ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Hermann Banse – Oliver Tagisade - Ralf Wildvang
Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG Agenda Anforderungen an Informationssicherheit Die Ausgangslage Was ist ISIS12? ISIS12 und die DSGVO Einführung von ISIS12 Zertifizierung Ihres ISMS gemäß ISIS12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Anforderung an die Informationssicherheit Steigende Komplexität der Informationstechnik Grad der Vernetzung Abhängigkeit von der IT Angriffe von innen und außen Kosten für IT Kundenanforderungen Servicequalität Vertragliche Anforderungen Rechtliche Vorgaben 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Die Ausgangslage – Szenario I (1) Der Auftragnehmer verpflichtet sich ein ISMS zur Einhaltung der Vertraulichkeit, Integrität und Verfügbarkeit ... (3) Bei Verstößen gegen (1) und (2) haftet der Auftragnehmer für entstandene Schäden in Höhe von ... (2) Der Auftragnehmer sichert zu, dass risiko-reduzierende Sicherheitsmaßnahmen in seinem Unternehmen... (3) Bei Nichteinhaltung kann seitens des Auftraggebers die vertragliche Grundlage entzogen werden, sofern... 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Die Ausgangslage – Szenario I of IT-Security Der Vertrag wird auf Eis gelegt 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Die Ausgangslage – Szenario II Art. 32 - DSGVO „... geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten…“ Art. 83 Abs. 4 - DSGVO „...Bei Verstößen gegen die .... werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % … 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Vorteile / Nutzen - Informationssicherheit öffentliche Kunden Zuverlässige Serviceleistungen sichere Infrastrukturen E-Business Entwicklungspartnerschaft Know-how Schutz Cloud Thematik Open-Government Schutz der Kundendaten Kundenanforderungen IT-Sicherheitsgesetz (IT-SiG) Risk Management z.B. KonTraG Datenschutz BDSG Haftungsfragen Regulierung / Corp. Governance (z. B. SOX, Basel III) Compliance (regulatorische z.B. BNetzA) EU-Datenschutzgrundverordnung (EU-DSGVO) Rechtliche Vorgaben Eigeninteresse Schutz von Informationen und Wissen Schutz der Infrastrukturen Image in der Öffentlichkeit Cloud Thematik und Cloud-Lizenzmodelle Chancen und auch Herausforderungen der Digitalisierung Attraktivität des Arbeitgebers Moderne Arbeitsplatzgestaltungen Gefährdungslage Haftungsfragen KonTraG = Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (1998) SOX = Sarbanes-Oxley Act of 2002 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG Zwischenfazit Technische / Organisatorische Maßnahmen stellen sich oft als große Herausforderung heraus! 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Standards für Informationssicherheit 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Viel hilft nicht immer viel! 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG BSI – IT-Grundschutz 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Standards für Informationssicherheit und Kommunen 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG Was ist ISIS12 ? ISIS12 - Informations-Sicherheitsmanagement-System in 12 Schritten Herausgeber: Bayerischer IT-Sicherheitscluster e.V. Verständlich beschriebener 12-stufiger Prozess, der den Einstieg in die Informationssicherheit (ISMS) erleichtert ISMS wird mit IT-Service Management verknüpft Entwickelt für KMU, Kommunen und NGO Spezifischer ISIS12-Maßnahmensatz wird vorgegeben 12-stufiger Prozess als Workflow abgebildet Aktuelle Version: 1.9 (Januar 2018) 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Weniger ist manchmal mehr! 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 LEITLINIE ERSTELLEN Sicherheitsstrategie Sicherheitsziele zur Informationssicherheit Geltungsbereich Organisatorische Rahmenbedingungen Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 MITARBEITER SENSIBILISIEREN Schulungskonzept Durchführung von Sensibilisierungsmaßnahmen Nachhaltigkeit und Aufrechterhaltung der Informationssicherheit Sicherheits-Kultur etablieren Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 INFORMATIONSSICHERHEITS-TEAM AUFBAUEN Benennung / Bestellung des ISB Organisationsstruktur abbilden Regelmäßige Jourfix - Termine Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 IT-DOKUMENTATION Erstellen von Rahmendokumenten Erstellen von Richtlinien Erstellen eines IT-Betriebshandbuchs Erstellen eines IT-Notfallhandbuchs Rahmen: IT-Sicherheitsleitlinie, Verarbeitungsübersicht, IT-Rollenmatrix, IT-Namenskonventionen, Dokumentationsrichtlinie Betrieb: Dokumentation der IT-Systeme (Systemakte), Inventarisierungstools, Dokumentation der IT-Prozesse, Prozessmodellierung Notfall: Organisation, Wiederanlaufpläne, Geschäftsfortführungspläne Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 IT-SM PROZESS EINFÜHREN