isms – iso 27001 - · pdf fileinformationssicherheitsleitlinie v2.1 – aeb gmbh 6 2...

Informationssicherheitsleitlinie V2.1 – AEB GmbH 1

Informationssicherheits-

leitlinie

Dokumentversion: 2.1

Freigegeben am: 30.09.2013

Gültig ab: 14.10.2013

Gültig für: AEB Gesellschaft zur Entwicklung von Branchen-Software mbH

Vorname Nachname

Rolle in Bezug auf dieses Dokument

Unterschrift

Hauptverantwortlich Volkher Wegst Mitarbeiter QM Services

Mitverantwortliche Martin Setzler Leiter QM Services

Jochen Günzel Geschäftsführung


1 Leitlinie und Regeln zur Politik der Informationssicherheit

Die Informationssicherheitsleitlinie richtet sich an die von der Informationssicherheit Betroffenen und regelt das Management der Sicherheit.

Dieses Kapitel bedient aus der Norm der ISO 27001 den Regelungsbereich A.5.

1.1 Zweck und grundsätzlicher Anspruch

Diese Leitlinie will sich einigermaßen stabil erhalten; sie ist auch Bestandteil der Unternehmenskultur und ist Ausdruck und Willenserklärung des Managements. Sie umfasst Politikerklärungen als Obermenge zur Informationssicherheit (Rahmen zum Setzen von Zielen, Handlungsgrundsätze u.ä.). Eine wesentliche Orientierung bietet die ISO 27001, zu der wir seit Februar 2010 im Besitz eines Zertifikats sind.

Regeln ändern sich; wir leben in einer dynamischen Welt.

Security bedeutet zuerst Bewusstsein.

Security ist ein Anspruch, dessen Verwirklichung trainiert werden muss.

Daher verstehen wir Security als eine Verpflichtung, eine grundsätzliche Einstellung und einen Prozess der kontinuierlichen Verbesserung. Wir sind auf langfristige Beziehungen ausgerichtet.

1.2 Vorgaben und Anforderungen

1.2.1 Geschäftserfordernisse

Unsere Kunden stehen im Fokus unseres Qualitätsanspruchs; deren Vertrauen und Zufriedenheit mit den Lösungen der AEB hinsichtlich Unterstützung deren Geschäftsprozesse ist elementares Maß für den Erfolg.

Dabei sind wir aufgrund unserer Hosting-Lösungen auch angehalten, die Sicherheits- und Qualitäts-Ansprüche zu erfüllen, die sich z.B. aus gesetzlichen Anforderungen für unsere Kunden und deren Prozesse ergeben.

Die Einhaltung von Sicherheitsmaßstäben ist daher für die AEB in hohem Maße durch ihre Rolle und Aktivitäten als Dienstleister in ihrem Branchenumfeld gegeben. Der zunehmende Anspruch an Internationalisierung legt daher die Orientierung an international anerkannten Maßstäben nahe.

Die AEB nimmt dabei die Perspektive Sicherheit als zunehmend wichtiges Entscheidungskriterium im Markt wahr. Die Perspektive Sicherheit beschränkt sich dabei nicht allein auf die Beherrschung der Facette Technik, sondern berücksichtigt organisatorische Aufstellung und die Beachtung gesetzlicher Anforderungen gerade auch in unserem Umfeld unserer Produkte und Dienstleistungen, mit denen unsere Kunden täglich Geschäftsprozesse durchführen.


1.2.2 Gesetzliche Anforderungen

Mit Kurzbeschreibung in Stichworten

KonTraG (Maßgabe, ein Überwachungssystem einzurichten; Früherkennung; Aussagen über Risikostruktur; Nachweis der Nachvollziehbarkeit über die Funktion eines Kontrollsystems)

GDPdU, GOBS (Sorgfaltspflichten bei der Verarbeitung, Vorhaltung und Bereitstellung von Informationen, insbesondere zu rechnungsrelevanten Daten zur Buchführung und Steuerprüfung; Forderung zur Einrichtung eines internen Kontrollsystems)

BDSG (Bereitstellung eines Sicherheitskonzepts nach §9 – techn. und organisatorische Maßnahmen; Sorgfalt hinsichtlich Persönlichkeitsrechten Betroffener, Datensparsamkeit, Vertraulichkeit)

Basel II (indirekt über Vorgaben an Banken als Kreditgeber)

1.2.3 Vertragliche Anforderungen

Im Rahmen von Service Level Agreements (SLA) mit Kunden vereinbaren wir Qualitätsziele und deren Einhaltung mit quantitativen Angaben (u.a. Reaktionszeiten, Verfügbarkeiten).

