bei Mitarbeitern und GL Sensibilisierung auf IS - Vorfälle und Risiken Zwei Wege zum Ziel – Varianten der ISO 27001 Frage: Wieviele ISO zertifizierte Unternehmen gibt es weltweit / EU / Deutschland? – Ranking? Beide Standards bieten Unternehmen, Behörden und anderen Organisationen auch die Möglichkeit, sich bei Bedarf zertifizieren zu lassen. Während die Zertifizierung nach ISO/IEC 27001:2013 ohne Vorstufen erfolgt, kann die Zertifizierung nach ISO auf Basis von IT-Grundschutz mit Vorstufen, sogenannten Auditorentestaten, durchgeführt werden. Verstärkte Anforderungen aus neuer Gesetzgebung Einhaltung der Gesetze transparentes Haftungsrisiko

12 Erste Schritte zur erfolgreichen Zertifizierung (1)
1. Welche Variante ist für mein Unternehmen die richtige Wahl? Zwei Wege zum Ziel – Varianten der ISO 27001 Frage: Wieviele ISO zertifizierte Unternehmen gibt es weltweit / EU / Deutschland? – Ranking? Beide Standards bieten Unternehmen, Behörden und anderen Organisationen auch die Möglichkeit, sich bei Bedarf zertifizieren zu lassen. Während die Zertifizierung nach ISO/IEC 27001:2013 ohne Vorstufen erfolgt, kann die Zertifizierung nach ISO auf Basis von IT-Grundschutz mit Vorstufen, sogenannten Auditorentestaten, durchgeführt werden. Beide Zerti kate haben eine Gültigkeitsdauer von bis zu drei Jahren, danach erfolgt eine Re-Zerti zierung. Mit jährlichen Überwachungsaudits wird zwischen diesen Re-Zerti zierungen der Erhalt der Zerti zierung sichergestellt. 2. Überprüfung Ist-Zustand - Analyse und Bewertung Ist-Zustand

13 Erste Schritte zur erfolgreichen Zertifizierung (2)
2. Überprüfung Ist-Zustand - Analyse und Bewertung Ist-Zustand Fragekatalog Welche Erfordernisse an die Vertraulichkeit, Integrität, und Verfügbarkeit von Informationen gibt es? – Risiko- und Schutzbedarfsanalyse Wie lassen sich die vorhandenen Informationen nach ihrer Sensibilität klassifizieren? Welche Prozesse und Infrastrukturen sind kritisch für Ihre Geschäftstätigkeit oder Aufgabenerfüllung? – Business Impact Analyse Unternehmensleitlinie im Sinne von Regelwerk und Policy (Was möchten wir erreichen?) Prozesse (Welche Abläufe, Prozesse und Vorgehensweisen gibt es? –Betriebsmanagement, Veränderungen, Sicherheitsvorfälle, usw.) Organisation (Wer ist verantwortlich?) – Prozessowner Asset Management (Was muss geschützt werden?) Personelle Sicherheit (Wer verarbeitet welche Informationen) Physische Sicherheit (Wie werden sensible Bereiche geschützt?) Business Continuity Management (Wie werden bei mangelnder Verfügbarkeit von Informationssystemen die Geschäftsprozesse aufrecht erhalten) Lieferanten Management, Subdienstleister, etc. (Wo und von wem werden Leistungen bezogen, entwickelt, gewartet?) Compliance (Wie werden Verstöße gegen Gesetze, Verträge oder Sicherheitsregeln vermieden) ….. Erkennung interner und externer Anforderungen für die zielgerichtete Entwicklung einer individuellen Sicherheitsstrategie Transparenz durch Ist-/GAP-Ananylse

14 Der Weg zur erfolgreichen Zertifizierung
3. Prozessorientierte Umsetzung der ISMS Richtlinien und Anhang A Definition Gültigkeitsbereich des Zertifikats PDCA Zyklus Leitlinie Sicherheitsorganisation Lenkung von Dokumenten Statement of Applicability Management Review Maßnahmenplan ISO 2700x Die Bedeutung der Erklärung zur Anwendbarkeit (Abk. SoA – Statement of Applicability) wird in der Regel unterschätzt. Wie das Qualitätshandbuch in ISO 9001 ist sie das zentrale Dokument, in dem festgelegt wird, wie Sie einen großen Teil Ihrer Informationssicherheit umsetzen. Eigentlich ist die Erklärung zur Anwendbarkeit die wichtigste Verknüpfung zwischen der Risikoeinschätzung und -behandlung und Ihrer Informationssicherheit. Sie soll festlegen, welche der vorgeschlagenen 133 Maßnahmen (Sicherheitsmaßnahmen) aus Anhang A der ISO von Ihnen angewendet werden sowie die Art und Weise, wie Sie die ausgewählten Maßnahmen umsetzen werden. Kapitel 4-8 Annex A Kapitel Risikoanalysemethodik Risikoanalysen - Prozesse und Unternehmenswerte

