information security management systeme-isms beispiele
Post on 28-Feb-2022
1 Views
Preview:
TRANSCRIPT
©r-tec IT Security GmbH 2016 1.0
IT-SA 18.10.2016
Dr.-Ing. Stefan Rummenhöller
Information Security Management Systeme-ISMS
Beispiele erfolgreicher Umsetzung
Geschäftsführer r-tec IT Security GmbH
©r-tec IT Security GmbH 2016 3
Je nach Branche, Anforderung und Motivation des Kunden sind die
• Ausprägung,
• Vorgehensweise und
• Dauer
unterschiedlich.
Vorgehen erfordert Flexibilität und Branchenkenntnis
Nur bedingt standardisierbar
Gute Kenntnisse in IT-Security-Technik und -Architektur
Es gibt nicht „das“ ISMS Projekt!
©r-tec IT Security GmbH 2016 4
ISMS erfolgreich einführenKleiner Auszug aus ProjektenBeispiele Treiber Zertifizierung
Energieversorger (Netzbetreiber, Kraftwerke) Gesetz Ja
Holding Struktur Stadtwerke (Strom, Gas, Wasser, ÖVP) Gesetz + Management In Teilen
Betreiber von zentral gemanagten IoT-Landschaften Markterschließung Ja
Automotive mit/ohne Ergänzung VDA-Katalog Kundenforderung,
Markt
Ja
Pharma, Chemie Information Security Management Markt,
Visibility IT Security
Nein
Industrial IT (Produktion) Risikobetrachtung Nein
©r-tec IT Security GmbH 2016 5
ISMS ist nicht nur ISO 27001Branchenspezifische Anforderungen
ISO 27001
ISO 27002Konkretisierung des Anhangs A.
Definiert Maßnahmen zur
Umsetzung der Kontrollziele in den
Bereichen Organisation, Prozesse,
IT-Betrieb und (indirekt) Technik.
Branchenspezifische
Normen• ISO 27011 – TK
• ISO 27018 – Cloud
• ISO 27019 – EVU
• ISO 27799 – Health
Weitere Anforderungen
• VDA-Katalog
• Cyber Security Check
Versicherung
ISO 27005Leitlinien für ein systematisches
und prozessorientiertes
Risikomanagement, das die
Anforderungen an das
Risikomanagement nach ISO/IEC
27001 unterstützt.
definiert Anforderungen an das Informationssicherheits-
Managementsystem (ISMS) und die umzusetzenden
Kontrollziele
©r-tec IT Security GmbH 2016 9
Schrittweise zum ZielDas r-tec 5-Phasen-Modell
• Initialaudit
• Kennzahlen-
ermittlung
• PDCA/ KVP
• Management
Review
• Begleitung
ISMS Board
• Vorbereitung
Zertifizierung
ISO 27002 ISO 27001ISO 27001
• Workshop • Dokumenten-
sichtung
• Workshops
• Prozess-analyse
• Dokument-
erstellung
• Etablierung
normkonformer
Unternehmens-
prozesse
• Umsetzung
Maßnahmenkat.
