SlideShare ist ein Scribd-Unternehmen logo
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 1
Wissen Sie, wie es um
Ihre IT-Sicherheit steht?
Aktuelles zu ISO 27001/2
Andreas Wisler
GO OUT Production GmbH
Dipl. Ing FH, CISSP, CISA, ISO 27001 Lead Auditor
www.goSecurity.ch / wisler@goout.ch
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 2
Standards und Normen
• Ziel von Standards:
– beschreiben Modelle, anhand derer ein
Sicherheits-management systematisch
Bedeutung aufgebaut und weiterentwickelt
werden kann,
– zeigen auf, welche organisatorischen und
technischen Massnahmen für
Informationssicherheit erforderlich sind, und
– liefern Kriterien, anhand derer überprüft werden
kann, ob die umgesetzten Massnahmen
angemessen sind und weithin anerkannten
Massstäben genügen.
Standards und Normen
Information und Kommunikation
Compliance Assurance
Risikomanagement
Governance
Erwartungen
der Anteilseigner
Geschäftsstrategie
Erwartungen
des Marktes
Technologische
Entwicklungen
Rechtliche, regulative
Anforderungen
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 3
ISO 27000 - Familie Quelle: kes.info
ISO 27001
• Aufbau
InformationsSicherheitsManagementSystem
– Festlegung und Abgrenzung des Bereichs
– Erstellen einer Leitlinie, die auf die Werte, Prozesse,
Aufgaben und technischen Gegebenheiten bezogen ist,
– Auswahl einer Risikoanalysemethode zur systematischen
Beurteilung der Risiken und Sicherheitsanforderungen.
Entwicklung von Kriterien für die Behandlung der Risiken
(einschliesslich für deren Akzeptanz),
– Identifizieren und Bewerten der Sicherheitsrisiken,
– Auswahl von effektiven und wirtschaftlich angemessenen
Massnahmen zur Abwehr der Risiken,
– Auswahl von Methoden zur Überprüfung der Wirksamkeit
der Massnahmen.
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 4
ISO 27001
• Erfolgreich umgesetzt, wenn
– es eine definierte Leitlinie gibt, Ziele und Massnahmen an den
Geschäftszielen orientiert sind und das Vorgehen zum
Management der Informationssicherheit der Unternehmenskultur
angepasst ist,
– für Informationssicherheitsmanagement ein Budget zugeteilt
wurde und die Aktivitäten zur Informationssicherheit von der
Leitung (Topmanagement) unterstützt werden,
– in der Organisation das Verständnis für die Anforderungen an
Informationssicherheit verbreitet ist, Risikoanalysen durchgeführt
und Notfallvorsorge betrieben wird,
– die Benutzer hinreichend für Informationssicherheit sensibilisiert
und geschult sind und die geltenden Sicherheitsvorgaben und
Regelungen kennen sowie
– ein Sicherheitsprozess mit einer regelmässig wiederholten
Beurteilung und Verbesserung des ISMS abläuft.
ISO 27001
• Erfolgreich umgesetzt, wenn
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 5
ISO 27001:2013
• 4 Context of the organization
– 4.1 Understanding the organization and its context
– 4.2 Understanding the needs and expections of interested parties
– 4.3 Determining the scope of the ISMS
– 4.4 ISMS
• 5 Leadership
– 5.1 Leadership and commitment
– 5.2 Policy
– 5.3 Organizational roles, responsibilities and authorities
• 6 Planning
– 6.1 Actions to address risks and opportunities
– 6.2 Information security objectives and planning to achieve them
ISO 27001:2013
• 7 Support
– 7.1 Resources
– 7.2 Competence
– 7.3 Awareness
– 7.4 Communication
– 7.5 Documented information
• 8 Operation
– 8.1 Operational planning and control
– 8.2 Information security risk assessment
– 8.3 Information security risk treatment
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 6
ISO 27001:2013
• 9 Performance evaluation
– 9.1 Monitoring, measurement, analysis and evaluation
– 9.2 Internal audit
– 9.3 Management review
• 10 Improvement
– 10.1 Nonconformity and corrective action
– 10.2 Continual improvement
ISO 27001 : 2005 zu 2013
Quelle: kes.info
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 7
ISO 27002:2013
• ISO 27002 enthält diverse
Kontrollmechanismen:
– 14 Überwachungsbereiche (11)
– 114 Sicherheitsmassnahmen (133)
• Bereiche:
– 5 Information security policies
• 5.1 Management direction for information security
– 6 Organization of information security
• 6.1 Internal organization
• 6.2 Mobile devices and teleworking
– 7 Human resource security
• 7.1 Prior to employment
• 7.2 During employment
• 7.3 Termination and change of employment
ISO 27002:2013
• Bereiche (Fortsetzung)
– 8 Asset management
• 8.1 Responsibility for assets
• 8.2 Information classification
• 8.3 Media handling
– 9 Access control
• 9.1 Business requirements of access control
• 9.2 User access management
• 9.3 User responsibilities
