SlideShare ist ein Scribd-Unternehmen logo

Auswahlhilfe informationssicherheitssystem 2015dt

Iris Maaß
Iris Maaß

Which Informationmanagementsystem is right for my Organisation? Help to choose and get Basic Information on the different Systems available.

Technologie
1 von 20
Downloaden Sie, um offline zu lesen
Zertifizierung Iris Maaß W l h M t I f ti Zerifizierung Welches Management von Informations- Systemen ist das richtige für meine O i ti ?Organisation? 17.08.2015IM 2015 1
GliederungGliederung  Nutzen von Informationsmanagementsystemen  Bedeutung der Zertifizierung Ü Überblick über die zentralen Informationsmanagementsysteme  ISO 9001 Qualitätsmanagement mit Schwerpunkt IT  ISO 27001 Information Security Management System (ISMS) ISO 27001 Information Security Management System (ISMS)  ISO 20000-1 Service Management System (SMS)  ISO 22301 Business Continuity Management System (BCM)ISO 22301 Business Continuity Management System (BCM)  Entscheidungshilfe: Welche Norm ist die richtige für Ihr Unternehmen?  Argumente für die Zertifizierung durch TÜV NORD CERT  Ablauf der Zusammenarbeit mit uns  Weitere Infos 17.08.2015IM 2015 2
Nutzen von InformationsmanagementsystemenNutzen von Informationsmanagementsystemen  Qualität und Finanzen werden gemanagt, ebenso die wichtigen Ressourcen des Unternehmens wie Personal, benötigtes Material  Ebenso müssen die Datensicherheit, die Risiken und die Betriebskontinuität als wesentliche Ressource für dieBetriebskontinuität als wesentliche Ressource für die Unternehmung gemanagt werden.  Zunahme der Datenrisiken steigen proportional mit Verlagerung der Geschäfts ins Internet über online Shops und mit der Inanspruchnahme von externen Dienstleistern (Cloud Computing, Outsourcing)Outsourcing)  Die Hälfte aller Hackingangriffe weltweit richtet sich gegen Unternehmen mit maximal 2500 Mitarbeiter (nicht nur Großkonzerne sind betroffen) [Studie von Symantec]  Wer IT Dienste extern anbietet (B2B oder B2C) muss für Vertrauen in seine Dienste sorgenin seine Dienste sorgen 17.08.2015IM 2015 3
Bedeutung der ZertifizierungBedeutung der Zertifizierung  Überprüfung durch eine neutrale, unabhängige Instanz Ihres Managementsystems sorgt für Vertrauen im Markt U h f h lifi i t A dit i hl f B t Unsere mehrfach qualifizierten Auditoren weisen sowohl auf Best Practice (Stärken) in ihrem System hin als auch auf Schwachstellen, die Ihnen helfen, besser zu werden  Der Entschluss zur Zertifizierung signalisiert im Unternehmen, d Ih di U t d M t t i A lidass Ihnen die Umsetzung des Managementsystems ein Anliegen ist.  Der Termin für die Zertifizierung mobilisiert die erforderlichen Kräfte, um das Managementsystem vollständig und termingerecht i l ti (Üb i d d S h i h d )zu implementieren. (Überwindung des Schweinehunds) 17.08.2015IM 2015 4
Überblick der möglichen Standards mit IT BezugÜberblick der möglichen Standards mit IT Bezug Fokus ISO 9001 ISO 27001 ISO 20000-1 ISO 22301 Management- system Ja Ja Ja Ja Akkreditiert Ja Ja Ja JaAkkreditiert Ja Ja Ja Ja Handbuch, KVP, Ziele Ja Ja Ja Ja Aussage nach außen Qualität Datensicher- heit IT Service- qualität Business Continuity Kunden- allgemein Sicherheit Service Level Risiko-Kunden anforderung allgemein Sicherheit Service Level Agreements Risiko management Regula- torische Ja Ja - - torische Anfor- derungen/ DatenschutzDatenschutz 17.08.2015IM 2015 5
Überblick InformationsmanagementsystemeÜberblick Informationsmanagementsysteme  ISO 9001 bescheinigt den grundlegenden Aufbau eines Managementsystems basierend auf Kundenorientierung  Die Zertifizierung nach ISO 27001, 20000-1 und ISO 22301 stellen Spezialisierungen mit unterschiedlichen Schwerpunkten darSpezialisierungen mit unterschiedlichen Schwerpunkten dar.  ISO 27001: Sicherung der Informationen inklusive qualitative, betriebliche, Business Continuity und IT Service bezogene Anforderungen; besondere Betrachtung des Risikomanagements  Ist das wichtige Fundament für die IT Architektur  ISO 20000-1 ist die reine Sicht der IT-Services als Serviceprozess ISO 20000-1 ist die reine Sicht der IT-Services als Serviceprozess  ISO 22301 fokussiert auf den kontinuierlichen Geschäftsablauf und managt die kritischen Geschäftsprozesse; dabei werden die Risiken für Betriebsunterbrechungen identifiziert, untersucht und bewertet 17.08.2015IM 2015 6