Das BDSG gibt uns Vorschriften vor, die uns im Umgang mit unseren Kunden, Partnern und Subunternehmern zu besonderen Sorgfaltsplichten anleiten (s. Auftragsdatenverarbeitung nach §11 BDSG). Ein Datenschutzbeauftragter ist bestellt.

Abschluss von Vertraulichkeitserklärungen mit Geschäftspartnern (Kunden, Partner, Subunternehmer)

1.2.4 Sonstige regulative Anforderungen

Alle Mitarbeiter der Organisation sind zur Einhaltung obiger Erfordernisse und Anforderungen aufgerufen und verpflichtet. Generell ist jeder Mitarbeiter verantwortlich, zur Qualitätssicherung aktiv beizutragen.

Das Bewusstsein, die Wachsamkeit und die tatsächliche Wahrnehmung von qualitätssichernden Maßnahmen sowie das Training von Notfall-Management werden

im Rahmen von Pflicht-Bausteinen der AEB geschult,

in Meetings des IT-Security-Boards kontinuierlich überwacht

und regelmäßig im Rahmen von internen Audits geprüft

Zur Erfüllung der Nachhaltigkeit (wirksame Sicherstellung des ISMS):

ist ein PDCA-Zyklus aufgesetzt, aus dem auch Verantwortlichkeiten und Spielregeln hervorgehen

sind alle Mitarbeiter aufgerufen, das IT-Security-Board einzuschalten, wenn sich Änderungen im Umfeld ergeben, die Auswirkungen auf sicherheitsrelevante Aspekte haben

Orientierung an der ISO 27001 und unseren Spielregeln unseres ISMS (Informationssicherheitsmanagementsystem)


1.3 Leitsätze zur Sicherheitsstrategie

Unsere maßgeblichen Sicherheitskriterien sind Verfügbarkeit, Vertraulichkeit und Integrität.

Verfügbarkeit betrifft dabei nicht nur technische Aspekte der Erreichbarkeit unserer IT-Lösungen, sondern auch organisatorische Verfügbarkeit von Ansprechpartnern wie etwa für Support-Zwecke mit unseren Kunden. Diesbezügliche Vereinbarungen werden im Rahmen von Standard-Verträgen oder gesondert in SLAs getroffen.

Vertraulichkeit betrifft nicht nur technische Belange wie etwa Zugriffsbeschränkungen entsprechend der Aufgabengebiete, sondern die Klarstellung und verpflichtende Vereinbarung von Befugnissen unserer Mitarbeiter im Umgang mit Daten insbesondere unserer Geschäftspartner.

Integrität fordert insbesondere klare Prozesse in der Informationsverarbeitung.

In Anlehnung an COSO wurde ein Internes Kontrollsystem (IKS) eingerichtet, um grundlegende Strategien und Prinzipien zu verankern wie:

Anforderung nach Funktionstrennung

4-Augen-Prinzip für kritische Aktivitäten (Freigabe von Patches, Guides, Verträgen, Vergabe von Benutzerrechten….)

Prinzip der Transparenz (Dokumentationspflichten)

Regelungen zur Vertraulichkeit (u.a. Need-to-know-Prinzip)

Einsatz von Risikomanagement (ISMS)

Grundsätzlich wollen wir als Sicherheitsstrategie das Prinzip des outer perimeter defense verfolgen. Die zu verteidigende Grenzlinie orientiert sich an dem jeweilig gewählten Anwendungsbereich. Diese Sicherheitsstrategie betrachten wir in der Phase der Risikobewertung.

Für den Prozess der Risiko-Analyse wollen wir jedoch den Modell-Mix der ‚Sicherheit von innen nach außen’ bzw. ‚Sicherheit durch Eigentümerschaft’ befolgen. Grundsätzlich ist jede festgestellte (signifikante) Information ein schützenswertes Gut. Wir gehen daher den Weg der analytischen Vorgehensweise mit folgenden Charakteristiken:

Inventarisierung der Informationen zum Anwendungsbereich (einschließlich tangierender Bereiche)

Klare Zuordnung von Verantwortlichen zur Information; „Stellt man fest, dass für einen Informationswert keine Verantwortlichkeit festgelegt ist, so ist dies umgehend nachzuholen.“ [1]

Risikobetrachtung und Schutzmaßnahmen werden möglichst nahe zur Information entwickelt und in Einklang mit den Vorgaben dieser Policy gebracht.

