SlideShare ist ein Scribd-Unternehmen logo
Leitlinien für Informationssicherheit



Düsseldorf, 12.11.2009
Kurzer Überblick
 47.000 Beschäftigte
 50 Polizeibehörden
 600 Standorte
 Einsatz
 Kriminalität
 Verkehr
 Verwaltung
 …
IT - Infrastruktur
 30.000 PC
 1.500 Server

 Daten- / Sprachnetz

 250 zentrale IT-
 Anwendungen

 Spezialbereiche

 …
Kritische polizeiliche Prozesse
Fachbereiche haben Verantwortung
Die Vorgeschichte

 1997 Aufbau des Corporate Network der Polizei NRW
 1997 IT-Sicherheitskonzept
       IT-Sicherheitshandbuch des BSI
       Erfassungsbögen, Tabellen, Listen… Papier ohne Ende
       Organisation war nicht in der notwendigen Weise vorbereitet

 1999 - 2001 Konsolidierung der Vorgehensweise
 2002 Entscheidung für IT-Grundschutz und GSTOOL
 2003 Wahrnehmung der Aufgabe Informationssicherheit
      beim Innenministerium NRW
Wege zum Ziel - Erfolgsfaktoren?

Verantwortung des Managements
Leitlinie für Informationssicherheit
Etablierung einer Sicherheitsorganisation
Richtlinien und Standards
Sicherheitsorganisation
                                                      • Abteilungsleiter Polizei    • Oberstes Entscheidungsgremium
                           IT-Lenkungsausschuss       • Referatsleiter -            • Personelle und finanzielle Ressourcen
                                                        Fachbereiche                • Informationssicherheitsleitlinie

                                                                                                                                   Strategische
                                                                                    • Strategie, Ziele, Prozesse                   Informations-
                                                      • Referat IT und Technik                                                     sicherheit
                           IT-Sicherheitsmanager        der Polizei
                                                                                    • Kontrollmaßnahmen, Überprüfung
                                                                                    • Entscheidungsvorbereitung für IT-LA
Eskalation & Rückmeldung




                                                      • IT-SiMa, IT-SiBe der LA     • Eskalationsinstanz, Entscheidungsvorber.
                               Ausschuss für                                        • Fachlich/technische Anforderungen
                                                      • Leiter PolCERT
                           Informationssicherheit     • Vertreter Fachbereiche      • Analyse kritischer IT-Sicherheitsvorfälle


                                                      • Landesamt für Zentrale      • Planung/Durchführung von Audits
                           Landeszentrale operative                                 • Technische Konzepte
                                                        Polizeiliche Dienste
                           Informationssicherheit                                   • Behandlung von IT-Sicherheitsvorfällen
                                                        (LZPD)
                                                                                                                                   Operative
                                                      • Landesamt für Zentrale      • Identifikation von und Schutz vor            Informations-
                               PolCERT NRW              Polizeiliche Dienste          Schwachstellen sowie Koordinierungsstelle    sicherheit
                                                        (LZPD)                        für präventive und reaktive Maßnahmen



                                                      • Mitarbeiter der örtlichen   • Steuerung des lokalen Sicherheitsprozesses
                                     IT-                                            • Sensibilisierung und Schulung (lokal)
                           Sicherheitsbeauftragte       Polizeibehörde
                                                                                    • Entscheidungsvorbereitung für IT-LA
Vorgehensmodelle




IT-Projektmanagement                   V-Modell XT
Informationssicherheitsmanagement      ISO 27001
IT-Servicemanagement                   ITIL
IT-Standards                           SAGA
IT-Wirtschaftlichkeitsuntersuchungen   IT-WiBe
IT-Sicherheitskonzepte

Verfahrensspezifische IT-Sicherheitskonzepte
  Schutzbedarf
     Verfügbarkeit
     Integrität
     Vertraulichkeit
  Ergänzende Sicherheitsanalyse

Lokale IT-Sicherheitskonzepte
  Adaption der verfahrensspezifischen
  IT-Sicherheitskonzepte
Schulung & Sensibilisierung




Zielgruppen
     Führungskräfte, IT-Sicherheitsbeauftragte,
     Auditoren, Administratoren, Sachbearbeiter,
     Entwickler
Eigene Referenten erzeugen „polizeilichen Mehrwert“
Geprüfte Informationssicherheit
IT-Sicherheitsaudits
  Intern - Polizei NRW
  Extern - Polizeien des Bundes und der Länder