• 9.4 System and application access control
– 10 Cryptography
• 10.1 Cryptographic controls
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 8
ISO 27002:2013
• Bereiche (Fortsetzung)
– 11 Physical and environmental security
• 11.1 Secure areas
• 11.2 Equipment
– 12 Operations security
• 12.1 Operational procedures and responsibilities
• 12.2 Protection from malware
• 12.3 Backup
• 12.4 Logging and monitoring
• 12.5 Control of operational software
• 12.6 Technical vulnerability management
• 12.7 Information systems audit considerations
ISO 27002:2013
• Bereiche (Fortsetzung)
– 13 Communications security
• 13.1 Network security management
• 13.2 Information transfer
– 14 System acquisition, development and maintenance
• 14.1 Security requirements of information systems
• 14.2 Security in development and support processes
• 14.3 Test data
– 15 Supplier relationships
• 15.1 Information security in supplier relationships
• 15.2 Supplier service delivery management
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 9
ISO 27002:2013
• Bereiche (Fortsetzung)
– 16 Information security incident management
• 16.1 Management of information security incidents and
improvements
– 17 Information security aspects of BCM
• 17.1 Information security continuity
• 17.2 Redundancies
– 18 Compliance
• 18.1 Compliance with legal and contractual requirements
• 18.2 Information security reviews
ISMS 27001 : Anpassungen
• Mehraufwand bei:
– ISMS-Measurement und -Improvement werden intensiv
formuliert und gefordert und sind für eine Zertifizierung
definitiv nachzuweisen.
– Die Beteiligung des Managements wird stärker
eingefordert und geht über einen "Letter of Intent" hinaus.
– Neben negativen Risiken sind nun auch positive Risiken
(bzw. Chancen) zu betrachten.
– Nunmehr müssen alle Personen im Anwendungsbereich
Gegenstand von klaren Rollenbeschreibungen und
Awareness-Massnahmen sein (zuvor genügte es, nur die
Rolleninhaber der ISMS-Organisation zu betrachten).
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 10
BSI-Standard 100-1
• Vollständig kompatibel zu ISO 27001:2005
• leicht verständliche und systematische
Anleitung, unabhängig davon, mit welcher
Methode die Anforderungen umgesetzt
werden
• Kostenlos Downloadbar
BSI-Standard 100-1
• ISMS-Komponenten:
– Management-Prinzipien
– Ressourcen
– Mitarbeiter
– Sicherheitsprozess
• Leitlinie zur Informationssicherheit, in der die
Sicherheitsziele und die Strategie zu ihrer Umsetzung
dokumentiert sind
• Sicherheitskonzept
• Informationssicherheitsorganisation
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 11
BSI-Standard 100-1
• Aufgaben und Pflichten des Managements
– Übernahme der Gesamtverantwortung für
Informationssicherheit
– Informationssicherheit integrieren
– Informationssicherheit steuern und
aufrechterhalten
– Erreichbare Ziele setzen
– Sicherheitskosten gegen Nutzen abwägen
– Vorbildfunktion
BSI-Standard 100-1
• Aufrechterhaltung der Informationssicherheit
und kontinuierliche Verbesserung
– Pflicht für «interne» Audits
– Durchführung von Übungen und
Sensibilisierungsmassnahmen
– Einbindung bei Änderungen
• Kommunikation und Wissen
– Berichte an die Leitungsebene
– Informationsfluss
– Dokumentation
• Techn. Doku, Anleitungen, Reporte für Mgmt-
Aufgaben, Aufzeichnungen von Entscheiden
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 12
BSI-Standard 100-1
• Ressourcen für IS
– finanzielle, personelle und zeitliche Ressourcen
– «Wenn Zielvorgaben aufgrund fehlender
Ressourcen nicht erreichbar sind, sind hierfür
nicht die mit der Umsetzung betrauten Personen
verantwortlich, sondern die Vorgesetzten, die
unrealistische Ziele gesetzt bzw. die
erforderlichen Ressourcen nicht bereitgestellt
haben.»
– Grundvoraussetzung für einen sicheren IT-
Betrieb ist ein gut funktionierender IT-Betrieb.
Für den IT-Betrieb müssen daher ausreichende
Ressourcen zur Verfügung gestellt werden.
BSI-Standard 100-1
• Einbindung der Mitarbeiter
– Sensibilisierung für Informationssicherheit und
entsprechende Schulungen der Mitarbeiter sowie
aller Führungskräfte.
– Dazu gehört neben den Kenntnissen, wie
Sicherheitsmechanismen bedient werden
müssen, auch das Wissen über Sinn und Zweck
von Sicherheitsmassnahmen. Auch Arbeitsklima,
gemeinsame Wertvorstellungen und das
Engagement der Mitarbeiter beeinflussen die
Informationssicherheit entscheidend.
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 13
BSI-Standard 100-2
• IT-Grundschutz
– Sicherheits-
prozess
BSI-Standard 100-2
• Konzeption und Planung des
Sicherheitsprozesses
– Ermittlung von Rahmenbedingungen