Kann dem Schutzbedürfnis einer Information durch Maßnahmen auf einer höheren Modellierungsebene wirkungsvoll Genüge getan werden, so haben diese Vorrang.

Aus diesem Grunde ist die Inventarisierung so zu modellieren, dass der Betrieb des ISMS mit Sicherheitsmaßnahmen angemessen erfolgen kann.

Das ISMS soll dabei zu größerer Handlungssicherheit verhelfen und auch den Prozess der Beschäftigung mit Risiken effizienter gestalten (Recherchen vertiefen oder Risiko akzeptieren).

Das ISMS soll dabei geeignet sein, die Sicherheitsziele zu erreichen und auch für die Perspektive Sicherheit Grundlage für ein verbindliches Wertesystem sein.

Das Verhältnis von Aufwand und Risikoreduktion soll für den entsprechenden Schutzbedarf des Anwendungsbereichs angemessen sein; entsprechend ist ein strategisches Risikomanagement installiert, das Maßnahmen an den Leitlinien ausrichtet und mit ihnen konform hält.

„Ein ISMS verlangt weniger die Konstruktion einer uneinnehmbaren Festung als vielmehr die ständige Wachsamkeit, Risiken zu erkennen, mit angemessenem Aufwand auf die wichtigsten Bedrohungen zu reagieren und bislang übersehene Schwachstellen zumindest zu entschärfen.“ [1]


Das ISMS soll flexibel genug sein, sich ändernden Rahmenbedingungen oder Zielen anzupassen. Für die Nachhaltigkeit sorgt der kontinuierliche Betrieb.

Wir versprechen uns vom Betrieb des ISMS eine erhöhte Motivation der Mitarbeiter durch Er-kennen der Bedeutung schützenswerter Informationen (=assets) für unsere Organisation, für interne und bereichsübergreifende Abläufe. Analog zur Perspektive Qualität wird der Mitarbeiter u.a. durch Schulungsmaßnahmen gezielt sensibilisiert und zur Mitverantwortung einbezogen.

Das Management ist stark eingebunden durch

Entwickeln und Freigabe dieser Leitlinie

Durchführung von regelmäßigen Managementbewertungen

Festlegung von Grenzwerten für tolerierbare Risiken (Vorgaben)

Verantwortung/Akzeptanz zu ausgewiesenen Restrisiken

Vermittlung des Gedankenguts und der Bedeutung dieser Leitlinie

Bereitstellung von Ressourcen

Organisation von Security-Kampagnen, Notfall-Übungen u.ä.

Das Management ist insbesondere aufgerufen, da es besondere Verantwortung zur Behebung von Mängeln im organisatorischen Bereich (ungeregelte Verantwortlichkeiten, ungeeignete Prozesse oder unzureichende Ressourcen) hat. Entscheidungen und Begründungen zu Maßnahmen sind als Ausdruck unserer ISMS-Politik rückverfolgbar darzustellen; dies impliziert eine Protokollierung.

Wichtig sind uns auch intensive Bemühungen zur Problemvermeidung, z.B. durch

Diverse regelmäßige Kontrollen und interne und externe Audits. Um unsere Sicherheit zu prüfen, lassen wir uns regelmäßig intern und extern gezielt angreifen. Die Durchführung dieser Penetrationstests haben wir an einen externen Dienstleister beauftragt.

Prinzip der Früherkennung (Monitoring und Alerting der Systeme)

Nachbetrachtungen, Ursachen-Analysen bei aufgetretenen Emergencies

Betrieb eines Notfall-Konzepts und einer Emergency-Organisation

Durchführung von Notfall-Übungen (anhand simulierter Szenarien)

Reges wach halten der Security Awareness (Intranet, Schulungen u.ä.)

1.4 Sicherheit – Die wichtigsten Regeln

Die AEB legt sich mit dem Security Guide verbindliche Regeln auf, die von der Belegschaft getragen und beachtet werden. Hier nur einige Auszüge der wichtigsten Regeln als Überschriften:

Für Sicherheit ist jeder MA mitverantwortlich; Security-Vorfälle werden über ein zentrales Werkzeug administriert.

