Compliance as a Service (CaaS)
AWS Enterprise Summit
Ein Produkt der direkt gruppe in Zusammenarbeit mit TÜV Trust IT
Fran...
© direkt gruppe 2016Seite
Ängste hemmen das Effizienzpotenzial der eigenen IT
27.06.16 direkt gruppe und TÜV Trust IT - Co...
© direkt gruppe 2016Seite
Inhalt
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service3
1. Entwirrung in der T...
© direkt gruppe 2016Seite
Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
direkt gruppe und TÜV Trust IT - Compl...
© direkt gruppe 2016Seite
Inhalt
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service5
1. Entwirrung in der T...
© direkt gruppe 2016Seite
Compliance as a Service – vier Schritte zum Erfolg
27.06.16 direkt gruppe und TÜV Trust IT - Com...
© direkt gruppe 2016Seite
CaaS – Beispiel aus der Versicherungsbranche
27.06.16 direkt gruppe und TÜV Trust IT - Complianc...
© direkt gruppe 2016Seite
Compliance as a Service – „Compliance Radar“
27.06.16 direkt gruppe und TÜV Trust IT - Complianc...
© direkt gruppe 2016Seite
Compliance Radar – Vorbereitung der direkt gruppe
27.06.16 direkt gruppe und TÜV Trust IT - Comp...
© direkt gruppe 2016Seite
Compliance as a Service – „Individualisierung“
27.06.16 direkt gruppe und TÜV Trust IT - Complia...
© direkt gruppe 2016Seite
Individualisierung – Aufnahme der kundenspezifischen Anforderungen
27.06.16 direkt gruppe und TÜ...
© direkt gruppe 2016Seite
Compliance as a Service – „Orchestrierung“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance ...
© direkt gruppe 2016Seite
Orchestrierung – technische und organisatorische Umsetzung der Maßnahmen
27.06.16 direkt gruppe ...
© direkt gruppe 2016Seite
Compliance as a Service – „Auditierung“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as ...
© direkt gruppe 2016Seite
Auditierung: Abnahme der Umgebung mit Testaten und Zertifikaten
27.06.16 direkt gruppe und TÜV T...
© direkt gruppe 2016Seite
Projektauftrag
Resümee & Lessons Learned
Schutzbedarfsfeststellung Implementationsleitfaden Appl...
© direkt gruppe 2016Seite
Inhalt
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service17
1. Entwirrung in der ...
© direkt gruppe 2016Seite
Compliance as a Service – Resümee und Erkenntnisse
27.06.16 direkt gruppe und TÜV Trust IT - Com...
direkt gruppe
Hamburg I Griegstraße 75 I Haus 26 I 22763 Hamburg
Köln I Holzmarkt 2 I 50676 Köln
München I Landaubogen 1 I...
Nächste SlideShare
Wird geladen in …5
×

„Compliance as a Service“ auf der AWS Enterprise Summit 2016

226 Aufrufe

Veröffentlicht am

"Mit Compliance as a Service können Unternehmen und Organisationen mit besonders schützenswerten Daten Cloud-Services nutzen und dabei Compliance-konform bleiben. Wie das geht, diese Frage beantworten Thorsten Pelka, Geschäftsführer networks direkt GmbH, direkt gruppe, und Thomas Doms, Principal Consultant TÜV Trust IT GmbH, TÜV Austria Gruppe, in ihrem Vortrag auf dem AWS Enterprise Summit am 30. Juni in Frankfurt. Gemeinsam stellen die beiden Experten ein standardisiertes Vorgehen vor, mit dem Unternehmen die Einhaltung der für sie geltenden Regelungen auch in der Cloud sicherstellen können." Mehr zu diesem und weiteren interessanten Themen gibt es hier: blog.direkt-gruppe.de

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
226
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
3
Aktionen
Geteilt
0
Downloads
3
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

