l Best Practices – Einführung von ISO 27001 in mittelständischen Unternehmen Congress@it-sa – Der sichere Hafen für Ihre Unternehmens IT it-sa Nürnberg, Oktober 2014 Peter Schindecker,

Download Report

Transcript l Best Practices – Einführung von ISO 27001 in mittelständischen Unternehmen Congress@it-sa – Der sichere Hafen für Ihre Unternehmens IT it-sa Nürnberg, Oktober 2014 Peter Schindecker, 

l
Best Practices – Einführung von
ISO 27001 in mittelständischen
Unternehmen
Congress@it-sa – Der sichere Hafen für Ihre Unternehmens IT
it-sa Nürnberg, Oktober 2014
Peter Schindecker, Geschäftsführer Formware GmbH
Einführung ISO 27001- Themenüberblick
IT-Sicherheit
Datenschutz
Risiko Management
BCM Management
IT-Compliance
Informations
Sicherheits
Management
System
Erste Schritte
Der Weg zur Zertifizierung
Empfehlungen - KVP
Technologie und Innovation …
… für dokumentorientierte Geschäftsprozesse
Formware-Kurzprofil
IT-Services & Produkte im Bereich
• Gründung: 1988
Kundenkommunikation
• Mitarbeiter: ca. 65
■ Consulting & Projektmanagement
■ Korrespondenz Management
• Sitz: Nußdorf am Inn
■ Dokumenten & Output Management
• Niederlassung: Rosenheim/Ludwigsburg
■ Business Process Outsourcing (BPO)
Software
Produkte
IT-ServiceCenter
Managed
Services
Technologie und Innovation …
… für dokumentorientierte Geschäftsprozesse
• Layout und Design
• Print on demand
• ISO-zertifizierte
Rechenzentren
• Output Services –
alles aus einer Hand
• Korrespondenz-Steuerung
• Private Cloud Technologie
• Output-Management
• Online Information
Plattform
• Individualisierung &
Personalisierung
• Secure E-Mail / De-Mail
• Archiv Services
• Multichannel-Management
• Web-to-print Lösungen
BPO - Business Process Outsourcing
Business Process Outsourcing findet vornehmlich in
folgenden Bereichen Anwendung:
•
Finanz- und Rechnungswesen / Buchhaltung
•
HR/Personalwesen/bAV
 Rechnungserstellung
und –versand
•
Beschaffung
•
Logistik
 Mahnungs- und
Inkasso-Prozess
•
Customer Care
•
RZ-Betrieb
•
Banken (Abwicklung von Zahlungsverkehr, Kredit- und
Wertpapiergeschäften)
Formware BP-Services
 Lohn-/Gehaltsabrechnung
 Bestellwesen / Einkauf / Supply Chain
 Event Management
 Versicherungspolice,
Verträge, Kontoauszüge, etc.
 Tagespost, Mailings, .
-> Fokus: Datenschutz + IT-Sicherheit + IT- Compliance
Referenzen
Finanzdienstleister
Versicherungen
Kommunikation
Handel
Energieversorger
Druck- und
Zustelldienstleister
Industrie
Projekte in Forschung und Entwicklung (seit 2013)
Formware als Partner der Wissenschaft
• Gütesiegel „Innovativ durch Forschung“
Auszeichnung der Forschungstätigkeit durch den Stifterverband für die
Deutsche Wissenschaft
• Tool:Cloud
Unternehmensübergreifendes Lebenszyklusmanagement für Werkzeuge in der
Cloud mittels eindeutiger Kennzeichnung und Identifikation
Konsortium mit TU München
und mehreren Unternehmen
• VEDIC [geplant]
Vertraulichkeit und Integrität bei der Datenspeicherung
und -verarbeitung in der Cloud
Konsortium mit Fraunhofer Institut AISEC,
Leibniz Universität Hannover und ORBI Team
ISMS – Einordnung in das Management System
ISMS – Einordnung in das Management System
Was ist Informationssicherheit gemäß ISO 27000ff ?
Informationssicherheit gewährleistet folg. Grundwerte für alle schutzwürdigen Informationen und informationsverarbeitenden Systeme:
• Die Vertraulichkeit stellt sicher, dass bestimmte
Informationen, d.h.
• geschäftskritische Informationen und Know How,
• personenbezogene Daten (MA, Kunden, Partner),
nur durch berechtigte Personen, Instanzen oder Prozesse
eingesehen werden können.
• Die Integrität sorgt für vollständige und unversehrte Daten (korrekt,
unveränderbar oder unleugbar geloggt), Daten tragende Systeme und
Daten verarbeitende Prozesse.
• Die Verfügbarkeit garantiert berechtigten Nutzern den Zugriff auf
Informationen und Daten tragende Systeme zum jeweils erforderlichen
Zeitpunkt.
Motivation – Sinn und Zweck der Zertifizierung
Theorie – Ziele und Ergebnisse
Messbarkeit der
Transparenz und Kontrolle
Sicherheit
der Wirksamkeit
Qualitätsmanagement in
Optimierung bzgl.
Informations-Sicherheit
Effizienz und Effektivität
Zertifizierung
Vertrauen bei Kunden,
der Sicherheit
Lieferanten und Partnern
Integration in Führungs-
Vorbereitung auf denkbare
und Betriebsstruktur
Vorfälle und Risiken
Gewährleistung der
Reduziertes Haftungs-
Gesetzes-Konformität
risiko von V und GF
Motivation – Sinn und Zweck der Zertifizierung
Praxis – Ausgangssituation und Ziele
Hohe Kundenanforderungen
Vertrauen bei Kunden,
bez. Informationssicherheit
und Partnern (USP)
Zertifizierung als notwendige
Ausbau Neukunden
Basis (RFIs, Prozesse, etc.)
Optimierung der Abläufe
Unvollständige Prozess-
Erfolgreiche und effiziente
definition und -dokumente
Durchführung Kundenaudits
Geringe Awareness
Sensibilisierung auf
bei Mitarbeitern und GL
IS - Vorfälle und Risiken
Verstärkte Anforderungen
Einhaltung der Gesetze
aus neuer Gesetzgebung
transparentes Haftungsrisiko
Erste Schritte zur erfolgreichen Zertifizierung (1)
1. Welche Variante ist für mein Unternehmen die richtige Wahl?
2. Überprüfung Ist-Zustand - Analyse und Bewertung Ist-Zustand
Erste Schritte zur erfolgreichen Zertifizierung (2)
2. Überprüfung Ist-Zustand - Analyse und Bewertung Ist-Zustand
Fragekatalog