Regelungen zu Clean Desk; Sicherheit am Arbeitsplatz (u.a. Virenschutz)

Sicherstellung der Sorgfaltspflichten durch Geheimhaltungserklärung

Umgang mit Accounts und Passwörtern

Umgang mit Daten außer Haus bzw. außerhalb EU/EWR-Raum

Beachtung des Datenschutzes (intern und extern)

Regelmäßige Teilnahme an Schulungsmaßnahmen (rund um Security Awareness)

Umgang mit Personal

Sicherstellung zu Abschlüssen von Vertraulichkeitserklärungen mit unseren Geschäftspartnern bei Bedarf


2 Organisationsstruktur

Dieses Kapitel bedient aus der Norm der ISO 27001 den Regelungsbereich A.6. Dabei geht es um die Handhabung der Informationssicherheit innerhalb und außerhalb der Organisation.

2.1 Rollen, Verantwortlichkeiten und Ressourcen

Die Zustimmung des Managements zur ISMS-Leitlinie bedeutet auch die grundsätzliche Zustimmung des Managements dazu, welche identifizierten Risiken getragen werden.

Die Informationssicherheit wird bei der AEB in dem IS-Board aus verschiedenen Rollen wahrgenommen. In der Regel wollen wir mit Rollen arbeiten; die aktuellen Instanzen können der Organisationsstruktur gemäß gültigen Organisationsdokumentation entnommen werden.

Es gibt einen benannten Verantwortlichen des Managements für IT-Sicherheit (IT-Security Manager). In enger Abstimmung ist ein ISMS Manager für den Betrieb des ISMS verantwortlich.

Unsere Rollen rund um Sicherheit sind:

Rolle Funktion, Verantwortung Mitglied in Kommentar

Geschäftsleitung Freigabe dieser Richtlinien

Freigabe der Organisation zum ISMS

Durchführung Managementbewertung; Freigabe der Erklärung der Anwendbarkeit

Freigabe von Ressourcen und Mittel

Entscheidung über die Kriterien zur Akzeptanz von Risiken

IS-Board Höchste Instanz der Verantwortung

Leitung ISB (Sicherheits-management)

bestehend aus IT-Security Manager und ISMS Manager

Leitung dieses Boards

Controlling des ISMS gemäß unserer Vorgaben, insbesondere auch der Einhaltung regelmäßiger Aktivitäten

Veranlassung interner Audits

Kontrolle der Arbeit am Risikobehandlungsplan

Beurteilung Wirksamkeit der Maßnahmen

Erklärung der Anwendbarkeit erstellen

Dokumentation von Management-Änderungen

Sicherstellung Dokumentenlenkung

Reporting Incidents zu Sicherheitsvorfällen

Bausteine zu Sicherheitstraining und ISMS-Bewusstsein anbieten

Sicherheits-Checks veranlassen und überwachen

IS-Board, AK Security

in Gang bringen und halten des PDCA-Zyklus zum Betrieb des ISMS.

Auch Teilnehmer in Gremium und AK.


Rolle Funktion, Verantwortung Mitglied in Kommentar

Domänen-Sicherheitsbeauftragte

Die Domänen-Sicherheitsbeauftragten sind für die Durchsetzung der relevanten Sicherheitsvorgaben in ihrer Domäne verantwortlich.

Diese sind in der ihnen zugeordneten Domäne" verantwortlich für die Durchführung der Risikobetrachtung, einschließlich Risikobehandlung. Dazu beziehen sie für diesen Prozess bei Bedarf die jeweiligen Eigentümer der assets mit ein.

Sie sind entsprechend u.a. für den Betrieb des ISMS geschult und eingearbeitet.

IS-Board Vorzugsweise wird diese Rolle von Qualitätsmanagern übernommen

Leitung Systemmanagement

z.B. Infrastruktur

Näheres s. Orga-Guide

AK Security Nur fallweise hinzugezogen

Operations Betrieb des Rechenzentrums

Verantwortung zu BCM, Durchführung Risikobehandlung

AK Security Näheres in Service-Guide definiert.