15 Der Weg zur erfolgreichen Zertifizierung
3. Prozessorientierte Umsetzung der ISMS Richtlinien und Anhang A Strategie Risiko Management Richtlinien Konzepte Umsetzung & Kontrolle Benutzermanagement Incident Handling Betriebsprozesse Physische Sicherheit Personelle Sicherheit Notfallmanagement ... PDCA Zyklus Die Bedeutung der Erklärung zur Anwendbarkeit (Abk. SoA – Statement of Applicability) wird in der Regel unterschätzt. Wie das Qualitätshandbuch in ISO 9001 ist sie das zentrale Dokument, in dem festgelegt wird, wie Sie einen großen Teil Ihrer Informationssicherheit umsetzen. Eigentlich ist die Erklärung zur Anwendbarkeit die wichtigste Verknüpfung zwischen der Risikoeinschätzung und -behandlung und Ihrer Informationssicherheit. Sie soll festlegen, welche der vorgeschlagenen 133 Maßnahmen (Sicherheitsmaßnahmen) aus Anhang A der ISO von Ihnen angewendet werden sowie die Art und Weise, wie Sie die ausgewählten Maßnahmen umsetzen werden. Nachweise, dass Prozesse „gelebt“ werden Incidents, Changeantrag, Sicherheitsorganisation Besucherliste, Bestellung des IT-Sicherheitsbeauftragten, ... Audits, Wartungsnachweise, Notfallübungen, etc.

16 Der Weg zur erfolgreichen Zertifizierung
Was will der Auditor sehen? Verweis auf das Risikomanagement in der Leitlinie Mitarbeiter Awareness – Interviews Abgleich der Sicherheitsziele mit den Messparametern (KPIs) Nachweis der Wirksamkeit von Maßnahmen Management Review – Rückblick und Vorschau Klassifizierung der Informationen und Festlegung der Eigentümer Richtlinie Maßnahmen (Woher kommen sie?) Zuordnung der Controls zu Assets und Maßnahmen Auflistung relevanter Gesetze Bestellung Sicherheits- und Datenschutzbeauftragter BCM (Wiederanlauf, Tests) Dokumentation des Beschaffungsprozesses Dokumentation Logging Monitoring (was soll überwacht werden) Patch Konzept Test der Datensicherungen Dokumentation Hardening ….. Strategie Risiko Management Richtlinien Konzepte Umsetzung & Kontrolle Risikomanagement – Methoden sehr aufwändig (z.B. FME – Methode aus Automotive / Raumfahrt …..) Frage: Wieviele ISO zertifizierte Unternehmen gibt es weltweit / EU / Deutschland? – Ranking? Beide Standards bieten Unternehmen, Behörden und anderen Organisationen auch die Möglichkeit, sich bei Bedarf zertifizieren zu lassen. Während die Zertifizierung nach ISO/IEC 27001:2013 ohne Vorstufen erfolgt, kann die Zertifizierung nach ISO auf Basis von IT-Grundschutz mit Vorstufen, sogenannten Auditorentestaten, durchgeführt werden. Beide Zerti kate haben eine Gültigkeitsdauer von bis zu drei Jahren, danach erfolgt eine Re-Zerti zierung. Mit jährlichen Überwachungsaudits wird zwischen diesen Re-Zerti zierungen der Erhalt der Zerti zierung sichergestellt.