Rahmenbedingungen
  Prüfschema des BSI für ISO 27001-Audits auf der Basis von
  IT-Grundschutz

Auditoren
  ISO 27001 , 3 lizenzierte Auditoren
  IT-Grundschutz-Auditoren der Polizei NRW
     8 Mitarbeiter geschult durch BSI
     Weitere Qualifizierung in polizeieigenen Workshops
Richtlinien

 Strategie      Leitlinie für Informationssicherheit bei der Polizei in Nordrhein-Westfalen

               Sicherheitsrichtlinie    Internet-Richtlinie       E-Mail-Richtlinie    Behandlung IT-
Übergreifend     zur IT-Nutzung                                                       Sicherheitsvorfälle

                Datensicherung             Virenschutz-              Notfall-         Energieversorgung
                                             Konzept              Rahmenkonzept           NEA/USV

                  Outsourcing              Datenträger-           Transferkonzept      Sichere E-Mail-
                                           entsorgung                                  Kommunikation

               Verfahrensspezifische
               IT-Sicherheitskonzepte


               Sicherheitshinweise      Sicherheitshinweise für     Richtlinie für
Zielgruppen       für IT-Benutzer         IT-Administratoren          IT-SiBe


                   Virenschutz          Sicherheitsgateway        Anlagenprüfung/-         weitere
  Technik                                                             blockung
Verantwortlichkeiten prüfen (Leitlinie)
Audits durchführen (Reifegrad)
Kommunikation mit Fachbereichen (Sponsor)
Dienstleistungsverträge prüfen (Rechte / Pflichten)
Andreas Lezgus
andreas.lezgus@im.nrw.de

Ulrich Wiebel
ulrich.wiebel@im.nrw.de

Innenministerium NRW
Referat 44

Weitere ähnliche Inhalte

Was ist angesagt?

Alo auto anamnesa
Alo auto anamnesaAlo auto anamnesa
Alo auto anamnesa
woolan
 
askep resiko bunuh diri
askep resiko bunuh diriaskep resiko bunuh diri
askep resiko bunuh diri
sisi26dessy
 
Konsep berfikir dalam keperawatan presentase
Konsep berfikir dalam keperawatan presentaseKonsep berfikir dalam keperawatan presentase
Konsep berfikir dalam keperawatan presentase
irfanmaulana77
 
Konsep stress & adaptasi
Konsep stress & adaptasiKonsep stress & adaptasi
Konsep stress & adaptasi
anita sriwaty
 
ASKEP DPD.ppt
ASKEP DPD.pptASKEP DPD.ppt
ASKEP DPD.ppt
AliAje1
 
SOAL-SOAL UKOM NERS DAN PEMBAHASANNYA
SOAL-SOAL UKOM NERS DAN PEMBAHASANNYASOAL-SOAL UKOM NERS DAN PEMBAHASANNYA
SOAL-SOAL UKOM NERS DAN PEMBAHASANNYA
Dnr Creatives
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
Conferencias FIST
 
Proposal TAK Defisit Perawatan Diri
Proposal TAK Defisit Perawatan Diri Proposal TAK Defisit Perawatan Diri
Proposal TAK Defisit Perawatan Diri
Encepal Cere
 
Lp sinusitis
Lp sinusitisLp sinusitis
Lp sinusitis
Yabniel Lit Jingga
 
Penyelesaian sengketa medis
Penyelesaian sengketa medisPenyelesaian sengketa medis
Penyelesaian sengketa medis
Trini Handayani
 
Askep atresia duodenum docx
Askep atresia duodenum docxAskep atresia duodenum docx
Askep atresia duodenum docx
edison770133
 
Asuhan keperawatan jiwa
Asuhan keperawatan jiwa Asuhan keperawatan jiwa
Asuhan keperawatan jiwa
STIKes Insan Cendekia Husada Bojonegoro
 
api-interaksi2-halusinasi-sp-3.docx
api-interaksi2-halusinasi-sp-3.docxapi-interaksi2-halusinasi-sp-3.docx
api-interaksi2-halusinasi-sp-3.docx
BrendaManiani
 
BCMS Presentation1
BCMS Presentation1BCMS Presentation1
BCMS Presentation1
barbytee
 
ISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and Challenges
Certification Europe
 