Jeder im Board Wahrung der Kontakte zu Behörden und zu sicherheitsrelevanten Interessengruppen

IS-Board Gemäß A.6.1.6, A.6.1.7

SLA Manager Mitsprache bei Festlegung der tolerierten Risiken für Kunden-Installationen

Ist mit der Kenntnis der bestehenden SLAs und damit der vereinbarten Ansprüche der Kunden ausgestattet


Datenschutzbeauftragter (DSB)

Hinwirken auf die Einhaltung des Datenschutzgesetzes (BDSG)


Compliance Officer Rechtskonformität

Monitoring auch von Änderungen von relevanten gesetzlichen Vorgaben

IS-Board A.15

2.1.1 Domänen-Sicherheitsbeauftragte, Eigentümer und Verantwortung

Den Betrieb des ISMS wollen wir organisatorisch schlank halten. Personell steht daher die Rolle des Qualitätsmanagers (QM) auch für die Informationssicherheit in der Verantwortung.

Für nachfolgend gelistete Domänen, die in direktem Zusammenhang mit unseren Haupt-Geschäftsprozessen stehen, konnten die so genannten Regelungsbereiche der ISO-Norm zugeordnet und die Rolle des Domänen-Sicherheitsbeauftragten eingerichtet werden.

Die Domänen-Sicherheitsbeauftragten sind in ihrer Domäne verantwortlich für die Durchführung der Risikobetrachtung. Dazu beziehen sie für diesen Prozess die jeweiligen Eigentümer der assets mit ein.

Details und Detail-Zuordnungen regelt das ISMS-Dokument „Erklärung zur Anwendbarkeit“. Dort wird für jede Zeile (Regelungsbereich – Sicherheitskategorie – Maßnahmenziel) ein Verantwortlicher zugeordnet (dort Spalte Abschnitt). Die Domänen-Sicherheitsbeauftragten berücksichtigen daher regelmäßig diese Dokumentation für ihren Wirkungsbereich zu ihrer Zuständigkeit und Verwirklichung des Maßnahmenziels.


Nr. Domäne Regelungsbereich

A.x

Domänen-Sicherheitsbeauftragter

1 Verwaltung mit

Subdomäne Personal

Subdomäne Recht und Gesetz, Compliance, Datenschutz

8

13-15

Entsprechender Qualitätsmanager

2 Infrastruktur mit

Subdomäne Systemmanagement

Subdomäne Haustechnik

9-14

n.A.


3 Services mit

Subdomäne Operations (Betrieb, Kommunikation)

Sudomäne Support (Incident Management)

10-12

13


4 Produkte / Technik zur Anwendung 12 Entsprechender Qualitätsmanager

5 Lösungen (früher Kundenprojekte) n.A. Entsprechender Qualitätsmanager

6 Vertrieb/Vermarktung n.A. Entsprechender Qualitätsmanager

2.2 Regelmäßige Aktivitäten

Das Einrichten und Führen eines ISMS bedeutet die regelmäßige Durchführung gemäß eines PDCA-Zyklus; hierzu gehören mindestens folgende zu dokumentierende Aktivitäten:

Schulungen zur Aus- und Weiterbildung werden in der AEB als „Bausteine“ bezeichnet. Pflichtbausteine gehören zur Grundausbildung (GA) und müssen von jedem neuen Mitarbeiter besucht werden. Als Pflichtbausteine eingestuft sind z.B. aufgrund ihres hohen Stellenwerts Schulungen zur Sicherheit (Arbeitsschutz, Datenschutz, Datensicherheit, ISMS). Nähere Informationen findet man im Wiki in der Kategorie Weiterbildung: http://wiki/mwiki/index.php/Kategorie:Weiterbildung.

Durchführung interner Audits (gemäß unserer Vorgaben); 1 x / Jahr

Managementbewertungen (des ISMS); mindestens 1 x / Jahr

Wiederholung der Risikoeinschätzung; mindestens 1 x / Jahr

Pflege des Risikobehandlungsplans

Pflege der Korrektur- und Vorbeugemaßnahmen

Erklärung zur Anwendbarkeit (Überprüfung auf Aktualität)

Die Audits – auch die internen - werden protokolliert; die Protokolle werden abgelegt in H:\GruppeBelz\Security\ISO_27001\ISMS_Betrieb\Audits.