• Welche Geschäftsprozesse gibt es in der Organisation
und wie hängen diese mit den Geschäftszielen
zusammen?
• Welche Geschäftsprozesse hängen von einer
funktionierenden Informationstechnik ab?
• Welche Informationen werden für diese Geschäfts-
prozesse verarbeitet?
• Welche Informationen sind besonders wichtig und
damit in Bezug auf Vertraulichkeit, Integrität und
Verfügbarkeit schützenswert und warum?
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 14
BSI-Standard 100-2
• Konzeption und Planung des
Sicherheitsprozesses
– Ermittlung von Rahmenbedingungen
• gesetzliche Rahmenbedingungen (nationale und
internationale Gesetze und Bestimmungen),
• Umwelteinflüsse, beispielsweise aufgrund der
geografischen Lage oder aufgrund von sozialen und
kulturellen Rahmenbedingungen,
• Anforderungen von Kunden, Lieferanten und
Geschäftspartnern, aktuelle Marktlage, Wettbewerbs-
situation und weitere relevante marktspezifische
Abhängigkeiten,
• branchenspezifische Sicherheitsstandards.
BSI-Standard 100-2
• Konzeption und Planung des
Sicherheitsprozesses
– Formulierung von allgemeinen IS-Zielen
– Bestimmung des angemessenen Niveaus
• Sehr hoch: Der Schutz vertraulicher Informationen
muss unbedingt gewährleistet sein und in sicherheits-
kritischen Bereichen strengen Vertraulichkeitsanfor-
derungen genügen.
• Hoch: Der Schutz vertraulicher Informationen muss
hohen Anforderungen genügen und in sicherheits-
kritischen Bereichen stärker ausgeprägt sein.
• Normal: Der Schutz von Informationen, die nur für den
internen Gebrauch bestimmt sind, muss gewährleistet
sein.
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 15
BSI-Standard 100-2
• Organisation des Sicherheitsprozesses
– Integration der Informationssicherheit in
organisationsweite Abläufe und Prozesse
– Aufbau der Informationssicherheitsorganisation,
Beispiele für
• Kleine Institution
• Mittelgrosse Institution
• Grosse Institution
BSI-Standard 100-2
• Organisation des Sicherheitsprozesses
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 16
BSI-Standard 100-2
• Bereitstellung von Ressourcen für die IS
– Kosteneffiziente Sicherheitsstrategie
BSI-Standard 100-2
• Einbindung aller Mitarbeiter in den
Sicherheitsprozess
– Schulung und Sensibilisierung
– Kommunikation, Einbindung und Meldewege
– Aufgabenwechsel oder Weggang von
Mitarbeitern
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 17
BSI-Standard 100-2
• Erstellung einer Sicherheitskonzeption
BSI-Standard 100-2
• Strukturanalyse umfasst:
– im Informationsverbund betriebene Anwendungen
und gestützten Geschäftsprozesse,
– die org. und personellen Rahmenbedingungen,
– im Informationsverbund eingesetzte vernetzte und
nicht-vernetzte IT-Systeme,
– die Kommunikationsverbindungen zwischen den IT-
Systemen und nach aussen,
– die vorhandene Infrastruktur.
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 18
BSI-Standard 100-2
• Schutzbedarfsfeststellung
– Anwendungen
– IT-Systeme
– Räume
– Kommunikationsverbindungen
• Auswahl und Anpassung von Massnahmen
– Basis-Sicherheitscheck
– Massnahme «entbehrlich», «ja», «teilweise», «nein»
• Weiterführende Sicherheitsmassnahmen
BSI-Standard 100-2
• Umsetzungsgrad
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 19
BSI-Standard 100-2
• Grundschutzkataloge
– Bausteine
• B 1: Übergreifende Aspekte
• B 2: Infrastruktur
• B 3: IT-Systeme
• B 4: Netze
• B 5: Anwendungen
– Gefährdungen
• G 0: Elementare Gefährdungen
• G 1: Höhere Gewalt
• G 2: Organisatorische Mängel
• G 3: Menschliche Fehlhandlungen
• G 4: Technisches Versagen
• G 5: Vorsätzliche Handlungen
Infos unter www.bsi.de/gshb
BSI-Standard 100-2
• Grundschutzkataloge
– Massnahmen
• M 1: Infrastruktur
• M 2: Organisation
• M 3: Personal
• M 4: Hard- und Software
• M 5: Kommunikation
• M 6: Notfallvorsorge
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 20
BSI-Standard 100-3
• Einbindung Risiko-Analyse in den
Grundschutz
BSI-Standard 100-4
• Notfallmanagement
– BCM / ISO 22301
– BS 25999
– Leitlinie
– BIA
– Notfallhandbuch
– Übungen
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 21
Fazit
• ISO 27001 und 27002 sind ein idealer
«Ratgeber»
• Vorgehen nach BSI 100-1 und 100-2
erleichtert die Arbeit massiv
• Alle Geschäftsprozesse müssen
berücksichtigt werden
• Management-Unterstützung essentiell
Mit uns wissen Sie,
wie es um Ihre IT-Sicherheit steht!
Th. Furrer
S. Walser A. Zlateva N. Rasstrigina
A. Wisler S. Müller E. Kauth
C. Wehrli
A. Kulhanek
J. Kappeler
Digicomp Hacking Day 2014
Aktuelles zu ISO 27001/2
11. Juni 2014
GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 22
Dienstleistungen …