ISO 27001 Information Security ManagementISO 27001 Information Security Management  Informationssicherheits-Managementsystem (ISMS)Informationssicherheits Managementsystem (ISMS) ist der Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die E t i kl Entwicklung,  Implementierung,  Durchführung Durchführung,  Überwachung,  Überprüfung,p g,  Instandhaltung  und Verbesserung der Informations- sicherheit abdeckt 17.08.2015IM 2015 7
ISO 27001 Information Security Management SystemISO 27001 Information Security Management System  Gute Informationen sind wichtige Wertschöpfungsfaktoren im Unternehmen  Vertraulichkeit, Verfügbarkeit und Integrität sollen der Informationsbewertung zu Grunde liegenInformationsbewertung zu Grunde liegen  Informationen sind Assets (kostbare Werte)  Ein ISMS (Informationssicherheitsmanagementsystem) wirkt( g y ) Risiken entgegen und gewährleistet Informationssicherheit  Neben den schädlichen Einflüssen werden auch gesetzliche, l t i h d t li h R l i ISMS b ü k i hti tregulatorische und vertragliche Regelungen im ISMS berücksichtigt  Zertifizierung ist für alle Organisationen und Unternehmen geeignet, für die IT und Daten einen besonderen Wert habengeeignet, für die IT und Daten einen besonderen Wert haben  Zertifizierung kann auch integrierte mit ISO 9001, ISO 20000-1 und/oder ISO 22301 erfolgen 17.08.2015IM 2015 8
ISO 27001 Information Security Management SystemISO 27001 Information Security Management System Vorteile der Zertifizierung nach ISO 27001:  Aufdecken von Schwachstellen beim Umgang mit Information  Sensibilisierung der Mitarbeiter und Steigerung des Ri ik b t iRisikobewusstseins  Minimierung von Risiken  Vertrauen in der Organisation bei Kunden Partnern undVertrauen in der Organisation, bei Kunden, Partnern und Investoren wird geschaffen 17.08.2015IM 2015 9
ISO 27001 native und BSI GrundschutzISO 27001 native und BSI Grundschutz  IT Sicherheit kann aus 2 Perspektiven betrachtet werden: Akkreditierte Zertifizierung nach ISO 27001 (ISO 27001 native) Ansatz des Bundesamtes für Informationssicherheit (BSI Grundschutz)Grundschutz) Managementbasierte Sicht (top down), businessorientierter Ansatz Komponentenbasierte Sicht (bottom up), behördenspezifischer Ansatz Verfahren zur Gewährleistung des ISMS werden von Organisation selbst bestimmt Bewertung nach Formales Verfahren nach BSI 100-2: Einführung aller Anforderungen nach dem BSI Grundschutzhandbuch (starrebestimmt, Bewertung nach Risikometodologie der Organisation dem BSI Grundschutzhandbuch (starre Checkliste) Zertifizierung durch akkreditierte Zertifizierungsstelle TÜV NORD CERT, Prüfung durch anerkannten und zugelassenen Auditor bei TÜV NORDZertifizierungsstelle TÜV NORD CERT, Zertifikat von TÜV NORD CERT zugelassenen Auditor bei TÜV NORD CERT; Zertifikat vom BSI Weltweit Anerkannt In Deutschland anerkannt 17.08.2015IM 2015 10
ISO 27001 native und BSI GrundschutzISO 27001 native und BSI Grundschutz  Beide Ansätze haben ihre Berechtigung  Wir empfehlen die ISO 27001 native, da sie auf Ihre Bedürfnisse in Ihrem Unterhemen zugeschnitten werden kann und das Zertifikat auch im internationalen Geschäftsverkehr anerkannt istauch im internationalen Geschäftsverkehr anerkannt ist  Die ISMS Auditoren bei TÜV NORD CERT haben beide Zulassungen und können Ihnen beide Prüfungen oder auch eine Kombination beider anbieten 17.08.2015IM 2015 11
ISO 20000-1 Service Management SystemISO 20000-1 Service Management System  International anerkannte Norm definierte die Anforderungen für ein professionelles IT-Service Management System  80% der IT Budgets sind direkt mit den Serviceprozessen verbunden  hohe Kostenrelevanz effizienter Prozesseverbunden  hohe Kostenrelevanz effizienter Prozesse  Ermöglicht Organisationen ihre Fähigkeit Services zu erbringen objektiv zu messen und vergleichbar zu machen (benchmarking)  Ausrichtung von IT Services (inhouse oder extern) an den Bedürfnissen der Kunden bzw. an den Erfordernissen des KerngeschäftsKerngeschäfts  Reduktion operativer Risiken und Einhaltung von vertraglichen Zusagen (Service Level Agreements)  Integration des Prozessbasierten Ansatz der ISO Systeme mit PDCA Zyklus und kontinuierlicher Verbesserung mit den Anforderungen an Serviceprozesse der ITAnforderungen an Serviceprozesse der IT 17.08.2015IM 2015 12
