Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

1 IT-Sicherheitsmanagement ISO 27001 in der betrieblichen Praxis Dieter BrunnerChief Security Officer GRZ IT Gruppe.

Ähnliche Präsentationen


Präsentation zum Thema: "1 IT-Sicherheitsmanagement ISO 27001 in der betrieblichen Praxis Dieter BrunnerChief Security Officer GRZ IT Gruppe."—  Präsentation transkript:

1 1 IT-Sicherheitsmanagement ISO in der betrieblichen Praxis Dieter BrunnerChief Security Officer GRZ IT Gruppe

2 2 IT-Sicherheitsmanagement Häufig findet man … spontane einmalige Aktionen bei neuen Bedrohungen engagierte Einzelkämpfer mit unklaren Verantwortlichkeiten gute Einzellösungen anstatt eines Gesamtkonzeptes mit dokumentierten Richtlinien sorglosen Umgang mit den Sicherheitsrichtlinien mangelhaften Schutz vor Elementarschäden Sicherheit mit einem zu geringen Stellenwert im Unternehmen - Kostenfaktor, dessen Nutzen nur schwer nachzuweisen ist einen Schuldigen, wenn etwas passiert Quelle: BSI; Die Lage der IT-Sicherheit in Deutschland 2011

3 3 IT-Sicherheitsmanagement … Fehleinschätzung des eigenen Schutzbedarfes „Bei uns ist noch nie etwas passiert“ … oder hat nur niemand etwas bemerkt ? „Was soll bei uns schon zu holen sein“ … oder werden doch Daten verarbeitet, die Missbrauch mit Folgen ermöglichen ? „Unsere Mitarbeiter sind vertrauenswürdig“ … aber auch ein guter Administrator kann einen Fehler machen oder etwas übersehen ! Sensibilisierung und Schulung ist wichtig, da die Mehrzahl der Sicherheitsvorfälle von Innen ausgehen. Risikofaktor Mitarbeiter – jeder kann einen Fehler machen Es gibt keinen Patch für menschliche Fehlhandlungen ! Quelle: BSI; Die Lage der IT-Sicherheit in Deutschland 2009

4 4 IT-Sicherheitsmanagement Warum braucht man IT-Sicherheit Beweggründe für eine Zertifizierung Wettbewerbsfaktor: E-Business gewinnt an Bedeutung Schutz der Unternehmenswerte: Risiko-/Schadenminimierung Kunden und Geschäftspartner verlangen IT-Sicherheit Unmittelbare Handlungs- und Haftungsverpflichtungen der Geschäftsführung aufgrund gesetzlicher Regelungen GmbH-Gesetz –Geschäftsführern wird „die Sorgfalt eines ordentlichen Geschäftsmannes“ auferlegt Aktiengesetz –Persönliche Haftung des Vorstands bei fehlendem Risikomanagement Urheberrecht –Urheberrechtsverletzungen (zB Download von Datenschutz geschützten Materalien (MP3, Filmer, Software) IT-Sicherheit ist eine gesetzlich verankerte Aufgabe der Geschäftsführung! Juristische Sichtweise: Die Umsetzung „wirtschaftlich zumutbarer Maßnahmen“ wird erwartet, keine 100%-ige Sicherheit !

5 5 IT-Sicherheitsmanagement Was versteht man unter IT-Sicherheit Es lässt unberechtigtes Verändern nicht zu. Es ermöglicht den Nachweis von Verpflichtungen. Ein Informationssystem wird als sicher bezeichnet, wenn es folgende Bedingungen in einem geplanten Ausmaß erfüllt: Integrität Es ist für Benutzer immer verfügbar. Vertraulichkeit Verbindlichkeit Verfügbarkeit Es lässt unberechtigte Nutzung nicht zu. Quelle: Heinrich, Heinzl, Roithmayr; Wirtschaftsinformatik-Lexikon

6 6 IT-Sicherheitsmanagement Prozessorientierte Managementsysteme Die ISO-Standards orientieren sich am PDCA-Modell (plan-do-check-act), einem Kreis, der sich schließen soll. Fragt sich nur, wo der Anfang ist ? DO – Implementierung und Sensibilisierung Implementierung und Betrieb der Maßnahmen und Prozesse (personell, organisatorisch, technisch) Sensibilisierung, Mitarbeiterschulung PLAN – Sicherheitsanalyse Schwachstellenerkennung Risikoanalyse Sicherheitspolitik (Ziele und Grundsätze) ACT – Wartung und Verbesserung Kontinuierliche Verbesserung durch korrektive und präventive Maßnahmen CHECK – Überwachung und Prüfung Überprüfung der Maßnahmen und Prozesse auf Wirksamkeit Bericht an das Management strategisch administrativ operativ


Herunterladen ppt "1 IT-Sicherheitsmanagement ISO 27001 in der betrieblichen Praxis Dieter BrunnerChief Security Officer GRZ IT Gruppe."

Ähnliche Präsentationen


Google-Anzeigen