Weitere ähnliche Inhalte

Andere mochten auch

Uni fiee scm sesion 02 arquitectura scm
Uni fiee scm sesion 02 arquitectura scmUni fiee scm sesion 02 arquitectura scm
Uni fiee scm sesion 02 arquitectura scm
c09271
 
El cuadrado mágigo de durero
El cuadrado mágigo de dureroEl cuadrado mágigo de durero
El cuadrado mágigo de durero
Roberto Polo
 
Web Forum2009
Web Forum2009Web Forum2009
Web Forum2009
Henning Sund
 
Impresario Credentials 13 03
Impresario Credentials 13 03Impresario Credentials 13 03
Impresario Credentials 13 03
Praful Baweja
 
Aurae Beidler CSE 627 final project
Aurae Beidler CSE 627 final projectAurae Beidler CSE 627 final project
Aurae Beidler CSE 627 final project
beidlera
 
Propuesta Oficina Nutricional (SOFI 4218)
Propuesta Oficina Nutricional (SOFI 4218)Propuesta Oficina Nutricional (SOFI 4218)
Propuesta Oficina Nutricional (SOFI 4218)
XiomaraMPG
 
Munich Re Claims Brochure July 2014
Munich Re Claims Brochure  July 2014Munich Re Claims Brochure  July 2014
Munich Re Claims Brochure July 2014
Reuben Chikudo
 
Job # aug6206 n (1) (1) (1) (2)
Job # aug6206 n (1) (1) (1) (2)Job # aug6206 n (1) (1) (1) (2)
Job # aug6206 n (1) (1) (1) (2)
Deepak Chiripal
 
Material El Salvador Ogalde
Material El Salvador OgaldeMaterial El Salvador Ogalde
Material El Salvador Ogalde
Maria Cristina Ogalde
 
Alpenliebe in-app multimedia zone on RockeTalk, a mobile marketing case study
Alpenliebe in-app multimedia zone on RockeTalk, a mobile marketing case studyAlpenliebe in-app multimedia zone on RockeTalk, a mobile marketing case study
Alpenliebe in-app multimedia zone on RockeTalk, a mobile marketing case study
Arvind Joshi
 
Soul Transformation
Soul Transformation Soul Transformation
Soul Transformation
soultransformation88
 
Presentacion Boca Boca Diciembre
Presentacion  Boca  Boca  DiciembrePresentacion  Boca  Boca  Diciembre
Presentacion Boca Boca Diciembre
bocabocaonline
 
Florida Green Home Building & Indoor Air Quality, John P. Lapotaire, CIEC
Florida Green Home Building & Indoor Air Quality,  John P. Lapotaire, CIEC Florida Green Home Building & Indoor Air Quality,  John P. Lapotaire, CIEC
Florida Green Home Building & Indoor Air Quality, John P. Lapotaire, CIEC
John P. Lapotaire, CIEC.
 
Recopilación examenes algebra
Recopilación examenes algebraRecopilación examenes algebra
Recopilación examenes algebra
Amando Ferrer
 
Brand24 Oferta
Brand24 OfertaBrand24 Oferta
Brand24 Oferta
Brand24
 
Vellon rico 16 mar.
Vellon rico 16 mar.Vellon rico 16 mar.
Vellon rico 16 mar.
Rafa Dzcr
 
L'affresco
L'affrescoL'affresco
L'affresco
BabBeba
 
Plan estratsaúde apresentação
Plan estratsaúde apresentaçãoPlan estratsaúde apresentação
Plan estratsaúde apresentação
carloantoniosouza
 
NXTP - Tips for staying sane in the roller coaster ride
NXTP - Tips for staying sane in the roller coaster rideNXTP - Tips for staying sane in the roller coaster ride
NXTP - Tips for staying sane in the roller coaster ride
RecargaPay
 

Andere mochten auch (19)

Uni fiee scm sesion 02 arquitectura scm
Uni fiee scm sesion 02 arquitectura scmUni fiee scm sesion 02 arquitectura scm
Uni fiee scm sesion 02 arquitectura scm
 
El cuadrado mágigo de durero
El cuadrado mágigo de dureroEl cuadrado mágigo de durero
El cuadrado mágigo de durero
 
Web Forum2009
Web Forum2009Web Forum2009
Web Forum2009
 
Impresario Credentials 13 03
Impresario Credentials 13 03Impresario Credentials 13 03
Impresario Credentials 13 03
 
Aurae Beidler CSE 627 final project
Aurae Beidler CSE 627 final projectAurae Beidler CSE 627 final project
Aurae Beidler CSE 627 final project
 
Propuesta Oficina Nutricional (SOFI 4218)
Propuesta Oficina Nutricional (SOFI 4218)Propuesta Oficina Nutricional (SOFI 4218)
Propuesta Oficina Nutricional (SOFI 4218)
 
Munich Re Claims Brochure July 2014
Munich Re Claims Brochure  July 2014Munich Re Claims Brochure  July 2014
Munich Re Claims Brochure July 2014
 
Job # aug6206 n (1) (1) (1) (2)
Job # aug6206 n (1) (1) (1) (2)Job # aug6206 n (1) (1) (1) (2)
Job # aug6206 n (1) (1) (1) (2)
 
Material El Salvador Ogalde
Material El Salvador OgaldeMaterial El Salvador Ogalde
Material El Salvador Ogalde
 
Alpenliebe in-app multimedia zone on RockeTalk, a mobile marketing case study
Alpenliebe in-app multimedia zone on RockeTalk, a mobile marketing case studyAlpenliebe in-app multimedia zone on RockeTalk, a mobile marketing case study
Alpenliebe in-app multimedia zone on RockeTalk, a mobile marketing case study
 