ISO 20000-1 Service Management SystemISO 20000-1 Service Management System  Die ISO 20000 hilft, eine hohe Servicequalität unter Kosteneffizienz und Risikobetrachtung zu sichern ProzessProzess- effizienz Absicherung von Risiken Kosten- effizienz Beste S iService- qualität 17.08.2015IM 2015 13
ISO 22301 Business Continuity ManagementISO 22301 Business Continuity Management  Vormals BS 25999-2  Es geht um die Aufrechterhaltung des Geschäftsbetriebes trotz schwerer Betriebsstörung (Stromausfall, Pandemie, politische Ereignisse)Ereignisse)  Risikoszenarien werden entwickelt, wie der reguläre Betrieb nach einer störungsbedingten Unterbrechung in kürzest möglicher Zeit wieder aufgenommen werden kann  Reduktionvon Schäden, Bedrohungen Z tifi i bi t t bhä i lifi i t A Effi i Zertifizierung bietet unabhängige, qualifizierte Aussage zu Effizienz und Belastbarkeit der Notfallpläne und der Wiederherstellung des Geschäftsbetriebs  Zusätzlich gibt es Infos in einem Code of Practice nach BS 25999- 1 (können Sie erhalten bei tsterzenbach@tuev-nord.de) 17.08.2015IM 2015 14
ISO 22301 Business Continuity ManagementISO 22301 Business Continuity Management  Zertifizierung empfohlen für größere Mittelständler und Großunternehmen  Insbesondere wichtig bei starker globaler Vernetzung mit Partnern, Lieferanten sowie bei ausgelagerten TeilprozessenLieferanten sowie bei ausgelagerten Teilprozessen  Zertifizierung bestätigt die Existenz eines Systems für kritische Geschäftsprozesse, um System in Ausnahmefällen fortzuführen  Sicherheit über die Validität des eigenen Risikomanagements  Positionierung als verlässlicher Geschäftspartner durch die Z tifi i h ßZertifizierung nach außen 17.08.2015IM 2015 15
Welche Norm ist die richtige für Ihr Unternehmen?Welche Norm ist die richtige für Ihr Unternehmen? ISO 9001 Fokus auf Kundenorientierung und Managementsystem allgemein  Einstieg ins Thema Managementsysteme ISO 27001 Für alle Firmen, bei denen Datenhandling eine Rolle Spiel  Dienstleister, IT Firmen, Banken + Versicherungen, H d l fi öff tli h Ei i htHandelsfirmen, öffentliche Einrichtungen ISO 20000-1 IT Service Dienstleister, Servicecenter innerhalb von O i tiOrganisationen ISO 22301 Mitt l tä dl d G ßfi b 2000 Mit b itISO 22301 Mittelständler oder Großfirmen ab 2000 Mitarbeiter Einrichtungen der öffentlichen Hand (Kraftwerke), alle Organisationen bei denen ein kontinuierlicher Geschäftsbetrieb von existenzieller Bedeutung ist 17.08.2015IM 2015 Geschäftsbetrieb von existenzieller Bedeutung ist 16
Gründe für die akkreditierte ZertifizierungGründe für die akkreditierte Zertifizierung  Zahlreiche freiwillige Gütesiegel überschwemmen den Markt  Die Geltungsbereiche sind in der Regel auf den dt. Markt begrenzt  Hinter den freiwilligen Gütesiegeln stehen lediglich Hausstandards (k i kk diti t Üb h )(keine akkreditierte Überwachung) Vorteile der internationale Normen aus dieser Präsentation:Vorteile der internationale Normen aus dieser Präsentation:  Weltweite Anerkennung (International Standard Organisation)  Zertifizierer TÜV NORD CERT ist Akkreditiert  Überwachung der Zertifizierung durch den Akkreditierer (DAkkS; deutsche Akkreditierungsstelle, die die Überwachung für Deutschland per Gesetz vornimmt)Deutschland per Gesetz vornimmt)  International wird durch die Akkreditierungsstellen in Europa und weltweit in jedem Land die Zertifizierung nach gleichen Regelnj g g g überwacht  die Zertifizierung nach ISO Normen ist fundierter 17.08.2015IM 2015 17
Ablauf der Zusammenarbeit mit unsAblauf der Zusammenarbeit mit uns 1. Unverbindliches Angebot durch unseren Vertrieb 2. Bei Annahme des Angebots 3. Beauftragung eines passenden Auditors 4. Sie erhalten eine schriftliche Bestätigung 5. Kontaktaufnahme des Auditors mit Ihnen und Absprache eines Zeitrahmens für die Zertifizierung Klärung offener FragenZeitrahmens für die Zertifizierung, Klärung offener Fragen 6. Versand eines Auditplans ca. 4 Wochen vor dem Audittermin 7. Stage 1 bei Erstzertifizierung zur Feststellung derg g g Zertifizierungsfähigkeit Ihrer Organisation mit Bericht 8. Stage 2 Audit in Ihrem Unternehmen mit Bericht 9. Zertifizierungsentscheidung in der Zertifizierungsstelle 10. Erstellung eines Zertifikats bei positivem Ausgang des Audits 17.08.2015IM 2015 18
KontaktKontakt TÜV NORD CERT GmbH Iris Maaß Manager for International Business Development Mail: imaass@tuev-nord.de Fon: +49 (0)511 9986 2660 17.08.2015IM 2015 19
Vielen Dank für Ihre Aufmerksamkeit. 17.08.2015IM 2015 20