„Compliance as a Service“ auf der AWS Enterprise Summit 2016

  1. 1. Compliance as a Service (CaaS) AWS Enterprise Summit Ein Produkt der direkt gruppe in Zusammenarbeit mit TÜV Trust IT Frankfurt, 30. Juni 2016
  2. 2. © direkt gruppe 2016Seite Ängste hemmen das Effizienzpotenzial der eigenen IT 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service2 Sicherheitsbedenken sind weiterhin das größte Hemmnis für die Cloud Nutzung in Unternehmen. Cloud-spezifische Befürchtungen 60% befürchten unberechtigten Zugriff auf sensible Daten Statistische Erhebungen von KPMG AG in Zusammenarbeit mit Bitkom Research GmbH 56% sorgen sich um die Einhaltung eigener Compliance-Anforderungen 8% berichten von Compliance-Vorfällen in der Cloud Mit CaaS von der direkt gruppe sind Sie sicher Verschlüsselung bewegter und ruhender Daten auch in der Cloud Umfassender Compliance Radar sorgt für Einhaltung von Standards und Branchenanforderungen Gebündeltes Know-how von der direkt gruppe und TÜV Trust IT sorgt dafür, dass Ihnen das NICHT passiert
  3. 3. © direkt gruppe 2016Seite Inhalt 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service3 1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung 2. Compliance as a Service in der Praxis § Ausgangslage einer Versicherung § Vier Schritte zum Erfolg § Ergebnisdokumente 3. Resümee und Lessons Learned
  4. 4. © direkt gruppe 2016Seite Entwirrung in der Terminologie – Eingrenzung & Abgrenzung direkt gruppe und TÜV Trust IT - Compliance as a Service27.06.164 § INFORMATION SECURITY DATENSCHUTZ § BSI Grundschutz § ISO 27000 Family § COBIT § Trusted Cloud § Pharma-, Finanz- und Energie Gesetzgebung § PCI DSS § Solvency II, MaRisk § StGB § GoB § BDSG/EU-DSGVO § EU Model Clauses COMPLIANCE
  5. 5. © direkt gruppe 2016Seite Inhalt 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service5 1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung 2. Compliance as a Service in der Praxis § Ausgangslage einer Versicherung § Vier Schritte zum Erfolg § Ergebnisdokumente 3. Resümee und Lessons Learned
  6. 6. © direkt gruppe 2016Seite Compliance as a Service – vier Schritte zum Erfolg 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service6 INDIVIDUALISIERUNG ORCHESTRIERUNG COMPLIANCE RADAR AUDITIERUNG
  7. 7. © direkt gruppe 2016Seite CaaS – Beispiel aus der Versicherungsbranche 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service7 Aufgabenstellung International agierender Versicherungskonzern beauftragtdie direktgruppe: § Implementierung einer AWS-Umgebung und Transformation wichtiger Anwendungen für Finanzen und Risikomanagementin die AWS-Cloud. § Voraussetzungen:Entsprechung der Anforderungen,hohe und sichere Verfügbarkeit,Wahrung der Vertraulichkeit Erwartung und Ergebnisse § COMPLIANCE RADAR Integrationsleitfaden mitBeschreibung von Maßnahmen zur Abdeckung branchenüblicher Compliance Anforderungen liegtbei Projektstartvor. § INDIVIDUALISIERUNG Der Integrationsleitfaden wird aufden Bedarfdes Kunden zugeschnitten. § ORCHESTRIERUNG Die Implementierung erfolgtgemäßden Anforderungen des Kunden. § AUDITIERUNG Es wird bestätigt, dass der Betrieb compliantzu den Anforderungen erfolgt. Projektauftrag Resümee & Lessons Learned Ergebnisdokumente COMPLIANCE RADAR AUDITIERUNG ORCHESTRIERUNG INDIVIDUALISIERUNG
  8. 8. © direkt gruppe 2016Seite Compliance as a Service – „Compliance Radar“ 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service8 INDIVIDUALISIERUNG ORCHESTRIERUNG COMPLIANCE RADAR AUDITIERUNG Security & Compliance Framework Branchen- standards Internationale Normen Framework zur Cloud Integration und Auditierung