Metoda tim keperawatan
Metoda tim keperawatanMetoda tim keperawatan
Metoda tim keperawatan
nuningsih gunawan
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Pengenalan kamar bedah
Pengenalan kamar bedahPengenalan kamar bedah
Pengenalan kamar bedah
conesti08com
 
Proposal terapi aktivitas kelompok pk
Proposal terapi aktivitas kelompok pkProposal terapi aktivitas kelompok pk
Proposal terapi aktivitas kelompok pk
lukmanur hayadi
 
Proposal Sirkumsisi (Leonardo J. Sipahelut)
Proposal Sirkumsisi (Leonardo J. Sipahelut)Proposal Sirkumsisi (Leonardo J. Sipahelut)
Proposal Sirkumsisi (Leonardo J. Sipahelut)
Leonardo Jeverson SIpahelut
 

Was ist angesagt? (20)

Alo auto anamnesa
Alo auto anamnesaAlo auto anamnesa
Alo auto anamnesa
 
askep resiko bunuh diri
askep resiko bunuh diriaskep resiko bunuh diri
askep resiko bunuh diri
 
Konsep berfikir dalam keperawatan presentase
Konsep berfikir dalam keperawatan presentaseKonsep berfikir dalam keperawatan presentase
Konsep berfikir dalam keperawatan presentase
 
Konsep stress & adaptasi
Konsep stress & adaptasiKonsep stress & adaptasi
Konsep stress & adaptasi
 
ASKEP DPD.ppt
ASKEP DPD.pptASKEP DPD.ppt
ASKEP DPD.ppt
 
SOAL-SOAL UKOM NERS DAN PEMBAHASANNYA
SOAL-SOAL UKOM NERS DAN PEMBAHASANNYASOAL-SOAL UKOM NERS DAN PEMBAHASANNYA
SOAL-SOAL UKOM NERS DAN PEMBAHASANNYA
 
Analisis y Gestion de Riesgos
Analisis y Gestion de RiesgosAnalisis y Gestion de Riesgos
Analisis y Gestion de Riesgos
 
Proposal TAK Defisit Perawatan Diri
Proposal TAK Defisit Perawatan Diri Proposal TAK Defisit Perawatan Diri
Proposal TAK Defisit Perawatan Diri
 
Lp sinusitis
Lp sinusitisLp sinusitis
Lp sinusitis
 
Penyelesaian sengketa medis
Penyelesaian sengketa medisPenyelesaian sengketa medis
Penyelesaian sengketa medis
 
Askep atresia duodenum docx
Askep atresia duodenum docxAskep atresia duodenum docx
Askep atresia duodenum docx
 
Asuhan keperawatan jiwa
Asuhan keperawatan jiwa Asuhan keperawatan jiwa
Asuhan keperawatan jiwa
 
api-interaksi2-halusinasi-sp-3.docx
api-interaksi2-halusinasi-sp-3.docxapi-interaksi2-halusinasi-sp-3.docx
api-interaksi2-halusinasi-sp-3.docx
 
BCMS Presentation1
BCMS Presentation1BCMS Presentation1
BCMS Presentation1
 
ISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and ChallengesISO 27001 Certification - The Benefits and Challenges
ISO 27001 Certification - The Benefits and Challenges
 
Metoda tim keperawatan
Metoda tim keperawatanMetoda tim keperawatan
Metoda tim keperawatan
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
Pengenalan kamar bedah
Pengenalan kamar bedahPengenalan kamar bedah
Pengenalan kamar bedah
 
Proposal terapi aktivitas kelompok pk
Proposal terapi aktivitas kelompok pkProposal terapi aktivitas kelompok pk
Proposal terapi aktivitas kelompok pk
 
Proposal Sirkumsisi (Leonardo J. Sipahelut)
Proposal Sirkumsisi (Leonardo J. Sipahelut)Proposal Sirkumsisi (Leonardo J. Sipahelut)
Proposal Sirkumsisi (Leonardo J. Sipahelut)
 

Ähnlich wie Informationssicherheit

Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)
Praxistage
 
Überblick Common Criteria
Überblick Common CriteriaÜberblick Common Criteria
Überblick Common Criteria
Jens Oberender
 
Big Data - Die große Innovation?
Big Data - Die große Innovation?Big Data - Die große Innovation?
Big Data - Die große Innovation?
BARC GmbH
 
Informationssicherheit - Checkliste für einen schnellen Überblick über die Sc...
Informationssicherheit - Checkliste für einen schnellen Überblick über die Sc...Informationssicherheit - Checkliste für einen schnellen Überblick über die Sc...
Informationssicherheit - Checkliste für einen schnellen Überblick über die Sc...
Filipe Felix
 