Empfohlen

Information Security Management (ISMS) with QSEC
Information Security Management (ISMS) with QSECInformation Security Management (ISMS) with QSEC
Information Security Management (ISMS) with QSECWMC GmbH
 
Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter MittelstandDahamoo GmbH
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Holliday Consulting
 
Datenmanagement
DatenmanagementDatenmanagement
DatenmanagementUniserv
 
Infos Zum Thema Reifegradentwicklung V1 1
Infos Zum Thema Reifegradentwicklung V1 1Infos Zum Thema Reifegradentwicklung V1 1
Infos Zum Thema Reifegradentwicklung V1 1brox IT Solutions GmbH
 
Governance, Risk & Compliance
Governance, Risk & ComplianceGovernance, Risk & Compliance
Governance, Risk & ComplianceUwe Rydzek
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserDigicomp Academy AG
 

Empfohlen

Information Security Management (ISMS) with QSEC
Information Security Management (ISMS) with QSECInformation Security Management (ISMS) with QSEC
Information Security Management (ISMS) with QSECWMC GmbH
 
Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter MittelstandDahamoo GmbH
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Holliday Consulting
 
Datenmanagement
DatenmanagementDatenmanagement
DatenmanagementUniserv
 
Infos Zum Thema Reifegradentwicklung V1 1
Infos Zum Thema Reifegradentwicklung V1 1Infos Zum Thema Reifegradentwicklung V1 1
Infos Zum Thema Reifegradentwicklung V1 1brox IT Solutions GmbH
 
Governance, Risk & Compliance
Governance, Risk & ComplianceGovernance, Risk & Compliance
Governance, Risk & ComplianceUwe Rydzek
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserDigicomp Academy AG
 
ISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMSISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMSbhoeck
 
Cobit
CobitCobit
CobitMonica Carrion
 
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePointAufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePointIOZ AG
 
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...Marco Geuer
 
Prozessmanagement Bei Banken und Versicherungen
Prozessmanagement Bei Banken und VersicherungenProzessmanagement Bei Banken und Versicherungen
Prozessmanagement Bei Banken und VersicherungenMarina Meinelt
 
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiMatthias Leisi
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Sopra Steria Consulting
 
Bereich Qualität
Bereich QualitätBereich Qualität
Bereich QualitätBITE GmbH
 
Revisoren und hacker
Revisoren und hackerRevisoren und hacker
Revisoren und hackerDigicomp Academy AG
 
Datenqualität und Normen
Datenqualität und NormenDatenqualität und Normen
Datenqualität und NormenMarco Geuer
 
ISO 9001:2015: Praktische Inputs zur Integration in Office 365
ISO 9001:2015: Praktische Inputs zur Integration in Office 365ISO 9001:2015: Praktische Inputs zur Integration in Office 365
ISO 9001:2015: Praktische Inputs zur Integration in Office 365IOZ AG
 
Benötigt IT Service Management einen kulturellen Wandel? Oder: warum ITSM-Pro...
Benötigt IT Service Management einen kulturellen Wandel? Oder: warum ITSM-Pro...Benötigt IT Service Management einen kulturellen Wandel? Oder: warum ITSM-Pro...
Benötigt IT Service Management einen kulturellen Wandel? Oder: warum ITSM-Pro...Digicomp Academy AG
 
Tisson & Company IT Management - IT-Controlling
Tisson & Company IT Management - IT-ControllingTisson & Company IT Management - IT-Controlling
Tisson & Company IT Management - IT-ControllingHorst Tisson
 
Fit für Solvency II – wie man Datenqualität messbar macht
Fit für Solvency II – wie man Datenqualität messbar machtFit für Solvency II – wie man Datenqualität messbar macht
Fit für Solvency II – wie man Datenqualität messbar machtPPI AG
 
Trusted Shops und LeanIX Enterprise Architektur Management Success Story
Trusted Shops und LeanIX Enterprise Architektur Management Success StoryTrusted Shops und LeanIX Enterprise Architektur Management Success Story
Trusted Shops und LeanIX Enterprise Architektur Management Success StoryLeanIX GmbH
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMichael Hettich
 
Wertschöpfung durch ITIL®-Prozesse
Wertschöpfung durch ITIL®-ProzesseWertschöpfung durch ITIL®-Prozesse
Wertschöpfung durch ITIL®-ProzesseDigicomp Academy AG
 
Mag. Michael Sifkovits (USU Austria)
Mag. Michael Sifkovits (USU Austria)Mag. Michael Sifkovits (USU Austria)
Mag. Michael Sifkovits (USU Austria)Praxistage
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMOPTIMAbit GmbH
 
Einführung in die Compliance-Begriffswelt
Einführung in die Compliance-BegriffsweltEinführung in die Compliance-Begriffswelt
Einführung in die Compliance-BegriffsweltVerband Österreichischer Wirtschaftsakademiker
 

Weitere ähnliche Inhalte

Ähnlich wie Auswahlhilfe informationssicherheitssystem 2015dt

ISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMSISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMSbhoeck
 
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePointAufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePointIOZ AG
 
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...Marco Geuer
 
Prozessmanagement Bei Banken und Versicherungen
Prozessmanagement Bei Banken und VersicherungenProzessmanagement Bei Banken und Versicherungen
Prozessmanagement Bei Banken und VersicherungenMarina Meinelt
 