• 7 Module
Erg
eb
nis
seA
ufg
ab
en
• Leitlinie
• Geltungs-
bereich
• Rollen / Ver-
antwortung
• Projektplan
• Reifegrad
• Maßnahmen-
katalog
• SOA
• IT-Sicherheits-
handbuch
• IT-Notfall-
handbuch
1.Verankerung
des ISMS im
Unternehmen
2.KVP & PDCA
3.IT-Risiko-
management
4.Auditzyklen
5.Kennzahlen
6.Schulungen
7.Management-
Review
ISO 27001
ZertifizierungBerücksichtigung branchenspezifischer
Subnormen und Anforderungen
ISMS Light
Phase 1:
Initialisierung
Phase 2:
GAP-Analyse
Phase 3:
Umsetzung
Phase 4:
Management-
prozesse
Phase 5:
Übergang
Betrieb
©r-tec IT Security GmbH 2016 11
Beispiel GAP AnalyseEin kurzer Auszug
©r-tec IT Security GmbH 2016 14
Realistischer Zeitplan
Phase 1:
Initialisierung
Phase 2:
GAP-Analyse
Phase 3:
Umsetzung
Optional: Gütesiegelung durch
akkreditierten Zertifizierermin. 7-12 Monate
Phase 4:
Management-
prozesse
Phase 5:
Übergang
Betrieb
ISO 27001
Zertifizierung
min. 7-12 Monate
Erfahrung mit:
©r-tec IT Security GmbH 2016 15
Nutzung von Tools
Risikoanalyse Dokumentationen Audits Assetverwaltung Security Incident/
Breach Handling
©r-tec IT Security GmbH 2016 16
r-tec ISMS Toolbox
• Werden beschlussfähig im Projekt erstellt:
• Informationssicherheitsleitlinie
• ISMS-Scope
• Statement of Applicability
• Umfangreiche Muster (Blueprint):
• IT-Sicherheitshandbuch
• IT-Notfallhandbuch
• Risikomanagementrahmen
• Kennzahlenregister
• Vorlagen:
• IN-Register
• Klassifizierungsschema
• Kennzahlensteckbrief
• Managementreview
• Auditplan, Auditbericht
zertifizierun
gsb
ewä
hrt
©r-tec IT Security GmbH 2016 18
• Aktive Beteiligung der Geschäftsführung und Managementebenen
• Transparenz
• Bereitstellung erfahrener Mitarbeiter/innen für die GAP Analyse
• Einrichtung und Besetzung von Projektrollen (z.B. Projektleiter Kunde mit passenden Soft und Hard Skills)
• Termintreue
Erfolgsfaktoren Projekt
©r-tec IT Security GmbH 2016 19
• Ermittlung des Scope
• Definition der richtigen Kennzahlen (KPIs)
• Vollständiges / aktuelles Assetregister
• Klassifizierung von Informationen
• Organisatorischer Teil des Business Continuity
Management
• Einführung neuer Prozesse (Change-/ Security
Incident Management)
Erfolgsfaktoren Projekt„Wo tun sich alle schwer?“
©r-tec IT Security GmbH 201620
Warum r-tec?Knowhow/Erfahrung/Erfolge
Branchenerfahrung und nach ISO 27001
zertifizierte Kunden
Aufbau ISMS in verschiedenen Sektoren mit und
ohne Zertifizierungsziel
20 Jahre Erfahrung in IT-Sicherheit (Beratung,
Analyse, Betrieb)
Zertifiziert durch TÜV:
• ISO 27001 seit 2 Jahren
• ISO 9001 seit 16 Jahren
Wir setzen das ISMS so um, dass es gelebt werden kann und nicht nur auf dem
Papier steht.
KRITIS in 6 Bundesländern
15 laufende Projekte Aufbau gem.
27001+27019 Zertifizierung ISMS
Kraftwerksbetreib
Aufbau und Zertifizierung ISMS
Produktion Nahrungsmitteln
Aufbau ISMS Phase 1-3
Automotive/Pharma/Consumergoods
Aufbau Information Security Management
Maschinen- und Anlagenbau
Aufbau und Betrieb ISM für Produktion
©r-tec IT Security GmbH 2016
Aufgabe
Schutz vor Cyber Risiken
und
Aufbau geeigneter
Sicherheitsstandards
Gründung 1996
inhabergeführter
Mittelständler
Spezialisiert
auf IT-Sicherheit
• Beratung
• Analyse
• Services
Willkommen in
Sicherheit
Zertifiziert nach
• ISO 27001
• ISO 9001
Für die Bereiche
• Office IT
• Cloud
• Industrial IT
• IoT
Über 200
Kunden
aus allen
Branchen
top related