PLM Open Hours - Fachübergreifende Entwicklung von Produkten und Systemen
PLM Open Hours - Fachübergreifende Entwicklung von Produkten und SystemenPLM Open Hours - Fachübergreifende Entwicklung von Produkten und Systemen
PLM Open Hours - Fachübergreifende Entwicklung von Produkten und Systemen
Intelliact AG
 
ITIL goes live – Einführung des IT Service Management in der KSD
ITIL goes live – Einführung des IT Service Management in der KSDITIL goes live – Einführung des IT Service Management in der KSD
ITIL goes live – Einführung des IT Service Management in der KSD
Digicomp Academy AG
 
Datensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und PräventionDatensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und Prävention
Acertigo
 
B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009
Andreas Schulte
 
[DE] Records Management & Compliance | Ulrich Kampffmeyer | PROJECT CONSULT S...
[DE] Records Management & Compliance | Ulrich Kampffmeyer | PROJECT CONSULT S...[DE] Records Management & Compliance | Ulrich Kampffmeyer | PROJECT CONSULT S...
[DE] Records Management & Compliance | Ulrich Kampffmeyer | PROJECT CONSULT S...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!
Torben Haagh
 
ITSM mit Open Source
ITSM mit Open SourceITSM mit Open Source
ITSM mit Open Source
Christoph Steinhauer
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
Carsten Muetzlitz
 
ENGINEERING Cyber Security für Public, Energy, Health Feb. 2023.pdf
ENGINEERING Cyber Security für Public, Energy, Health Feb. 2023.pdfENGINEERING Cyber Security für Public, Energy, Health Feb. 2023.pdf
ENGINEERING Cyber Security für Public, Energy, Health Feb. 2023.pdf
Hans Peter Knaust
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Carsten Muetzlitz
 
Operational Intelligence - TDWI Europe 2008
Operational Intelligence - TDWI Europe 2008Operational Intelligence - TDWI Europe 2008
Operational Intelligence - TDWI Europe 2008
Christian Schieder
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Hans Peter Knaust
 
Datenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & DatensicherheitDatenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & Datensicherheit
inPuncto GmbH
 
spm Feierabendworkshop im September
spm Feierabendworkshop im Septemberspm Feierabendworkshop im September
spm Feierabendworkshop im September
Netcetera
 
ITSM in der Praxis
ITSM in der PraxisITSM in der Praxis
ITSM in der Praxis
Walter Abel
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Carsten Muetzlitz
 

Ähnlich wie Informationssicherheit (20)

Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)
 
Überblick Common Criteria
Überblick Common CriteriaÜberblick Common Criteria
Überblick Common Criteria
 
Big Data - Die große Innovation?
Big Data - Die große Innovation?Big Data - Die große Innovation?
Big Data - Die große Innovation?
 
Informationssicherheit - Checkliste für einen schnellen Überblick über die Sc...
Informationssicherheit - Checkliste für einen schnellen Überblick über die Sc...Informationssicherheit - Checkliste für einen schnellen Überblick über die Sc...
Informationssicherheit - Checkliste für einen schnellen Überblick über die Sc...
 
PLM Open Hours - Fachübergreifende Entwicklung von Produkten und Systemen
PLM Open Hours - Fachübergreifende Entwicklung von Produkten und SystemenPLM Open Hours - Fachübergreifende Entwicklung von Produkten und Systemen
PLM Open Hours - Fachübergreifende Entwicklung von Produkten und Systemen
 
ITIL goes live – Einführung des IT Service Management in der KSD
ITIL goes live – Einführung des IT Service Management in der KSDITIL goes live – Einführung des IT Service Management in der KSD
ITIL goes live – Einführung des IT Service Management in der KSD
 
Datensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und PräventionDatensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und Prävention
 
B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009
 
[DE] Records Management & Compliance | Ulrich Kampffmeyer | PROJECT CONSULT S...
[DE] Records Management & Compliance | Ulrich Kampffmeyer | PROJECT CONSULT S...[DE] Records Management & Compliance | Ulrich Kampffmeyer | PROJECT CONSULT S...
[DE] Records Management & Compliance | Ulrich Kampffmeyer | PROJECT CONSULT S...
 
Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!Der IT-Sicherheitskatalog ist da!
Der IT-Sicherheitskatalog ist da!
 
ITSM mit Open Source
ITSM mit Open SourceITSM mit Open Source
ITSM mit Open Source
 
Hardening Oracle Databases (German)
Hardening Oracle Databases (German)Hardening Oracle Databases (German)
Hardening Oracle Databases (German)
 
ENGINEERING Cyber Security für Public, Energy, Health Feb. 2023.pdf
ENGINEERING Cyber Security für Public, Energy, Health Feb. 2023.pdfENGINEERING Cyber Security für Public, Energy, Health Feb. 2023.pdf
ENGINEERING Cyber Security für Public, Energy, Health Feb. 2023.pdf
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
Operational Intelligence - TDWI Europe 2008
Operational Intelligence - TDWI Europe 2008Operational Intelligence - TDWI Europe 2008
Operational Intelligence - TDWI Europe 2008
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
 
Datenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & DatensicherheitDatenschutz bei elektronischer Personalakte & Datensicherheit
Datenschutz bei elektronischer Personalakte & Datensicherheit
 
spm Feierabendworkshop im September
spm Feierabendworkshop im Septemberspm Feierabendworkshop im September
spm Feierabendworkshop im September
 
ITSM in der Praxis
ITSM in der PraxisITSM in der Praxis
ITSM in der Praxis
 
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad SahovicEine geniale Lösung für das Benutzermanagement by Suvad Sahovic
Eine geniale Lösung für das Benutzermanagement by Suvad Sahovic
 

Mehr von Andreas Lezgus

Cloud Computing Government
Cloud Computing GovernmentCloud Computing Government
Cloud Computing Government
Andreas Lezgus
 
IT-Beschaffungen Forum Vergabe
IT-Beschaffungen Forum VergabeIT-Beschaffungen Forum Vergabe
IT-Beschaffungen Forum Vergabe
Andreas Lezgus
 
Migration of a large IT-Infrastruktur
Migration of a large IT-InfrastrukturMigration of a large IT-Infrastruktur
Migration of a large IT-Infrastruktur
Andreas Lezgus
 
Cloud Computing and Industrialisation of IT
Cloud Computing and Industrialisation of ITCloud Computing and Industrialisation of IT
Cloud Computing and Industrialisation of IT
Andreas Lezgus
 
Mobile Computing with Apps for Government/Police
Mobile Computing with Apps for Government/PoliceMobile Computing with Apps for Government/Police
Mobile Computing with Apps for Government/Police
Andreas Lezgus
 
Mindjet
MindjetMindjet

Mehr von Andreas Lezgus (8)

Cloud Computing Government
Cloud Computing GovernmentCloud Computing Government
Cloud Computing Government
 
IT-Beschaffungen Forum Vergabe
IT-Beschaffungen Forum VergabeIT-Beschaffungen Forum Vergabe
IT-Beschaffungen Forum Vergabe
 
Migration of a large IT-Infrastruktur
Migration of a large IT-InfrastrukturMigration of a large IT-Infrastruktur
Migration of a large IT-Infrastruktur
 
Projektmanagement
ProjektmanagementProjektmanagement
Projektmanagement
 
Cloud Computing and Industrialisation of IT
Cloud Computing and Industrialisation of ITCloud Computing and Industrialisation of IT
Cloud Computing and Industrialisation of IT
 
Mobile Computing with Apps for Government/Police
Mobile Computing with Apps for Government/PoliceMobile Computing with Apps for Government/Police
Mobile Computing with Apps for Government/Police
 