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiMatthias Leisi
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Sopra Steria Consulting
 
Bereich Qualität
Bereich QualitätBereich Qualität
Bereich QualitätBITE GmbH
 
Datenqualität und Normen
Datenqualität und NormenDatenqualität und Normen
Datenqualität und NormenMarco Geuer
 
ISO 9001:2015: Praktische Inputs zur Integration in Office 365
ISO 9001:2015: Praktische Inputs zur Integration in Office 365ISO 9001:2015: Praktische Inputs zur Integration in Office 365
ISO 9001:2015: Praktische Inputs zur Integration in Office 365IOZ AG
 
Benötigt IT Service Management einen kulturellen Wandel? Oder: warum ITSM-Pro...
Benötigt IT Service Management einen kulturellen Wandel? Oder: warum ITSM-Pro...Benötigt IT Service Management einen kulturellen Wandel? Oder: warum ITSM-Pro...
Benötigt IT Service Management einen kulturellen Wandel? Oder: warum ITSM-Pro...Digicomp Academy AG
 
Tisson & Company IT Management - IT-Controlling
Tisson & Company IT Management - IT-ControllingTisson & Company IT Management - IT-Controlling
Tisson & Company IT Management - IT-ControllingHorst Tisson
 
Fit für Solvency II – wie man Datenqualität messbar macht
Fit für Solvency II – wie man Datenqualität messbar machtFit für Solvency II – wie man Datenqualität messbar macht
Fit für Solvency II – wie man Datenqualität messbar machtPPI AG
 
Trusted Shops und LeanIX Enterprise Architektur Management Success Story
Trusted Shops und LeanIX Enterprise Architektur Management Success StoryTrusted Shops und LeanIX Enterprise Architektur Management Success Story
Trusted Shops und LeanIX Enterprise Architektur Management Success StoryLeanIX GmbH
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMichael Hettich
 
Wertschöpfung durch ITIL®-Prozesse
Wertschöpfung durch ITIL®-ProzesseWertschöpfung durch ITIL®-Prozesse
Wertschöpfung durch ITIL®-ProzesseDigicomp Academy AG
 
Mag. Michael Sifkovits (USU Austria)
Mag. Michael Sifkovits (USU Austria)Mag. Michael Sifkovits (USU Austria)
Mag. Michael Sifkovits (USU Austria)Praxistage
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMOPTIMAbit GmbH
 

Ähnlich wie Auswahlhilfe informationssicherheitssystem 2015dt (20)

ISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMSISO 27001 und die Einführung eines ISMS
ISO 27001 und die Einführung eines ISMS
 
Cobit
CobitCobit
Cobit
 
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePointAufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
 
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
 
Prozessmanagement Bei Banken und Versicherungen
Prozessmanagement Bei Banken und VersicherungenProzessmanagement Bei Banken und Versicherungen
Prozessmanagement Bei Banken und Versicherungen
 
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting
 
Bereich Qualität
Bereich QualitätBereich Qualität
Bereich Qualität
 
Revisoren und hacker
Revisoren und hackerRevisoren und hacker
Revisoren und hacker
 
Datenqualität und Normen
Datenqualität und NormenDatenqualität und Normen
Datenqualität und Normen
 
ISO 9001:2015: Praktische Inputs zur Integration in Office 365
ISO 9001:2015: Praktische Inputs zur Integration in Office 365ISO 9001:2015: Praktische Inputs zur Integration in Office 365
ISO 9001:2015: Praktische Inputs zur Integration in Office 365
 
Benötigt IT Service Management einen kulturellen Wandel? Oder: warum ITSM-Pro...
Benötigt IT Service Management einen kulturellen Wandel? Oder: warum ITSM-Pro...Benötigt IT Service Management einen kulturellen Wandel? Oder: warum ITSM-Pro...
Benötigt IT Service Management einen kulturellen Wandel? Oder: warum ITSM-Pro...
 
Tisson & Company IT Management - IT-Controlling
Tisson & Company IT Management - IT-ControllingTisson & Company IT Management - IT-Controlling
Tisson & Company IT Management - IT-Controlling
 
Fit für Solvency II – wie man Datenqualität messbar macht
Fit für Solvency II – wie man Datenqualität messbar machtFit für Solvency II – wie man Datenqualität messbar macht
Fit für Solvency II – wie man Datenqualität messbar macht
 
Trusted Shops und LeanIX Enterprise Architektur Management Success Story
Trusted Shops und LeanIX Enterprise Architektur Management Success StoryTrusted Shops und LeanIX Enterprise Architektur Management Success Story
Trusted Shops und LeanIX Enterprise Architektur Management Success Story
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -Security
 
Wertschöpfung durch ITIL®-Prozesse
Wertschöpfung durch ITIL®-ProzesseWertschöpfung durch ITIL®-Prozesse
Wertschöpfung durch ITIL®-Prozesse
 
Mag. Michael Sifkovits (USU Austria)
Mag. Michael Sifkovits (USU Austria)Mag. Michael Sifkovits (USU Austria)
Mag. Michael Sifkovits (USU Austria)
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
 
Einführung in die Compliance-Begriffswelt
Einführung in die Compliance-BegriffsweltEinführung in die Compliance-Begriffswelt
Einführung in die Compliance-Begriffswelt
 