Welche Erfordernisse an die Vertraulichkeit, Integrität, und Verfügbarkeit von Informationen
gibt es? – Risiko- und Schutzbedarfsanalyse

Wie lassen sich die vorhandenen Informationen nach ihrer Sensibilität klassifizieren?

Welche Prozesse und Infrastrukturen sind kritisch für Ihre Geschäftstätigkeit oder
Aufgabenerfüllung? – Business Impact Analyse
Unternehmensleitlinie im Sinne von Regelwerk und Policy (Was möchten wir erreichen?)


Prozesse (Welche Abläufe, Prozesse und Vorgehensweisen gibt es? –Betriebsmanagement,
Veränderungen, Sicherheitsvorfälle, usw.)

Organisation (Wer ist verantwortlich?) – Prozessowner

Asset Management (Was muss geschützt werden?)

Personelle Sicherheit (Wer verarbeitet welche Informationen)

Physische Sicherheit (Wie werden sensible Bereiche geschützt?)

Business Continuity Management (Wie werden bei mangelnder Verfügbarkeit von
Informationssystemen die Geschäftsprozesse aufrecht erhalten)

Lieferanten Management, Subdienstleister, etc. (Wo und von wem werden Leistungen
bezogen, entwickelt, gewartet?)

Compliance (Wie werden Verstöße gegen Gesetze, Verträge oder Sicherheitsregeln
vermieden)