Soul Transformation
Soul Transformation Soul Transformation
Soul Transformation
 
Presentacion Boca Boca Diciembre
Presentacion  Boca  Boca  DiciembrePresentacion  Boca  Boca  Diciembre
Presentacion Boca Boca Diciembre
 
Florida Green Home Building & Indoor Air Quality, John P. Lapotaire, CIEC
Florida Green Home Building & Indoor Air Quality,  John P. Lapotaire, CIEC Florida Green Home Building & Indoor Air Quality,  John P. Lapotaire, CIEC
Florida Green Home Building & Indoor Air Quality, John P. Lapotaire, CIEC
 
Recopilación examenes algebra
Recopilación examenes algebraRecopilación examenes algebra
Recopilación examenes algebra
 
Brand24 Oferta
Brand24 OfertaBrand24 Oferta
Brand24 Oferta
 
Vellon rico 16 mar.
Vellon rico 16 mar.Vellon rico 16 mar.
Vellon rico 16 mar.
 
L'affresco
L'affrescoL'affresco
L'affresco
 
Plan estratsaúde apresentação
Plan estratsaúde apresentaçãoPlan estratsaúde apresentação
Plan estratsaúde apresentação
 
NXTP - Tips for staying sane in the roller coaster ride
NXTP - Tips for staying sane in the roller coaster rideNXTP - Tips for staying sane in the roller coaster ride
NXTP - Tips for staying sane in the roller coaster ride
 

Ähnlich wie Aktuelles zu ISO 27000

Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Marco Geuer
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)
Praxistage
 
SplunkLive! München - MediaMarktSaturn IT Solutions
SplunkLive! München - MediaMarktSaturn IT SolutionsSplunkLive! München - MediaMarktSaturn IT Solutions
SplunkLive! München - MediaMarktSaturn IT Solutions
Splunk
 
SplunkLive! Frankfurt 2017 - MediaMarktSaturn
SplunkLive! Frankfurt 2017 - MediaMarktSaturnSplunkLive! Frankfurt 2017 - MediaMarktSaturn
SplunkLive! Frankfurt 2017 - MediaMarktSaturn
Splunk
 
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!
Torben Haagh
 
Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dt
Iris Maaß
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Holliday Consulting
 
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzenIodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
Iodata GmbH
 
Begrüßung und max keynote-vortrag
Begrüßung und max keynote-vortragBegrüßung und max keynote-vortrag
Begrüßung und max keynote-vortrag
MAX2014DACH
 
Begrüßung und max keynote-vortrag
Begrüßung und max keynote-vortragBegrüßung und max keynote-vortrag
Begrüßung und max keynote-vortrag
MAX2014DACH
 
ISO 9001:2015: Praktische Inputs zur Integration in Office 365
ISO 9001:2015: Praktische Inputs zur Integration in Office 365ISO 9001:2015: Praktische Inputs zur Integration in Office 365
ISO 9001:2015: Praktische Inputs zur Integration in Office 365
IOZ AG
 
Knorr, Alexander
Knorr, Alexander Knorr, Alexander
Knorr, Alexander
Alexander Knorr
 
Agilität im Systems Engineering – geht das?
Agilität im Systems Engineering – geht das?Agilität im Systems Engineering – geht das?
Agilität im Systems Engineering – geht das?
HOOD Group
 
dox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Qdox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Q
dox42
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz
Andreas Klöcker
 
Lean Portfolio Management bei SRF
Lean Portfolio Management bei SRFLean Portfolio Management bei SRF
Lean Portfolio Management bei SRF
pragmatic solutions gmbh
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Hans Peter Knaust
 
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePointAufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
IOZ AG
 
Ratgeber Digital Transformation
Ratgeber Digital TransformationRatgeber Digital Transformation
Ratgeber Digital Transformation
BadRobot3
 

Ähnlich wie Aktuelles zu ISO 27000 (20)

Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)
 
SplunkLive! München - MediaMarktSaturn IT Solutions
SplunkLive! München - MediaMarktSaturn IT SolutionsSplunkLive! München - MediaMarktSaturn IT Solutions
SplunkLive! München - MediaMarktSaturn IT Solutions
 
SplunkLive! Frankfurt 2017 - MediaMarktSaturn
SplunkLive! Frankfurt 2017 - MediaMarktSaturnSplunkLive! Frankfurt 2017 - MediaMarktSaturn
SplunkLive! Frankfurt 2017 - MediaMarktSaturn
 
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
 
Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!
 
Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dt
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
 
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzenIodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
Iodata GmbH, Qlik Elite Solution Provider - Warum wir Qlik einsetzen
 
Begrüßung und max keynote-vortrag
Begrüßung und max keynote-vortragBegrüßung und max keynote-vortrag
Begrüßung und max keynote-vortrag
 
Begrüßung und max keynote-vortrag
Begrüßung und max keynote-vortragBegrüßung und max keynote-vortrag
Begrüßung und max keynote-vortrag
 
ISO 9001:2015: Praktische Inputs zur Integration in Office 365
ISO 9001:2015: Praktische Inputs zur Integration in Office 365ISO 9001:2015: Praktische Inputs zur Integration in Office 365
ISO 9001:2015: Praktische Inputs zur Integration in Office 365
 
Knorr, Alexander
Knorr, Alexander Knorr, Alexander
Knorr, Alexander
 
Agilität im Systems Engineering – geht das?
Agilität im Systems Engineering – geht das?Agilität im Systems Engineering – geht das?
Agilität im Systems Engineering – geht das?
 
dox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Qdox42day Paul Zieger - Opti-Q
dox42day Paul Zieger - Opti-Q
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz
 
Lean Portfolio Management bei SRF
Lean Portfolio Management bei SRFLean Portfolio Management bei SRF
Lean Portfolio Management bei SRF
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
 
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePointAufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
 
Ratgeber Digital Transformation
Ratgeber Digital TransformationRatgeber Digital Transformation
Ratgeber Digital Transformation
 

Mehr von Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Digicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Digicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Digicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Digicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Digicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Digicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Digicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
Digicomp Academy AG
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
Digicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Digicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Digicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
 

Mehr von Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Aktuelles zu ISO 27000