  9. 9. © direkt gruppe 2016Seite Compliance Radar – Vorbereitung der direkt gruppe 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service9 Regularien: Kontinuierliche Aufrechterhaltung derAktualität (Radar) § Prinzipielle Implementation typischer Standards in die Beratungs- und Service-Leistungen § Versicherungsspezifische Aufnahme von Anforderungen aus Regularien § Aufnahme geeigneter Maßnahmen in den IntegrationsleitfadenCOMPLIANCE RADAR AUDITIERUNG ORCHESTRIERUNG INDIVIDUALISIERUNG Projektauftrag Resümee & Lessons Learned Ergebnisdokumente Implementationsleitfaden CaaS – Projekt-Spezifika Versicherungskunde Standards realisiert § ISO 27001/27002 § BSI Grundschutz § TÜV Trust IT Trusted Cloud Aufnahme Projekt Spezifika: § Solvency II § MaRisk (BaFin) § AWS best practices Dokumente: COMPLIANCE RADAR Security & Compliance Framework B ra n c h e n - s ta n d a rd s In te rn a tio n a le N o rm e nF ra m e w o rk z u rC lo u dIn te g ra tio nu nd A ud itie ru ng
  10. 10. © direkt gruppe 2016Seite Compliance as a Service – „Individualisierung“ 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service10 INDIVIDUALISIERUNG ORCHESTRIERUNG COMPLIANCE RADAR AUDITIERUNG Schutzbedarfs- feststellung Cloud Integrations Leitfaden Ableitung TOMs und Anforderungen an Verträge Zielorientierte Analyse
  11. 11. © direkt gruppe 2016Seite Individualisierung – Aufnahme der kundenspezifischen Anforderungen 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service11 Feststellung speziellerAnforderungen aus Prozessen und Applikationen § Stakeholder: Konzern Security, Datenschutz,Revision,Compliance,Legal § Schutzbedarfsfeststellungen für Applikationen und Daten § Ableitung individueller Anforderungen und Aufnahme von Maßnahmen § Anpassung des Leitfadens in Abstimmung aufKunden- und Teamseite COMPLIANCE RADAR AUDITIERUNG ORCHESTRIERUNG INDIVIDUALISIERUNG Projektauftrag Resümee & Lessons Learned Ergebnisdokumente Individualisierung Implementationsleitfaden § Konzern Policies: Informationssicherheit,Datenschutz,Compliance § Applikationen: ProphetProfessional 8, FIRM, Igloo,(weitere Applikationen) § Verträge Schutzbedarfe: § Vertraulichkeit § Integrität § Verfügbarkeit § Nachvollziehbarkeit Schutzniveaus: § 4-stufig Ergebnisse: § Verfügbarkeit: - sehr hoch = Ausfall < 4 Stunden § Vertraulichkeit: - Hoch/sehr hoch = Verschlüsselung § Sichere Anbindung,kein direkter Internet- Zugang Dokumente:
  12. 12. © direkt gruppe 2016Seite Compliance as a Service – „Orchestrierung“ 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service12 INDIVIDUALISIERUNG ORCHESTRIERUNG COMPLIANCE RADAR AUDITIERUNG Umsetzung TÜV Best Practices Know-how Transfer Cloud Implemen- tierung und Automatisierung Implementierung der Trusted Procedures
  13. 13. © direkt gruppe 2016Seite Orchestrierung – technische und organisatorische Umsetzung der Maßnahmen 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service13 COMPLIANCE RADAR AUDITIERUNG ORCHESTRIERUNG Projektauftrag Resümee & Lessons Learned Ergebnisdokumente INDIVIDUALISIERUNG Ablauf Orchestrierung § Abnahme des Integrationsleitfadens zur Umsetzung des Compliance konformen Betriebs Beteiligt:Projektteam Kunde,direktgruppe:Team „Compliance & Security“,Team „Orchestrierung“ § Technische Maßnahmen werden durchgängig automatisiert § Roadmap schafftTransparenz und Verbindlichkeitfür alle Stakeholder Orchestrierung – Besonderheiten Compliance bedingt: § Betrieb der AWS-Cloud erfolgtfinal am StandortFrankfurt/Main § Bewegte und ruhende Daten mit Vertraulichkeit= hoch sind zu verschlüsseln § Applikationen mitVerfügbarkeit= sehr hoch werden redundantausgelegt Genutzte Tools: § AWS Web Access § ServiceNow § Microsoft SC Orchestrator