„Aktivitäten und Ereignisse, die einen Einfluss auf die Wirksamkeit oder Leistungsfähigkeit eines ISMS haben oder darüber Aufschluss geben können, müssen aufgezeichnet werden.“[1]

2.3 Umgang mit Änderungen von Vorgaben

Änderungen an der IT-Landschaft, den Geschäftsprozessen oder Bedrohungen oder deren Einschätzung müssen zur Neubetrachtung der ISMS-Politik führen. Neben der Verankerung einer aktiven Bringschuld sind regelmäßige Termine und Verpflichtung zur aktiven Einberufung solcher Betrachtungen vorgesehen.

http://wiki/mwiki/index.php/Kategorie:Weiterbildung


Änderungen von Regelungen und gesetzlichen Vorgaben

In besonderer Bringschuld stehen hier unsere Rollen Compliance Officer, Datenschutzbeauftragter und das Team Recht.

Generell gilt zusätzlich:

Sollten gesetzliche Anforderungen auf anderen Wegen (z.B. IHK Bekanntmachungen oder Informationsrecherchen) einem Mitarbeiter bekannt werden, so sind diese als Servicefälle an Recht oder AK Security in den Regelprozess zu bringen. Bei Bedarf werden diese Fälle im IS-Board weiter erörtert.

Auch durch externe Vorgaben veranlasste Änderungen werden im Dokument über Korrektur- und Vorbeugemaßnahmen festgehalten.

2.4 Administration

Zur Pflege des ISMS und Wahrung aller zugehörigen Aktivitäten werden Aufgaben und Mittel (Aufwände) als Projekte im Tool ASSIST4CRM verwaltet.

Diese Projekte haben folgende Charakteristik

jeweils eine Laufzeit von 1 Jahr.

Sie weisen Rollen aus; zumindest immer Projektleiter, -manager, weitere Rollen des IS-Board

Veranschlagter Aufwand

Die benötigten Mittel werden regelmäßig ermittelt und bereitgestellt.

Als Orientierung wollen wir uns vorgeben, uns an unserem Umsatz mit 1% auszurichten.

Diese (Informationssicherheits-)Leitlinie ist als Auszug im unternehmenseigenen WIKI veröffentlicht, per NEWS vermittelt und den Teilnehmern des IS-Boards direkt zugestellt worden.

Sie ist relevante Pflichtlektüre für alle Mitarbeiter der AEB GmbH.

Zur regelmäßigen Prüfung dieser Leitlinie dienen

Die internen (regelmäßigen) Audits

Ereignisse, die das Anwendungssystem oder relevante Randbedingungen verändern.

2.5 Weitere Dokumente zur Sicherheit

Folgende weitere Dokumente regeln und vereinbaren Sicherheit in unserem Unternehmen:

ISMS Guide

als direkte Fortführung dieser Informationssicherheitsleitlinie

mit der Darstellung der Umsetzungen zum Risikomanagement

Security Guide

Fokus ist hier das konkrete Umsetzen und Erleben des Mitarbeiters im Tagesgeschäft

Zielgruppe sind hier alle Mitarbeiter

Weitere Dokumente zu Business Continuity Management (z.B. Emergency Guide)


3 Anwendungsbereich zur ISO 27001 - Verfahren und Prozesse

Der Anwendungsbereich ist das AEB-Kunden-Rechenzentrum in der Colocation / Stuttgart.

Örtlichkeit: Stuttgart-Vaihingen, Breitwiesenstraße

System: Gehostete Systeme (Betrieb und Services) für unsere Kunden; sie reichen über alle unsere Anwendungen der Produktserien ASSIST4, ||XPRESS, Engines, ATC.

Schnittstellen: Dies sind Zugangssysteme für remote-Zugriffe (CITRIX-Server, WebServer für Internet-Anbindungen …), Verbindungen z.B. zum Zoll. Angrenzende Systeme sind dabei

Service/Support: Prozess Changemanagement

Produkte/Kundenprojekte: Prozess Releasemanagement

Begründung für die Auswahl

Start der Zertifizierungsbestrebungen mit Konzentration auf einen Kern (ISO erlaubt und ermöglicht modulares Vorgehen)

Der Schutzbedarf zu Betrieb Rechenzentrum ist hoch

Das Kunden-Rechenzentrum nimmt einen bedeutenden Anteil unseres Business ein

wir wählen daher bewusst einen großen und bedeutsamen Anwendungsbereich als „Piloten“ aus

auch ist uns bewusst, dass diese Konzentration nur einen Beginn darstellt

Eine ausführliche Auflistung der Werte (im Zuge der Inventarisierung) und Risiken erfolgt in einem eigens hierfür vorgesehenen Werkzeug (RiscTool) zur Erfassung und Pflege für die Regelungsbereiche A.8 ff.