17 Der Weg zur erfolgreichen Zertifizierung
Roadmap Start 03/2009 Strategie/Risiko bis 11/2009 Richtlinien und Konzepte ab 02/2010 Vor-Audit 10/2010 Zertifizierungsaudit TÜV Nord 12/2010 Projektteam: 6 Mitarbeiter Dauer: Monate Aufwand: PM (intern) Kosten: 80 TEUR (extern) Invest: 125 TEUR Invest – 2 Standorte anhängig vom Gültigkeitsbereich! Init 11/2009

18 KVP – Das Leben nach der Zertifizierung
Kontinuierlicher Verbesserungsprozess KVP - Aufgaben und Maßnahmen s. Maßnahmenplan ISO Zertifizierungsaudit (Findings) Ausbau der Sicherheitsorganisation (CISO, BCM Manager, ..) Investitionen für Infrastruktur- und Systemerweiterungen Erweiterung Loggingverfahren, Userverwaltung, Pen-Test, etc. Weiterentwicklung des zentralen ISMS - Service Desks (ITIL-konform) für Incident Management Problem Management Change Management Configuration-, Release Management, etc.…… Sensibilisierung Mitarbeiter und GL -> Awareness ….. Regelmäßige Mitarbeiterschulungen ISMS/Datenschutz Durchführung und nachvollziehbare Dokumentation von Übungen (u.a. BCM Notfallübungen, Gebäudeschutz, etc. internen Audits (durch IT-/Datenschutzbeauftragten) Vorbereitung Überwachungsaudits bzw. Re-Zertifizierungsaudit Strategie Risiko Management Richtlinien Konzepte Umsetzung & Kontrolle Risikomanagement – Methoden sehr aufwändig (z.B. FME – Methode aus Automotive / Raumfahrt …..) Frage: Wieviele ISO zertifizierte Unternehmen gibt es weltweit / EU / Deutschland? – Ranking? Beide Standards bieten Unternehmen, Behörden und anderen Organisationen auch die Möglichkeit, sich bei Bedarf zertifizieren zu lassen. Während die Zertifizierung nach ISO/IEC 27001:2013 ohne Vorstufen erfolgt, kann die Zertifizierung nach ISO auf Basis von IT-Grundschutz mit Vorstufen, sogenannten Auditorentestaten, durchgeführt werden. Beide Zerti kate haben eine Gültigkeitsdauer von bis zu drei Jahren, danach erfolgt eine Re-Zerti zierung. Mit jährlichen Überwachungsaudits wird zwischen diesen Re-Zerti zierungen der Erhalt der Zerti zierung sichergestellt.

19 Best Practises - Empfehlungen
Enge und frühzeitige Einbindung der Geschäftsführung (Prozessowner) und aller Mitarbeiter im gesamten Zertifizierungsprozess -> KVP-Prozess Durchführung Zertifizierungsvorbereitungen durch ein möglichst dafür frei gestelltes Projektteam mit dem dafür notwendigen Know How Frühzeitige Unterstützung durch ein kompetentes ISMS-Beratungshaus (Effiziente Ist-Analyse, pragmatischer Ansatz für Schutzbedarfs- und Risikoanalyse …) Berücksichtigung von Prozessarchitektur und -definitionen gemäß ITIL-Definition 3.0 (Incident Management, Problem Management, Change Management, …..) Berücksichtigung von für Ihr Unternehmen wesentliche Prozesse gemäß IT Service Management ISO 20000, ISO 9000 Qualitätsmanagement, etc. Auf die Rahmenbedingungen des Unternehmens ausgerichtete Definition des ISMS-Gültigkeitsbereichs, -Prozesse und -dokumentation mit einem pragmatischen Ansatz (man muss täglich damit arbeiten können) einer möglichst hohen Flexibilität in der Festlegung bzw. Änderung von Richtlinien und Arbeitsanweisungen Aufbau eines zentralen ISMS Service Desk auf Basis von professionellen Tools Zusätzliche Unterstützung durch Bestellung eines externen Datenschutzbeauftragten Tools – TopDesk, DocSetMinder, GRC-Suite, Archer ….

20 Fragen? Vielen Dank! Kontakt: Peter Schindecker Geschäftsführer
Formware GmbH Stangenreiterstraße 2 83131 Nußdorf am Inn Phone: Fax: Mobil: Web: www.formware.de


Herunterladen ppt "Best Practices – Einführung von ISO 27001 in mittelständischen Unternehmen Congress@it-sa – Der sichere Hafen für Ihre Unternehmens IT it-sa Nürnberg,"

Ähnliche Präsentationen


Google-Anzeigen