  • 1. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 1 Wissen Sie, wie es um Ihre IT-Sicherheit steht? Aktuelles zu ISO 27001/2 Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, CISA, ISO 27001 Lead Auditor www.goSecurity.ch / wisler@goout.ch
  • 2. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 2 Standards und Normen • Ziel von Standards: – beschreiben Modelle, anhand derer ein Sicherheits-management systematisch Bedeutung aufgebaut und weiterentwickelt werden kann, – zeigen auf, welche organisatorischen und technischen Massnahmen für Informationssicherheit erforderlich sind, und – liefern Kriterien, anhand derer überprüft werden kann, ob die umgesetzten Massnahmen angemessen sind und weithin anerkannten Massstäben genügen. Standards und Normen Information und Kommunikation Compliance Assurance Risikomanagement Governance Erwartungen der Anteilseigner Geschäftsstrategie Erwartungen des Marktes Technologische Entwicklungen Rechtliche, regulative Anforderungen
  • 3. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 3 ISO 27000 - Familie Quelle: kes.info ISO 27001 • Aufbau InformationsSicherheitsManagementSystem – Festlegung und Abgrenzung des Bereichs – Erstellen einer Leitlinie, die auf die Werte, Prozesse, Aufgaben und technischen Gegebenheiten bezogen ist, – Auswahl einer Risikoanalysemethode zur systematischen Beurteilung der Risiken und Sicherheitsanforderungen. Entwicklung von Kriterien für die Behandlung der Risiken (einschliesslich für deren Akzeptanz), – Identifizieren und Bewerten der Sicherheitsrisiken, – Auswahl von effektiven und wirtschaftlich angemessenen Massnahmen zur Abwehr der Risiken, – Auswahl von Methoden zur Überprüfung der Wirksamkeit der Massnahmen.
  • 4. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 4 ISO 27001 • Erfolgreich umgesetzt, wenn – es eine definierte Leitlinie gibt, Ziele und Massnahmen an den Geschäftszielen orientiert sind und das Vorgehen zum Management der Informationssicherheit der Unternehmenskultur angepasst ist, – für Informationssicherheitsmanagement ein Budget zugeteilt wurde und die Aktivitäten zur Informationssicherheit von der Leitung (Topmanagement) unterstützt werden, – in der Organisation das Verständnis für die Anforderungen an Informationssicherheit verbreitet ist, Risikoanalysen durchgeführt und Notfallvorsorge betrieben wird, – die Benutzer hinreichend für Informationssicherheit sensibilisiert und geschult sind und die geltenden Sicherheitsvorgaben und Regelungen kennen sowie – ein Sicherheitsprozess mit einer regelmässig wiederholten Beurteilung und Verbesserung des ISMS abläuft. ISO 27001 • Erfolgreich umgesetzt, wenn
  • 5. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 5 ISO 27001:2013 • 4 Context of the organization – 4.1 Understanding the organization and its context – 4.2 Understanding the needs and expections of interested parties – 4.3 Determining the scope of the ISMS – 4.4 ISMS • 5 Leadership – 5.1 Leadership and commitment – 5.2 Policy – 5.3 Organizational roles, responsibilities and authorities • 6 Planning – 6.1 Actions to address risks and opportunities – 6.2 Information security objectives and planning to achieve them ISO 27001:2013 • 7 Support – 7.1 Resources – 7.2 Competence – 7.3 Awareness – 7.4 Communication – 7.5 Documented information • 8 Operation – 8.1 Operational planning and control – 8.2 Information security risk assessment – 8.3 Information security risk treatment
  • 6. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 6 ISO 27001:2013 • 9 Performance evaluation – 9.1 Monitoring, measurement, analysis and evaluation – 9.2 Internal audit – 9.3 Management review • 10 Improvement – 10.1 Nonconformity and corrective action – 10.2 Continual improvement ISO 27001 : 2005 zu 2013 Quelle: kes.info
  • 7. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 7 ISO 27002:2013 • ISO 27002 enthält diverse Kontrollmechanismen: – 14 Überwachungsbereiche (11) – 114 Sicherheitsmassnahmen (133) • Bereiche: – 5 Information security policies • 5.1 Management direction for information security – 6 Organization of information security • 6.1 Internal organization • 6.2 Mobile devices and teleworking – 7 Human resource security • 7.1 Prior to employment • 7.2 During employment • 7.3 Termination and change of employment ISO 27002:2013 • Bereiche (Fortsetzung) – 8 Asset management • 8.1 Responsibility for assets • 8.2 Information classification • 8.3 Media handling – 9 Access control • 9.1 Business requirements of access control • 9.2 User access management • 9.3 User responsibilities • 9.4 System and application access control – 10 Cryptography • 10.1 Cryptographic controls
  • 8. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 8 ISO 27002:2013 • Bereiche (Fortsetzung) – 11 Physical and environmental security • 11.1 Secure areas • 11.2 Equipment – 12 Operations security • 12.1 Operational procedures and responsibilities • 12.2 Protection from malware • 12.3 Backup • 12.4 Logging and monitoring • 12.5 Control of operational software • 12.6 Technical vulnerability management • 12.7 Information systems audit considerations ISO 27002:2013 • Bereiche (Fortsetzung) – 13 Communications security • 13.1 Network security management • 13.2 Information transfer – 14 System acquisition, development and maintenance • 14.1 Security requirements of information systems • 14.2 Security in development and support processes • 14.3 Test data – 15 Supplier relationships • 15.1 Information security in supplier relationships • 15.2 Supplier service delivery management
  • 9. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 9 ISO 27002:2013 • Bereiche (Fortsetzung) – 16 Information security incident management • 16.1 Management of information security incidents and improvements – 17 Information security aspects of BCM • 17.1 Information security continuity • 17.2 Redundancies – 18 Compliance • 18.1 Compliance with legal and contractual requirements • 18.2 Information security reviews ISMS 27001 : Anpassungen • Mehraufwand bei: – ISMS-Measurement und -Improvement werden intensiv formuliert und gefordert und sind für eine Zertifizierung definitiv nachzuweisen. – Die Beteiligung des Managements wird stärker eingefordert und geht über einen "Letter of Intent" hinaus. – Neben negativen Risiken sind nun auch positive Risiken (bzw. Chancen) zu betrachten. – Nunmehr müssen alle Personen im Anwendungsbereich Gegenstand von klaren Rollenbeschreibungen und Awareness-Massnahmen sein (zuvor genügte es, nur die Rolleninhaber der ISMS-Organisation zu betrachten).
  • 10. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 10 BSI-Standard 100-1 • Vollständig kompatibel zu ISO 27001:2005 • leicht verständliche und systematische Anleitung, unabhängig davon, mit welcher Methode die Anforderungen umgesetzt werden • Kostenlos Downloadbar BSI-Standard 100-1 • ISMS-Komponenten: – Management-Prinzipien – Ressourcen – Mitarbeiter – Sicherheitsprozess • Leitlinie zur Informationssicherheit, in der die Sicherheitsziele und die Strategie zu ihrer Umsetzung dokumentiert sind • Sicherheitskonzept • Informationssicherheitsorganisation