Übersicht über grundsätzliche Werte und typische Risiken

Information (Wert) Risiko

Wertetyp Information

Kundendaten, Systemdaten Verlust, unerlaubter Zugriff

Verträge Verlust oder Veränderung; unerlaubte Einsichtnahme

Verfahrensanleitungen (Guides, Checklisten, Prozessbeschreibungen)

Verlust oder Veränderung; unerlaubte Einsichtnahme

Systemdokumentationen Verlust oder Veränderung; unerlaubte Einsichtnahme

Wertetyp physische Werte

Gebäude, Räume Unerlaubter Zugang

Hardware im RZ Verlust; unerlaubter Zugang und Zugriff

Kommunikationsperipherie Penetration

Arbeitsplatz-Clients Verlust; unerlaubter Zugriff

Sicherheitsbereiche Rechte und Pflichten unangemessen, unkontrolliert

Datenträger Verlust; unerlaubter Zugang und Zugriff

Wertetyp Software

Unsere Produkte/Anwendungen Fehlende Konformität zu gesetzlichen Vorgaben

Sicherheitssoftware Unzuverlässigkeit

Tools zu Wartung und Monitoring Unzuverlässigkeit


Information (Wert) Risiko

Entwicklungswerkzeuge Abhängigkeit Fremdhersteller; Lizenzen

Wertetyp Dienstleistung

Dienstleistungen zur Einhaltung von SLAs

Mangelhafte Kontrolle

Datensicherung Mangelhafte Kontrolle

RZ-Services (Telekom für Strom, Klima, Heizung)

Qualität der Verträge bzw. Disziplin

Wertetyp Personal

Kompetenzen (Wissen, Fähigkeiten, Erfahrungen, Autorität)

Einstellungsprozess, ungeeignete Ausbildung

Externe Dienstleister (z.B. ITENOS, Penetrationstester)

Grad des Einsatzes und der Durchsetzung von Sicherheitsvorkehrungen

Aus- und Weiterbildungsprogramm Mangelnder Invest; mangelnde Verbindlichkeit

Wertetyp Übergeordnetes

Image, Reputation, Ansehen Ereignisse, die zu schwerwiegendem Vertrauensverlust bei unseren Kunden führen

Gesetzestreue, Compliance (z.B. BDSG)

Fehlende Ressourcen, Kapazitäten, mangelnde Verbindlichkeit und Kontrolle

Schwachstellenmanagement Fehlende Ressourcen, Kapazitäten

Kontakt

Bei Fragen zur IT-Sicherheitsleitlinie wenden Sie sich bitte an: AEB Gesellschaft zur Entwicklung von Branchen-Software mbH

Julius-Hölder-Straße 39 D-70597 Stuttgart

Tel. +49/711/7 28 42-300 Fax +49/711/7 28 42-333 E-Mail: [email protected]

Handelsregister Stuttgart, HRB 84 31 Ust-ID-Nr.: DE 22 55 69 444

Geschäftsführer Jochen Günzel, Markus Meißner Verantwortlicher i.S.d. § 55 RStV: Jochen Günzel, Markus Meißner

Die Informationen in diesem Dokument sind Eigentum der Firma AEB GmbH und dürfen ohne Zustimmung nicht kopiert oder an Dritte weitergegeben werden.

AEB GmbH versichert, soweit dies möglich ist, dass alle in diesem Dokument enthaltenen Informationen korrekt sind, übernimmt aufgrund der ständigen Weiterentwicklung der IT-Sicherheit aber keine Garantie auf Vollständigkeit. Bitte beachten Sie die aktuelle Version.

Dieses Dokument dient als Informationssicherheitsleitlinie der Firma AEB GmbH und beinhaltet den Stellenwert der Informationssicherheit, die IT-Sicherheitsziele und die Kernelemente der Sicherheitsstrategie der AEB GmbH.

© Copyright AEB Gesellschaft zur Entwicklung von Branchen-Software mbH

Alle Rechte vorbehalten.

http://www.aeb.de/de/impressum/index.php#wEmpty

isms – iso 27001 - · pdf fileinformationssicherheitsleitlinie v2.1 – aeb gmbh 6 2...

Documents