Anwendungsportfolio
AnwendungsportfolioAnwendungsportfolio
Anwendungsportfolio
 
Mindjet
MindjetMindjet
Mindjet
 

Informationssicherheit

  • 2. Kurzer Überblick 47.000 Beschäftigte 50 Polizeibehörden 600 Standorte Einsatz Kriminalität Verkehr Verwaltung …
  • 3. IT - Infrastruktur 30.000 PC 1.500 Server Daten- / Sprachnetz 250 zentrale IT- Anwendungen Spezialbereiche …
  • 6. Die Vorgeschichte 1997 Aufbau des Corporate Network der Polizei NRW 1997 IT-Sicherheitskonzept IT-Sicherheitshandbuch des BSI Erfassungsbögen, Tabellen, Listen… Papier ohne Ende Organisation war nicht in der notwendigen Weise vorbereitet 1999 - 2001 Konsolidierung der Vorgehensweise 2002 Entscheidung für IT-Grundschutz und GSTOOL 2003 Wahrnehmung der Aufgabe Informationssicherheit beim Innenministerium NRW
  • 7. Wege zum Ziel - Erfolgsfaktoren? Verantwortung des Managements Leitlinie für Informationssicherheit Etablierung einer Sicherheitsorganisation Richtlinien und Standards
  • 8. Sicherheitsorganisation • Abteilungsleiter Polizei • Oberstes Entscheidungsgremium IT-Lenkungsausschuss • Referatsleiter - • Personelle und finanzielle Ressourcen Fachbereiche • Informationssicherheitsleitlinie Strategische • Strategie, Ziele, Prozesse Informations- • Referat IT und Technik sicherheit IT-Sicherheitsmanager der Polizei • Kontrollmaßnahmen, Überprüfung • Entscheidungsvorbereitung für IT-LA Eskalation & Rückmeldung • IT-SiMa, IT-SiBe der LA • Eskalationsinstanz, Entscheidungsvorber. Ausschuss für • Fachlich/technische Anforderungen • Leiter PolCERT Informationssicherheit • Vertreter Fachbereiche • Analyse kritischer IT-Sicherheitsvorfälle • Landesamt für Zentrale • Planung/Durchführung von Audits Landeszentrale operative • Technische Konzepte Polizeiliche Dienste Informationssicherheit • Behandlung von IT-Sicherheitsvorfällen (LZPD) Operative • Landesamt für Zentrale • Identifikation von und Schutz vor Informations- PolCERT NRW Polizeiliche Dienste Schwachstellen sowie Koordinierungsstelle sicherheit (LZPD) für präventive und reaktive Maßnahmen • Mitarbeiter der örtlichen • Steuerung des lokalen Sicherheitsprozesses IT- • Sensibilisierung und Schulung (lokal) Sicherheitsbeauftragte Polizeibehörde • Entscheidungsvorbereitung für IT-LA
  • 9. Vorgehensmodelle IT-Projektmanagement V-Modell XT Informationssicherheitsmanagement ISO 27001 IT-Servicemanagement ITIL IT-Standards SAGA IT-Wirtschaftlichkeitsuntersuchungen IT-WiBe
  • 10. IT-Sicherheitskonzepte Verfahrensspezifische IT-Sicherheitskonzepte Schutzbedarf Verfügbarkeit Integrität Vertraulichkeit Ergänzende Sicherheitsanalyse Lokale IT-Sicherheitskonzepte Adaption der verfahrensspezifischen IT-Sicherheitskonzepte
  • 11. Schulung & Sensibilisierung Zielgruppen Führungskräfte, IT-Sicherheitsbeauftragte, Auditoren, Administratoren, Sachbearbeiter, Entwickler Eigene Referenten erzeugen „polizeilichen Mehrwert“
  • 12. Geprüfte Informationssicherheit IT-Sicherheitsaudits Intern - Polizei NRW Extern - Polizeien des Bundes und der Länder Rahmenbedingungen Prüfschema des BSI für ISO 27001-Audits auf der Basis von IT-Grundschutz Auditoren ISO 27001 , 3 lizenzierte Auditoren IT-Grundschutz-Auditoren der Polizei NRW 8 Mitarbeiter geschult durch BSI Weitere Qualifizierung in polizeieigenen Workshops
  • 13. Richtlinien Strategie Leitlinie für Informationssicherheit bei der Polizei in Nordrhein-Westfalen Sicherheitsrichtlinie Internet-Richtlinie E-Mail-Richtlinie Behandlung IT- Übergreifend zur IT-Nutzung Sicherheitsvorfälle Datensicherung Virenschutz- Notfall- Energieversorgung Konzept Rahmenkonzept NEA/USV Outsourcing Datenträger- Transferkonzept Sichere E-Mail- entsorgung Kommunikation Verfahrensspezifische IT-Sicherheitskonzepte Sicherheitshinweise Sicherheitshinweise für Richtlinie für Zielgruppen für IT-Benutzer IT-Administratoren IT-SiBe Virenschutz Sicherheitsgateway Anlagenprüfung/- weitere Technik blockung
  • 14. Verantwortlichkeiten prüfen (Leitlinie) Audits durchführen (Reifegrad) Kommunikation mit Fachbereichen (Sponsor) Dienstleistungsverträge prüfen (Rechte / Pflichten)