Auswahlhilfe informationssicherheitssystem 2015dt

  • 1. Zertifizierung Iris Maaß W l h M t I f ti Zerifizierung Welches Management von Informations- Systemen ist das richtige für meine O i ti ?Organisation? 17.08.2015IM 2015 1
  • 2. GliederungGliederung  Nutzen von Informationsmanagementsystemen  Bedeutung der Zertifizierung Ü Überblick über die zentralen Informationsmanagementsysteme  ISO 9001 Qualitätsmanagement mit Schwerpunkt IT  ISO 27001 Information Security Management System (ISMS) ISO 27001 Information Security Management System (ISMS)  ISO 20000-1 Service Management System (SMS)  ISO 22301 Business Continuity Management System (BCM)ISO 22301 Business Continuity Management System (BCM)  Entscheidungshilfe: Welche Norm ist die richtige für Ihr Unternehmen?  Argumente für die Zertifizierung durch TÜV NORD CERT  Ablauf der Zusammenarbeit mit uns  Weitere Infos 17.08.2015IM 2015 2
  • 3. Nutzen von InformationsmanagementsystemenNutzen von Informationsmanagementsystemen  Qualität und Finanzen werden gemanagt, ebenso die wichtigen Ressourcen des Unternehmens wie Personal, benötigtes Material  Ebenso müssen die Datensicherheit, die Risiken und die Betriebskontinuität als wesentliche Ressource für dieBetriebskontinuität als wesentliche Ressource für die Unternehmung gemanagt werden.  Zunahme der Datenrisiken steigen proportional mit Verlagerung der Geschäfts ins Internet über online Shops und mit der Inanspruchnahme von externen Dienstleistern (Cloud Computing, Outsourcing)Outsourcing)  Die Hälfte aller Hackingangriffe weltweit richtet sich gegen Unternehmen mit maximal 2500 Mitarbeiter (nicht nur Großkonzerne sind betroffen) [Studie von Symantec]  Wer IT Dienste extern anbietet (B2B oder B2C) muss für Vertrauen in seine Dienste sorgenin seine Dienste sorgen 17.08.2015IM 2015 3
  • 4. Bedeutung der ZertifizierungBedeutung der Zertifizierung  Überprüfung durch eine neutrale, unabhängige Instanz Ihres Managementsystems sorgt für Vertrauen im Markt U h f h lifi i t A dit i hl f B t Unsere mehrfach qualifizierten Auditoren weisen sowohl auf Best Practice (Stärken) in ihrem System hin als auch auf Schwachstellen, die Ihnen helfen, besser zu werden  Der Entschluss zur Zertifizierung signalisiert im Unternehmen, d Ih di U t d M t t i A lidass Ihnen die Umsetzung des Managementsystems ein Anliegen ist.  Der Termin für die Zertifizierung mobilisiert die erforderlichen Kräfte, um das Managementsystem vollständig und termingerecht i l ti (Üb i d d S h i h d )zu implementieren. (Überwindung des Schweinehunds) 17.08.2015IM 2015 4
  • 5. Überblick der möglichen Standards mit IT BezugÜberblick der möglichen Standards mit IT Bezug Fokus ISO 9001 ISO 27001 ISO 20000-1 ISO 22301 Management- system Ja Ja Ja Ja Akkreditiert Ja Ja Ja JaAkkreditiert Ja Ja Ja Ja Handbuch, KVP, Ziele Ja Ja Ja Ja Aussage nach außen Qualität Datensicher- heit IT Service- qualität Business Continuity Kunden- allgemein Sicherheit Service Level Risiko-Kunden anforderung allgemein Sicherheit Service Level Agreements Risiko management Regula- torische Ja Ja - - torische Anfor- derungen/ DatenschutzDatenschutz 17.08.2015IM 2015 5
  • 6. Überblick InformationsmanagementsystemeÜberblick Informationsmanagementsysteme  ISO 9001 bescheinigt den grundlegenden Aufbau eines Managementsystems basierend auf Kundenorientierung  Die Zertifizierung nach ISO 27001, 20000-1 und ISO 22301 stellen Spezialisierungen mit unterschiedlichen Schwerpunkten darSpezialisierungen mit unterschiedlichen Schwerpunkten dar.  ISO 27001: Sicherung der Informationen inklusive qualitative, betriebliche, Business Continuity und IT Service bezogene Anforderungen; besondere Betrachtung des Risikomanagements  Ist das wichtige Fundament für die IT Architektur  ISO 20000-1 ist die reine Sicht der IT-Services als Serviceprozess ISO 20000-1 ist die reine Sicht der IT-Services als Serviceprozess  ISO 22301 fokussiert auf den kontinuierlichen Geschäftsablauf und managt die kritischen Geschäftsprozesse; dabei werden die Risiken für Betriebsunterbrechungen identifiziert, untersucht und bewertet 17.08.2015IM 2015 6
  • 7. ISO 27001 Information Security ManagementISO 27001 Information Security Management  Informationssicherheits-Managementsystem (ISMS)Informationssicherheits Managementsystem (ISMS) ist der Teil des gesamten Managementsystems, der auf der Basis eines Geschäftsrisikoansatzes die E t i kl Entwicklung,  Implementierung,  Durchführung Durchführung,  Überwachung,  Überprüfung,p g,  Instandhaltung  und Verbesserung der Informations- sicherheit abdeckt 17.08.2015IM 2015 7
