Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

L Best Practices – Einführung von ISO 27001 in mittelständischen Unternehmen – Der sichere Hafen für Ihre Unternehmens IT it-sa Nürnberg,

Ähnliche Präsentationen


Präsentation zum Thema: "L Best Practices – Einführung von ISO 27001 in mittelständischen Unternehmen – Der sichere Hafen für Ihre Unternehmens IT it-sa Nürnberg,"—  Präsentation transkript:

1 l Best Practices – Einführung von ISO in mittelständischen Unternehmen – Der sichere Hafen für Ihre Unternehmens IT it-sa Nürnberg, Oktober 2014 Peter Schindecker, Geschäftsführer Formware GmbH

2 Einführung ISO Themenüberblick IT-Compliance Empfehlungen - KVP Der Weg zur Zertifizierung Informations Informations Sicherheits Management System Datenschutz Erste Schritte Risiko Management BCM Management IT-Sicherheit

3 Technologie und Innovation … … für dokumentorientierte Geschäftsprozesse Formware-Kurzprofil Gründung: 1988 Mitarbeiter: ca. 65 Sitz: Nußdorf am Inn Niederlassung: Rosenheim/Ludwigsburg IT-Services & Produkte im Bereich Kundenkommunikation ■Consulting & Projektmanagement ■Korrespondenz Management ■Dokumenten & Output Management ■Business Process Outsourcing (BPO) IT-Service- Center Managed Services Software Produkte

4 … für dokumentorientierte Geschäftsprozesse Technologie und Innovation … Layout und Design Print on demand Korrespondenz-Steuerung Output-Management Secure / D ISO-zertifizierte Rechenzentren Private Cloud Technologie Online Information Plattform Archiv Services Output Services – alles aus einer Hand Individualisierung & Personalisierung Multichannel-Management Web-to-print Lösungen

5 Business Process Outsourcing findet vornehmlich in folgenden Bereichen Anwendung: Finanz- und Rechnungswesen / Buchhaltung HR/Personalwesen/bAV Beschaffung Logistik Customer Care RZ-Betrieb Banken (Abwicklung von Zahlungsverkehr, Kredit- und Wertpapiergeschäften) -> Fokus: Datenschutz + IT-Sicherheit + IT- Compliance BPO - Business Process Outsourcing Formware BP-Services  Rechnungserstellung und –versand  Mahnungs- und Inkasso-Prozess  Lohn-/Gehalts- abrechnung  Bestellwesen / Ein- kauf / Supply Chain  Event Management  Versicherungspolice, Verträge, Kontoaus- züge, etc.  Tagespost, Mailings,.

6 ReferenzenReferenzen Energieversorger Handel Druck- und Zustelldienstleister Industrie Versicherungen Finanzdienstleister Kommunikation

7 Formware als Partner der Wissenschaft Gütesiegel „Innovativ durch Forschung“ Auszeichnung der Forschungstätigkeit durch den Stifterverband für die Deutsche Wissenschaft Tool:Cloud Unternehmensübergreifendes Lebenszyklusmanagement für Werkzeuge in der Cloud mittels eindeutiger Kennzeichnung und Identifikation Konsortium mit TU München und mehreren Unternehmen VEDIC [geplant] Vertraulichkeit und Integrität bei der Datenspeicherung und -verarbeitung in der Cloud Konsortium mit Fraunhofer Institut AISEC, Leibniz Universität Hannover und ORBI Team Projekte in Forschung und Entwicklung (seit 2013)

8 ISMS – Einordnung in das Management System

9 Was ist Informationssicherheit gemäß ISO 27000ff ? Informationssicherheit gewährleistet folg. Grundwerte für alle schutz- würdigen Informationen und informationsverarbeitenden Systeme: Die Vertraulichkeit stellt sicher, dass bestimmte Informationen, d.h. geschäftskritische Informationen und Know How, personenbezogene Daten (MA, Kunden, Partner), nur durch berechtigte Personen, Instanzen oder Prozesse eingesehen werden können. Die Integrität sorgt für vollständige und unversehrte Daten (korrekt, unveränderbar oder unleugbar geloggt), Daten tragende Systeme und Daten verarbeitende Prozesse. Die Verfügbarkeit garantiert berechtigten Nutzern den Zugriff auf Informationen und Daten tragende Systeme zum jeweils erforderlichen Zeitpunkt.