  • 11. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 11 BSI-Standard 100-1 • Aufgaben und Pflichten des Managements – Übernahme der Gesamtverantwortung für Informationssicherheit – Informationssicherheit integrieren – Informationssicherheit steuern und aufrechterhalten – Erreichbare Ziele setzen – Sicherheitskosten gegen Nutzen abwägen – Vorbildfunktion BSI-Standard 100-1 • Aufrechterhaltung der Informationssicherheit und kontinuierliche Verbesserung – Pflicht für «interne» Audits – Durchführung von Übungen und Sensibilisierungsmassnahmen – Einbindung bei Änderungen • Kommunikation und Wissen – Berichte an die Leitungsebene – Informationsfluss – Dokumentation • Techn. Doku, Anleitungen, Reporte für Mgmt- Aufgaben, Aufzeichnungen von Entscheiden
  • 12. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 12 BSI-Standard 100-1 • Ressourcen für IS – finanzielle, personelle und zeitliche Ressourcen – «Wenn Zielvorgaben aufgrund fehlender Ressourcen nicht erreichbar sind, sind hierfür nicht die mit der Umsetzung betrauten Personen verantwortlich, sondern die Vorgesetzten, die unrealistische Ziele gesetzt bzw. die erforderlichen Ressourcen nicht bereitgestellt haben.» – Grundvoraussetzung für einen sicheren IT- Betrieb ist ein gut funktionierender IT-Betrieb. Für den IT-Betrieb müssen daher ausreichende Ressourcen zur Verfügung gestellt werden. BSI-Standard 100-1 • Einbindung der Mitarbeiter – Sensibilisierung für Informationssicherheit und entsprechende Schulungen der Mitarbeiter sowie aller Führungskräfte. – Dazu gehört neben den Kenntnissen, wie Sicherheitsmechanismen bedient werden müssen, auch das Wissen über Sinn und Zweck von Sicherheitsmassnahmen. Auch Arbeitsklima, gemeinsame Wertvorstellungen und das Engagement der Mitarbeiter beeinflussen die Informationssicherheit entscheidend.
  • 13. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 13 BSI-Standard 100-2 • IT-Grundschutz – Sicherheits- prozess BSI-Standard 100-2 • Konzeption und Planung des Sicherheitsprozesses – Ermittlung von Rahmenbedingungen • Welche Geschäftsprozesse gibt es in der Organisation und wie hängen diese mit den Geschäftszielen zusammen? • Welche Geschäftsprozesse hängen von einer funktionierenden Informationstechnik ab? • Welche Informationen werden für diese Geschäfts- prozesse verarbeitet? • Welche Informationen sind besonders wichtig und damit in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit schützenswert und warum?
  • 14. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 14 BSI-Standard 100-2 • Konzeption und Planung des Sicherheitsprozesses – Ermittlung von Rahmenbedingungen • gesetzliche Rahmenbedingungen (nationale und internationale Gesetze und Bestimmungen), • Umwelteinflüsse, beispielsweise aufgrund der geografischen Lage oder aufgrund von sozialen und kulturellen Rahmenbedingungen, • Anforderungen von Kunden, Lieferanten und Geschäftspartnern, aktuelle Marktlage, Wettbewerbs- situation und weitere relevante marktspezifische Abhängigkeiten, • branchenspezifische Sicherheitsstandards. BSI-Standard 100-2 • Konzeption und Planung des Sicherheitsprozesses – Formulierung von allgemeinen IS-Zielen – Bestimmung des angemessenen Niveaus • Sehr hoch: Der Schutz vertraulicher Informationen muss unbedingt gewährleistet sein und in sicherheits- kritischen Bereichen strengen Vertraulichkeitsanfor- derungen genügen. • Hoch: Der Schutz vertraulicher Informationen muss hohen Anforderungen genügen und in sicherheits- kritischen Bereichen stärker ausgeprägt sein. • Normal: Der Schutz von Informationen, die nur für den internen Gebrauch bestimmt sind, muss gewährleistet sein.
  • 15. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 15 BSI-Standard 100-2 • Organisation des Sicherheitsprozesses – Integration der Informationssicherheit in organisationsweite Abläufe und Prozesse – Aufbau der Informationssicherheitsorganisation, Beispiele für • Kleine Institution • Mittelgrosse Institution • Grosse Institution BSI-Standard 100-2 • Organisation des Sicherheitsprozesses
  • 16. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 16 BSI-Standard 100-2 • Bereitstellung von Ressourcen für die IS – Kosteneffiziente Sicherheitsstrategie BSI-Standard 100-2 • Einbindung aller Mitarbeiter in den Sicherheitsprozess – Schulung und Sensibilisierung – Kommunikation, Einbindung und Meldewege – Aufgabenwechsel oder Weggang von Mitarbeitern
  • 17. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 17 BSI-Standard 100-2 • Erstellung einer Sicherheitskonzeption BSI-Standard 100-2 • Strukturanalyse umfasst: – im Informationsverbund betriebene Anwendungen und gestützten Geschäftsprozesse, – die org. und personellen Rahmenbedingungen, – im Informationsverbund eingesetzte vernetzte und nicht-vernetzte IT-Systeme, – die Kommunikationsverbindungen zwischen den IT- Systemen und nach aussen, – die vorhandene Infrastruktur.
  • 18. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 18 BSI-Standard 100-2 • Schutzbedarfsfeststellung – Anwendungen – IT-Systeme – Räume – Kommunikationsverbindungen • Auswahl und Anpassung von Massnahmen – Basis-Sicherheitscheck – Massnahme «entbehrlich», «ja», «teilweise», «nein» • Weiterführende Sicherheitsmassnahmen BSI-Standard 100-2 • Umsetzungsgrad
  • 19. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 19 BSI-Standard 100-2 • Grundschutzkataloge – Bausteine • B 1: Übergreifende Aspekte • B 2: Infrastruktur • B 3: IT-Systeme • B 4: Netze • B 5: Anwendungen – Gefährdungen • G 0: Elementare Gefährdungen • G 1: Höhere Gewalt • G 2: Organisatorische Mängel • G 3: Menschliche Fehlhandlungen • G 4: Technisches Versagen • G 5: Vorsätzliche Handlungen Infos unter www.bsi.de/gshb BSI-Standard 100-2 • Grundschutzkataloge – Massnahmen • M 1: Infrastruktur • M 2: Organisation • M 3: Personal • M 4: Hard- und Software • M 5: Kommunikation • M 6: Notfallvorsorge
  • 20. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 20 BSI-Standard 100-3 • Einbindung Risiko-Analyse in den Grundschutz BSI-Standard 100-4 • Notfallmanagement – BCM / ISO 22301 – BS 25999 – Leitlinie – BIA – Notfallhandbuch – Übungen
  • 21. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 21 Fazit • ISO 27001 und 27002 sind ein idealer «Ratgeber» • Vorgehen nach BSI 100-1 und 100-2 erleichtert die Arbeit massiv • Alle Geschäftsprozesse müssen berücksichtigt werden • Management-Unterstützung essentiell Mit uns wissen Sie, wie es um Ihre IT-Sicherheit steht! Th. Furrer S. Walser A. Zlateva N. Rasstrigina A. Wisler S. Müller E. Kauth C. Wehrli A. Kulhanek J. Kappeler
  • 22. Digicomp Hacking Day 2014 Aktuelles zu ISO 27001/2 11. Juni 2014 GO OUT Production GmbH, Schulstrasse 11, 8542 Wiesendangen, www.goSecurity.ch 22 Dienstleistungen …