  • 8. ISO 27001 Information Security Management SystemISO 27001 Information Security Management System  Gute Informationen sind wichtige Wertschöpfungsfaktoren im Unternehmen  Vertraulichkeit, Verfügbarkeit und Integrität sollen der Informationsbewertung zu Grunde liegenInformationsbewertung zu Grunde liegen  Informationen sind Assets (kostbare Werte)  Ein ISMS (Informationssicherheitsmanagementsystem) wirkt( g y ) Risiken entgegen und gewährleistet Informationssicherheit  Neben den schädlichen Einflüssen werden auch gesetzliche, l t i h d t li h R l i ISMS b ü k i hti tregulatorische und vertragliche Regelungen im ISMS berücksichtigt  Zertifizierung ist für alle Organisationen und Unternehmen geeignet, für die IT und Daten einen besonderen Wert habengeeignet, für die IT und Daten einen besonderen Wert haben  Zertifizierung kann auch integrierte mit ISO 9001, ISO 20000-1 und/oder ISO 22301 erfolgen 17.08.2015IM 2015 8
  • 9. ISO 27001 Information Security Management SystemISO 27001 Information Security Management System Vorteile der Zertifizierung nach ISO 27001:  Aufdecken von Schwachstellen beim Umgang mit Information  Sensibilisierung der Mitarbeiter und Steigerung des Ri ik b t iRisikobewusstseins  Minimierung von Risiken  Vertrauen in der Organisation bei Kunden Partnern undVertrauen in der Organisation, bei Kunden, Partnern und Investoren wird geschaffen 17.08.2015IM 2015 9
  • 10. ISO 27001 native und BSI GrundschutzISO 27001 native und BSI Grundschutz  IT Sicherheit kann aus 2 Perspektiven betrachtet werden: Akkreditierte Zertifizierung nach ISO 27001 (ISO 27001 native) Ansatz des Bundesamtes für Informationssicherheit (BSI Grundschutz)Grundschutz) Managementbasierte Sicht (top down), businessorientierter Ansatz Komponentenbasierte Sicht (bottom up), behördenspezifischer Ansatz Verfahren zur Gewährleistung des ISMS werden von Organisation selbst bestimmt Bewertung nach Formales Verfahren nach BSI 100-2: Einführung aller Anforderungen nach dem BSI Grundschutzhandbuch (starrebestimmt, Bewertung nach Risikometodologie der Organisation dem BSI Grundschutzhandbuch (starre Checkliste) Zertifizierung durch akkreditierte Zertifizierungsstelle TÜV NORD CERT, Prüfung durch anerkannten und zugelassenen Auditor bei TÜV NORDZertifizierungsstelle TÜV NORD CERT, Zertifikat von TÜV NORD CERT zugelassenen Auditor bei TÜV NORD CERT; Zertifikat vom BSI Weltweit Anerkannt In Deutschland anerkannt 17.08.2015IM 2015 10
  • 11. ISO 27001 native und BSI GrundschutzISO 27001 native und BSI Grundschutz  Beide Ansätze haben ihre Berechtigung  Wir empfehlen die ISO 27001 native, da sie auf Ihre Bedürfnisse in Ihrem Unterhemen zugeschnitten werden kann und das Zertifikat auch im internationalen Geschäftsverkehr anerkannt istauch im internationalen Geschäftsverkehr anerkannt ist  Die ISMS Auditoren bei TÜV NORD CERT haben beide Zulassungen und können Ihnen beide Prüfungen oder auch eine Kombination beider anbieten 17.08.2015IM 2015 11
  • 12. ISO 20000-1 Service Management SystemISO 20000-1 Service Management System  International anerkannte Norm definierte die Anforderungen für ein professionelles IT-Service Management System  80% der IT Budgets sind direkt mit den Serviceprozessen verbunden  hohe Kostenrelevanz effizienter Prozesseverbunden  hohe Kostenrelevanz effizienter Prozesse  Ermöglicht Organisationen ihre Fähigkeit Services zu erbringen objektiv zu messen und vergleichbar zu machen (benchmarking)  Ausrichtung von IT Services (inhouse oder extern) an den Bedürfnissen der Kunden bzw. an den Erfordernissen des KerngeschäftsKerngeschäfts  Reduktion operativer Risiken und Einhaltung von vertraglichen Zusagen (Service Level Agreements)  Integration des Prozessbasierten Ansatz der ISO Systeme mit PDCA Zyklus und kontinuierlicher Verbesserung mit den Anforderungen an Serviceprozesse der ITAnforderungen an Serviceprozesse der IT 17.08.2015IM 2015 12
  • 13. ISO 20000-1 Service Management SystemISO 20000-1 Service Management System  Die ISO 20000 hilft, eine hohe Servicequalität unter Kosteneffizienz und Risikobetrachtung zu sichern ProzessProzess- effizienz Absicherung von Risiken Kosten- effizienz Beste S iService- qualität 17.08.2015IM 2015 13