10 Motivation – Sinn und Zweck der Zertifizierung Messbarkeit der Sicherheit Qualitätsmanagement in Informations-Sicherheit Zertifizierung der Sicherheit Integration in Führungs- und Betriebsstruktur Gewährleistung der Gesetzes-Konformität Transparenz und Kontrolle der Wirksamkeit Optimierung bzgl. Effizienz und Effektivität Vertrauen bei Kunden, Lieferanten und Partnern Vorbereitung auf denkbare Vorfälle und Risiken Reduziertes Haftungs- risiko von V und GF Theorie – Ziele und Ergebnisse

11 Motivation – Sinn und Zweck der Zertifizierung Hohe Kundenanforderungen bez. Informationssicherheit Unvollständige Prozess- definition und -dokumente Zertifizierung als notwendige Basis (RFIs, Prozesse, etc.) Geringe Awareness bei Mitarbeitern und GL Verstärkte Anforderungen aus neuer Gesetzgebung Erfolgreiche und effiziente Durchführung Kundenaudits Ausbau Neukunden Optimierung der Abläufe Vertrauen bei Kunden, und Partnern (USP) Sensibilisierung auf IS - Vorfälle und Risiken Einhaltung der Gesetze transparentes Haftungsrisiko Praxis – Ausgangssituation und Ziele

12 Erste Schritte zur erfolgreichen Zertifizierung (1) 1. Welche Variante ist für mein Unternehmen die richtige Wahl? 2. Überprüfung Ist-Zustand - Analyse und Bewertung Ist-Zustand

13 Erste Schritte zur erfolgreichen Zertifizierung (2) 2. Überprüfung Ist-Zustand - Analyse und Bewertung Ist-Zustand Fragekatalog  Welche Erfordernisse an die Vertraulichkeit, Integrität, und Verfügbarkeit von Informationen gibt es? – Risiko- und Schutzbedarfsanalyse  Wie lassen sich die vorhandenen Informationen nach ihrer Sensibilität klassifizieren?  Welche Prozesse und Infrastrukturen sind kritisch für Ihre Geschäftstätigkeit oder Aufgabenerfüllung? – Business Impact Analyse  Unternehmensleitlinie im Sinne von Regelwerk und Policy (Was möchten wir erreichen?)  Prozesse (Welche Abläufe, Prozesse und Vorgehensweisen gibt es? –Betriebsmanagement, Veränderungen, Sicherheitsvorfälle, usw.)  Organisation (Wer ist verantwortlich?) – Prozessowner  Asset Management (Was muss geschützt werden?)  Personelle Sicherheit (Wer verarbeitet welche Informationen)  Physische Sicherheit (Wie werden sensible Bereiche geschützt?)  Business Continuity Management (Wie werden bei mangelnder Verfügbarkeit von Informationssystemen die Geschäftsprozesse aufrecht erhalten)  Lieferanten Management, Subdienstleister, etc. (Wo und von wem werden Leistungen bezogen, entwickelt, gewartet?)  Compliance (Wie werden Verstöße gegen Gesetze, Verträge oder Sicherheitsregeln vermieden)  …..

14 Der Weg zur erfolgreichen Zertifizierung Leitlinie Sicherheitsorganisation Lenkung von Dokumenten Statement of Applicability Management Review Maßnahmenplan Risikoanalysemethodik Risikoanalysen - Prozesse und Unternehmenswerte 3. Prozessorientierte Umsetzung der ISMS Richtlinien und Anhang A Definition Gültigkeitsbereich des Zertifikats

15 Der Weg zur erfolgreichen Zertifizierung Benutzermanagement Incident Handling Betriebsprozesse Physische Sicherheit Personelle Sicherheit Notfallmanagement... Nachweise, dass Prozesse „gelebt“ werden Incidents, Changeantrag, Sicherheitsorganisation Besucherliste, Bestellung des IT-Sicherheitsbeauftragten,... Audits, Wartungsnachweise, Notfallübungen, etc. 3. Prozessorientierte Umsetzung der ISMS Richtlinien und Anhang A Strategie Risiko Management Richtlinien Konzepte Umsetzung & Kontrolle