Wartungsprozess definieren Änderungsprozess definieren Störungsbeseitigungsprozess definieren Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 KRITISCHE ANWENDUNGEN IDENTIFIZIERIEN Erhebung kritischer Anwendungen Qualifizierung der Ergebnisse Schutzbedarfsfeststellungen Aufbau- und Ablauforganisation Schritte 3-5 MTA / SLA A,B,C für VIV Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Informationssicherheit in 12 Schritten IT-STRUKTUR ANALYSIEREN Erhebung der IT-Infrastruktur Qualifizierung der Ergebnisse Erstellen von bereinigten Netzplänen Erhebung der Gebäude und Räume Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Informationssicherheit in 12 Schritten SICHERHEITSMAßNAHMEN MODELLIEREN Darstellung der vorgeschlagenen Maßnahmen aus dem ISIS12-Maßnahmenkatalog Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Informationssicherheit in 12 Schritten Initialisierungsphase Schritte 1-2 IST-SOLL VERGLEICH DURCHFÜHREN Erstellen einer GAP-Analyse der umgesetzten Maßnahmen zum Maßnahmenkatalog Für übergeordnete Aspekte, IT-Infrastruktur und IT-Systeme und Netze Maßnahmen aus den Ergebnissen ableiten Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Informationssicherheit in 12 Schritten UMETZUNG PLANEN Planung der noch umzusetzenden Maßnahmen Ermittlung von Kosten und Ressourcen zur Umsetzung Priorisierung zur Umsetzung von Maßnahmen Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Informationssicherheit in 12 Schritten UMSETZUNG Zuordnung von Maßnahmen zu Verantwortlichen Umsetzung der Maßnahmen begleiten Umsetzung der Maßnahmen überwachen Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Informationssicherheit in 12 Schritten REVISION Überprüfung der Einhaltung und Wirksamkeit der Maßnahmen Überwachung des ISMS durch den ISB Initialisierungsphase Schritte 1-2 Aufbau- und Ablauforganisation Schritte 3-5 Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Datenschutz trifft Informationssicherheit Architektur Erweiterung für die DSGVO DS-GVO DS-GVO DS-GVO DS-GVO Initialisierungsphase Schritte 1-2 DS-GVO DS-GVO DS-GVO DS-GVO Aufbau- und Ablauforganisation Schritte 3-5 DS-GVO DS-GVO Entwicklung und Umsetzung ISIS12 Konzept Schritte 6-12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG ISIS12 und die DSGVO Schritt DS-GVO - Konformität § und Artikel Schritt 1 Erweiterung der Sicherheitsleitlinie zur Datenschutzrichtlinie - Schritt 2 Datengeheimnis und Schulung Mitarbeiter DSAnpUG-EU: § 53 Schritt 3 Datenschutzbeauftragter DS-GVO: Art. 37, 38, 39 ... DSAnpUG-EU: §§ 5, 7, 38 ... Schritt 4 Dokumentationspflicht DS-GVO: Art. 4, 5, 12, 13, 14, 15, Schritt 5 Datenschutzprozesse DSAnpUG-EU: §§ 29, 34, 35 ... DS-GVO: Art. 15, 16, 17, 18, 19, 20, 21, 22, 33, 34 ... Schritt 6 Verarbeitung personenbezogener Daten in Anwendungen DS-GVO: Art. 6, 7, 8, 9, 24, 28, 30, 32, 35, 44 ... Schritt 7 Sicherheit der Verarbeitung DS-GVO: Art. 32 Schritt 12 Zertifizierung DS-GVO: Art. 42 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Unterstützung durch Software 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Unterstützung durch Software 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Zertifizierung Ihres ISMS nach ISIS12 Möglichkeit zur Zertifizierung durch die DQS GmbH Zertifikatsgültigkeit von 3 Jahren, inkl. 2 Überwachungsaudits Auditierung durch zertifizierte ISIS12-Auditoren Unterstützung durch den ISIS12-Berater 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
ISIS12 heißt Informationssicherheit ... ... die durch die DQS GmbH zertifizierbar ist! ... die den Datenschutz gemäß DSGVO mit berücksichtigt! ... die ressourcenoptimierend umgesetzt wird! ... die umfangreich und vollständig dokumentiert ist! ... mit fertigen Arbeitspaketen leicht umzusetzen ist! 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG Vorteile / Nutzen - Zusammenfassung Vorteile eines ISMS mit ISIS12 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Vielen Dank für die Aufmerksamkeit Abschluss Vielen Dank für die Aufmerksamkeit 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG
Kontaktinformationen Hermann Banse Geschäftsführender Gesellschafter Lizenzierter / zertifizierter ISIS12 – Berater (ICO-Cert) … Genesis Consulting Am Poter 10 44879 Bochum Telefon: +49 234 - 6027 5004 Mail: info@g-c.nrw Oliver Tagisade Geschäftsführender Gesellschafter Lizenzierter / zertifizierter ISIS12 – Berater (ICO-Cert) … KLESYS GmbH Kastellstraße 56 47546 Kalkar Telefon: +49 2824 - 9252 0 Mail: info@klesys.de Ralf Wildvang Geschäftsführender Gesellschafter ISO 27001 Security Officer (TÜV Süd) ISO 27001 Auditor (ICO-Cert) Lizenzierter / zertifizierter ISIS12 – Berater (ICO-Cert) Sempacon GmbH & Co. KG Kerschensteinerweg 1 40723 Hilden Telefon: +49 2103-572 66 85 Mail: kontakt@sempacon.de 09.04.2019 Genesis Consulting - KLESYS GmbH - Sempacon GmbH & Co. KG