  • 14. ISO 22301 Business Continuity ManagementISO 22301 Business Continuity Management  Vormals BS 25999-2  Es geht um die Aufrechterhaltung des Geschäftsbetriebes trotz schwerer Betriebsstörung (Stromausfall, Pandemie, politische Ereignisse)Ereignisse)  Risikoszenarien werden entwickelt, wie der reguläre Betrieb nach einer störungsbedingten Unterbrechung in kürzest möglicher Zeit wieder aufgenommen werden kann  Reduktionvon Schäden, Bedrohungen Z tifi i bi t t bhä i lifi i t A Effi i Zertifizierung bietet unabhängige, qualifizierte Aussage zu Effizienz und Belastbarkeit der Notfallpläne und der Wiederherstellung des Geschäftsbetriebs  Zusätzlich gibt es Infos in einem Code of Practice nach BS 25999- 1 (können Sie erhalten bei tsterzenbach@tuev-nord.de) 17.08.2015IM 2015 14
  • 15. ISO 22301 Business Continuity ManagementISO 22301 Business Continuity Management  Zertifizierung empfohlen für größere Mittelständler und Großunternehmen  Insbesondere wichtig bei starker globaler Vernetzung mit Partnern, Lieferanten sowie bei ausgelagerten TeilprozessenLieferanten sowie bei ausgelagerten Teilprozessen  Zertifizierung bestätigt die Existenz eines Systems für kritische Geschäftsprozesse, um System in Ausnahmefällen fortzuführen  Sicherheit über die Validität des eigenen Risikomanagements  Positionierung als verlässlicher Geschäftspartner durch die Z tifi i h ßZertifizierung nach außen 17.08.2015IM 2015 15
  • 16. Welche Norm ist die richtige für Ihr Unternehmen?Welche Norm ist die richtige für Ihr Unternehmen? ISO 9001 Fokus auf Kundenorientierung und Managementsystem allgemein  Einstieg ins Thema Managementsysteme ISO 27001 Für alle Firmen, bei denen Datenhandling eine Rolle Spiel  Dienstleister, IT Firmen, Banken + Versicherungen, H d l fi öff tli h Ei i htHandelsfirmen, öffentliche Einrichtungen ISO 20000-1 IT Service Dienstleister, Servicecenter innerhalb von O i tiOrganisationen ISO 22301 Mitt l tä dl d G ßfi b 2000 Mit b itISO 22301 Mittelständler oder Großfirmen ab 2000 Mitarbeiter Einrichtungen der öffentlichen Hand (Kraftwerke), alle Organisationen bei denen ein kontinuierlicher Geschäftsbetrieb von existenzieller Bedeutung ist 17.08.2015IM 2015 Geschäftsbetrieb von existenzieller Bedeutung ist 16
  • 17. Gründe für die akkreditierte ZertifizierungGründe für die akkreditierte Zertifizierung  Zahlreiche freiwillige Gütesiegel überschwemmen den Markt  Die Geltungsbereiche sind in der Regel auf den dt. Markt begrenzt  Hinter den freiwilligen Gütesiegeln stehen lediglich Hausstandards (k i kk diti t Üb h )(keine akkreditierte Überwachung) Vorteile der internationale Normen aus dieser Präsentation:Vorteile der internationale Normen aus dieser Präsentation:  Weltweite Anerkennung (International Standard Organisation)  Zertifizierer TÜV NORD CERT ist Akkreditiert  Überwachung der Zertifizierung durch den Akkreditierer (DAkkS; deutsche Akkreditierungsstelle, die die Überwachung für Deutschland per Gesetz vornimmt)Deutschland per Gesetz vornimmt)  International wird durch die Akkreditierungsstellen in Europa und weltweit in jedem Land die Zertifizierung nach gleichen Regelnj g g g überwacht  die Zertifizierung nach ISO Normen ist fundierter 17.08.2015IM 2015 17
  • 18. Ablauf der Zusammenarbeit mit unsAblauf der Zusammenarbeit mit uns 1. Unverbindliches Angebot durch unseren Vertrieb 2. Bei Annahme des Angebots 3. Beauftragung eines passenden Auditors 4. Sie erhalten eine schriftliche Bestätigung 5. Kontaktaufnahme des Auditors mit Ihnen und Absprache eines Zeitrahmens für die Zertifizierung Klärung offener FragenZeitrahmens für die Zertifizierung, Klärung offener Fragen 6. Versand eines Auditplans ca. 4 Wochen vor dem Audittermin 7. Stage 1 bei Erstzertifizierung zur Feststellung derg g g Zertifizierungsfähigkeit Ihrer Organisation mit Bericht 8. Stage 2 Audit in Ihrem Unternehmen mit Bericht 9. Zertifizierungsentscheidung in der Zertifizierungsstelle 10. Erstellung eines Zertifikats bei positivem Ausgang des Audits 17.08.2015IM 2015 18
  • 19. KontaktKontakt TÜV NORD CERT GmbH Iris Maaß Manager for International Business Development Mail: imaass@tuev-nord.de Fon: +49 (0)511 9986 2660 17.08.2015IM 2015 19
  • 20. Vielen Dank für Ihre Aufmerksamkeit. 17.08.2015IM 2015 20