16 Der Weg zur erfolgreichen Zertifizierung Was will der Auditor sehen? Verweis auf das Risikomanagement in der Leitlinie Mitarbeiter Awareness – Interviews Abgleich der Sicherheitsziele mit den Messparametern (KPIs) Nachweis der Wirksamkeit von Maßnahmen Management Review – Rückblick und Vorschau Klassifizierung der Informationen und Festlegung der Eigentümer Richtlinie Maßnahmen (Woher kommen sie?) Zuordnung der Controls zu Assets und Maßnahmen Auflistung relevanter Gesetze Bestellung Sicherheits- und Datenschutzbeauftragter BCM (Wiederanlauf, Tests) Dokumentation des Beschaffungsprozesses Dokumentation Logging Monitoring (was soll überwacht werden) Patch Konzept Test der Datensicherungen Dokumentation Hardening …..

17 Der Weg zur erfolgreichen Zertifizierung Roadmap Start 03/2009 Strategie/Risiko bis 11/2009 Richtlinien und Konzepte ab 02/2010 Vor-Audit 10/2010 Zertifizierungsaudit TÜV Nord 12/2010 Projektteam:6 Mitarbeiter Dauer: 20 Monate Aufwand: 42 PM (intern) Kosten: 80 TEUR (extern) Invest:125 TEUR Init 11/2009

18 KVP – Das Leben nach der Zertifizierung Kontinuierlicher Verbesserungsprozess KVP - Aufgaben und Maßnahmen s. Maßnahmenplan ISO Zertifizierungsaudit (Findings) o Ausbau der Sicherheitsorganisation (CISO, BCM Manager,..) o Investitionen für Infrastruktur- und Systemerweiterungen o Erweiterung Loggingverfahren, Userverwaltung, Pen-Test, etc. Weiterentwicklung des zentralen ISMS - Service Desks (ITIL-konform) für o Incident Management o Problem Management o Change Management o Configuration-, Release Management, etc.…… Sensibilisierung Mitarbeiter und GL -> Awareness ….. o Regelmäßige Mitarbeiterschulungen ISMS/Datenschutz Durchführung und nachvollziehbare Dokumentation von o Übungen (u.a. BCM Notfallübungen, Gebäudeschutz, etc. o internen Audits (durch IT-/Datenschutzbeauftragten) Vorbereitung Überwachungsaudits bzw. Re-Zertifizierungsaudit

19 Best Practises - Empfehlungen Enge und frühzeitige Einbindung der Geschäftsführung (Prozessowner) und aller Mitarbeiter im gesamten Zertifizierungsprozess -> KVP-Prozess Durchführung Zertifizierungsvorbereitungen durch ein möglichst dafür frei gestelltes Projektteam mit dem dafür notwendigen Know How Frühzeitige Unterstützung durch ein kompetentes ISMS-Beratungshaus (Effiziente Ist-Analyse, pragmatischer Ansatz für Schutzbedarfs- und Risikoanalyse …) Berücksichtigung von Prozessarchitektur und -definitionen gemäß ITIL-Definition 3.0 (Incident Management, Problem Management, Change Management, …..) Berücksichtigung von für Ihr Unternehmen wesentliche Prozesse gemäß IT Service Management ISO 20000, ISO 9000 Qualitätsmanagement, etc. Auf die Rahmenbedingungen des Unternehmens ausgerichtete Definition des ISMS-Gültigkeitsbereichs, -Prozesse und -dokumentation mit einem pragmatischen Ansatz (man muss täglich damit arbeiten können) einer möglichst hohen Flexibilität in der Festlegung bzw. Änderung von Richtlinien und Arbeitsanweisungen Aufbau eines zentralen ISMS Service Desk auf Basis von professionellen Tools Zusätzliche Unterstützung durch Bestellung eines externen Datenschutzbeauftragten

20 Vielen Dank! Fragen? Kontakt: Peter Schindecker Geschäftsführer Formware GmbH Stangenreiterstraße Nußdorf am Inn Phone: Fax: Mobil: Web:


Herunterladen ppt "L Best Practices – Einführung von ISO 27001 in mittelständischen Unternehmen – Der sichere Hafen für Ihre Unternehmens IT it-sa Nürnberg,"

Ähnliche Präsentationen


Google-Anzeigen