…..
Der Weg zur erfolgreichen Zertifizierung
3. Prozessorientierte Umsetzung der ISMS Richtlinien und Anhang A
• Definition Gültigkeitsbereich des Zertifikats
• Leitlinie
• Sicherheitsorganisation
• Lenkung von Dokumenten
• Statement of Applicability
• Management Review
• Maßnahmenplan
• Risikoanalysemethodik
• Risikoanalysen - Prozesse und Unternehmenswerte
Der Weg zur erfolgreichen Zertifizierung
3. Prozessorientierte Umsetzung der ISMS Richtlinien und Anhang A
• Benutzermanagement
• Incident Handling
• Betriebsprozesse
• Physische Sicherheit
• Personelle Sicherheit
• Notfallmanagement
• ...
• Nachweise, dass Prozesse „gelebt“ werden
• Incidents, Changeantrag, Sicherheitsorganisation
• Besucherliste, Bestellung des IT-Sicherheitsbeauftragten, ...
• Audits, Wartungsnachweise, Notfallübungen, etc.
Der Weg zur erfolgreichen Zertifizierung
Was will der Auditor sehen?
•
•
•
•
•
Verweis auf das Risikomanagement in der Leitlinie
Mitarbeiter Awareness – Interviews
Abgleich der Sicherheitsziele mit den Messparametern (KPIs)
Nachweis der Wirksamkeit von Maßnahmen
Management Review – Rückblick und Vorschau
•
•
•
•
•
Klassifizierung der Informationen und Festlegung der Eigentümer
Richtlinie Maßnahmen (Woher kommen sie?)
Zuordnung der Controls zu Assets und Maßnahmen
Auflistung relevanter Gesetze
Bestellung Sicherheits- und Datenschutzbeauftragter
•
•
•
•
•
•
•
BCM (Wiederanlauf, Tests)
Dokumentation des Beschaffungsprozesses
Dokumentation Logging Monitoring (was soll überwacht werden)
Patch Konzept
Test der Datensicherungen
Dokumentation Hardening
…..
Der Weg zur erfolgreichen Zertifizierung
Roadmap
Richtlinien und
Konzepte ab 02/2010
Vor-Audit
10/2010
Zertifizierungsaudit
TÜV Nord
12/2010
Strategie/Risiko
bis 11/2009
Start 03/2009
Init 11/2009
Projektteam:
Dauer:
Aufwand:
Kosten:
Invest:
6 Mitarbeiter
20 Monate
42 PM (intern)
80 TEUR (extern)
125 TEUR
KVP – Das Leben nach der Zertifizierung
Kontinuierlicher Verbesserungsprozess KVP - Aufgaben und Maßnahmen
•
s. Maßnahmenplan ISO Zertifizierungsaudit (Findings)
o Ausbau der Sicherheitsorganisation (CISO, BCM Manager, ..)
o Investitionen für Infrastruktur- und Systemerweiterungen
o Erweiterung Loggingverfahren, Userverwaltung, Pen-Test, etc.
•
Weiterentwicklung des zentralen ISMS - Service Desks (ITIL-konform) für
o Incident Management
o Problem Management
o Change Management
o Configuration-, Release Management, etc.……
•
Sensibilisierung Mitarbeiter und GL -> Awareness …..
o Regelmäßige Mitarbeiterschulungen ISMS/Datenschutz
•
Durchführung und nachvollziehbare Dokumentation von
o Übungen (u.a. BCM Notfallübungen, Gebäudeschutz, etc.
o internen Audits (durch IT-/Datenschutzbeauftragten)
•
Vorbereitung Überwachungsaudits bzw. Re-Zertifizierungsaudit
Best Practises - Empfehlungen
•
Enge und frühzeitige Einbindung der Geschäftsführung (Prozessowner) und aller
Mitarbeiter im gesamten Zertifizierungsprozess -> KVP-Prozess
•
Durchführung Zertifizierungsvorbereitungen durch ein möglichst dafür frei gestelltes
Projektteam mit dem dafür notwendigen Know How
•
Frühzeitige Unterstützung durch ein kompetentes ISMS-Beratungshaus (Effiziente
Ist-Analyse, pragmatischer Ansatz für Schutzbedarfs- und Risikoanalyse …)
•
Berücksichtigung von Prozessarchitektur und -definitionen gemäß ITIL-Definition 3.0
(Incident Management, Problem Management, Change Management, …..)
•
Berücksichtigung von für Ihr Unternehmen wesentliche Prozesse gemäß IT Service
Management ISO 20000, ISO 9000 Qualitätsmanagement, etc.
•
Auf die Rahmenbedingungen des Unternehmens ausgerichtete Definition
des ISMS-Gültigkeitsbereichs, -Prozesse und -dokumentation mit
 einem pragmatischen Ansatz (man muss täglich damit arbeiten können)
 einer möglichst hohen Flexibilität in der Festlegung bzw. Änderung von
Richtlinien und Arbeitsanweisungen
•
Aufbau eines zentralen ISMS Service Desk auf Basis von professionellen Tools
•
Zusätzliche Unterstützung durch Bestellung eines externen Datenschutzbeauftragten
Vielen Dank!
Kontakt:
Peter Schindecker
Geschäftsführer
Formware GmbH
Stangenreiterstraße 2
83131 Nußdorf am Inn
Phone: +49 8034 9038-0
Fax:
+49 8034 9038-6338
Mobil: +49 176 19038220
E-Mail: [email protected]
Web: www.formware.de