  14. 14. © direkt gruppe 2016Seite Compliance as a Service – „Auditierung“ 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service14 INDIVIDUALISIERUNG ORCHESTRIERUNG COMPLIANCE RADAR AUDITIERUNG Cloud Zertifikate BAFIN SOLVENCY Compliance ISO27001 (27017/27018) Vorbereitung und Zertifizierung
  15. 15. © direkt gruppe 2016Seite Auditierung: Abnahme der Umgebung mit Testaten und Zertifikaten 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service15 COMPLIANCE RADAR AUDITIERUNG Projektauftrag Resümee & Lessons Learned Ergebnisdokumente INDIVIDUALISIERUNG Auditierung: Self Assessments und externe Zertifizierung § In allen Projektphasen werden die eingesetzten Verfahrensanweisungen und Checklisten zur Erfüllung der Compliance Anforderungen angepasstund aktuell gehalten. § Die Cloud Orchestration Platform protokolliertalle Aufträge,Zugriffe und Veränderungen automatisch. § Es entsteht eine revisionsfähige Dokumentation zur Vorbereitung der Zertifizierung. Auditierung – der Kunde erhält ein zertifizierungsfähiges Ergebnis § KontinuierlicheAktualisierung der Verfahren liefern bei Betriebsübergabe eine solide Grundlage für ein Testat oder ein Zertifikat zur Compliance-konformen Informationsverarbeitung. ORCHESTRIERUNG
  16. 16. © direkt gruppe 2016Seite Projektauftrag Resümee & Lessons Learned Schutzbedarfsfeststellung Implementationsleitfaden Application Catalog Roadmap Überblick Applikationen Checkliste IT-Security Automatisierung Compliance Check Zertifikate Ergebnisdokumente Compliance as a Service – Ergebnisdokumente 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service16 COMPLIANCE RADAR AUDITIERUNG ORCHESTRIERUNG INDIVIDUALISIERUNG
  17. 17. © direkt gruppe 2016Seite Inhalt 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service17 1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung 2. Compliance as a Service in der Praxis § Ausgangslage einer Versicherung § Vier Schritte zum Erfolg § Ergebnisdokumente 3. Resümee und Lessons Learned
  18. 18. © direkt gruppe 2016Seite Compliance as a Service – Resümee und Erkenntnisse 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service18 Projektauftrag Resümee & Lessons Learned Ergebnisdokumente COMPLIANCE RADAR AUDITIERUNG ORCHESTRIERUNG INDIVIDUALISIERUNG Projekterfahrungen ü Kritische, versicherungsrelevante Anwendungen können sicher in die Cloud übertragen werden ü Frühe Einbindung von Revision, Datenschutz und Sicherheit erspart späteren Umbau und damit verbundenen Mehraufwand ü Technische Abläufe sollten durchgängig automatisiert werden, um manuelle Fehler und Mehraufwände zu vermeiden ü Technische und organisatorische Maßnahmen müssen revisionssicher protokolliert werden, um den Aufwand für die Zertifizierung gering zu halten ü Eine detaillierte Roadmap schafft Verbindlichkeit, wann entsprechende Reifegrade erreicht werden können
  19. 19. direkt gruppe Hamburg I Griegstraße 75 I Haus 26 I 22763 Hamburg Köln I Holzmarkt 2 I 50676 Köln München I Landaubogen 1 I 81373 München Tel. +49 40 88155-0 I Fax +49 40 88155-5200 info@direkt-gruppe.de I www.direkt-gruppe.de www.youtube.com/user/direktgruppe www.facebook.com/direktgruppe www.direkt-gruppe.de/xing Vielen Dank für Ihre Aufmerksamkeit!

×