Informationssicherheit aus Managementsicht 2014/1… · 04.10.2014 · ISMS Prozess als PDCA-Modell...
Transcript of Informationssicherheit aus Managementsicht 2014/1… · 04.10.2014 · ISMS Prozess als PDCA-Modell...
Informationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation Bundesamt für Sicherheit in der Informationstechnik Claudia Großer 31. Forum „Kommunikation und Netze“ 09.-10. April 2014
ISMS Prozess als PDCA-Modell
10.04.2014 BSI, Claudia Großer 3
Informationssicherheit ist ein
kontinuierlicher Prozess
Die Verantwortung für Betrieb
und Aufrechterhaltung trägt die Leitung
6 10.04.2014 BSI, Claudia Großer
IT-Sicherheit gestalten
Roadmap und Verantwortlichkeiten für ISMS und BCM
Kontinuierliche Verantwortung & Monitoring über den gesamten Prozess
Identifikation und Analyse
der
Geschäfts-Kernprozesse durch Leitung und Fachverantwortliche
Initierung des ISMS - Prozesses durch die Leitung
Prozessinitiierung,
Ressourcenbereitstellung Leitlinienverabschiedung
7 10.04.2014 BSI, Claudia Großer
IT-Sicherheit gestalten
Roadmap und Verantwortlichkeiten für ISMS und BCM
Kontinuierliche Verantwortung & Monitoring über den gesamten Prozess
Identifikation und Analyse
der
Geschäfts-Kernprozesse durch Leitung und Fachverantwortliche
Es ist von Vorteil, wenn die Geschäftsprozesse und respektive die IT-basierten kritischen Geschäftsprozesse
bekannt sind
Den Auftrag für die Identifikation erteilt und verantwortet die Leitung
Hier benötigt das ISMS-Team das Mandat und die Rückendeckung der Leitung !
8 10.04.2014 BSI, Claudia Großer
Die ISMS Organisation muss ressourcenmäßig bereitgestellt und aufgebaut werden
Den Auftrag für den Aufbau erteilt und verantwortet die Leitung
Wichtigster Mitspieler für diese Aufgabe ist der IT-Sicherheitsbeauftragte!
IT-Sicherheit gestalten
Roadmap und Verantwortlichkeiten für ISMS und BCM
10 10.04.2014 BSI, Claudia Großer
Beispiel einer ISMS-Organisation in einer mittelgroßen Institution
Behörden- /
Unternehmensleitung
IT-Sicherheits-
beauftragter
System-/Projekt-
IT-Sicherheits-
beauftragter
IT-Sicherheits
Managementteam IT-Koordinierungs
Ausschuß
Vertreter der
IT-Anwender
Sicherheitsleitlinie
(Regeln zur IT-Sicherheit)
Regeln zur IT-Sicherheit
(Systemebene)
Ebene der
Gesamtorganisation
System/ Projekt
Ebene
Das ISMS-Team …
unterstützt den IT-Sicherheitsbeauftragten bei der Wahrnehmung seiner Aufgaben
bestimmt IT-Sicherheitsziele und –strategien
entwickelt die IT-Sicherheitsleitlinie und prüft deren Umsetzung
wirkt mit bei der Erstellung des IT-Sicherheitskonzeptes
prüft die Wirksamkeit der IT-Sicherheitsmaßnahmen
genehmigt den Realisierungsplan für die IT-Sicherheitsmaßnahmen und stellt die erforderlichen Ressourcen zur Verfügung und
erstellt Schulungs- und Sensibilisierungsprogramme
11 10.04.2014 BSI, Claudia Großer
Das ISMS Organisationsteam
12 10.04.2014 BSI, Claudia Großer
IT-Sicherheit gestalten
Roadmap und Verantwortlichkeiten für ISMS und BCM
Schulungs- und Sensibilisierungsmaßnahmen zur IT- Sicherheit
IT-Sicherheitsbeauftragte
IT-Sicherheitsmanagement
Leitung / IT-Verantwortliche
Administratoren / Benutzerservice / Operateure
Infrastrukturverantwortliche
Anwender
Umsetzung Schulungsmaßnahmen und
Sensibilisierungsmaßnahmen Schulungskonzept
Wichtig für diesen
Teilbereich ist die
Mitwirkung und Vorbildfunktion
der Leitung !
13 10.04.2014 BSI, Claudia Großer
Zentrale Aufgaben des Notfallmanagers
Aufbau der Notfallorganisation
Erstellung der Notfallvorsorgekonzepte
Kontinuierliche Prüfungen
Berichterstattung
Aufbau
Notfallorganisation
& Ressourcen Planung
BSI Standard 100-4
Erstellung
Notfallvorsorgekonzepte nach BSI Standard 100-4
Überprüfung durch
Notfallübungen,
Revisionen,etc
Berichterstattung an die Leitung
Das Notfallmanagement
benötigt gleichermaßen Unterstützung
durch die Leitung !
IT-Sicherheit gestalten
Roadmap und Verantwortlichkeiten für ISMS und BCM
15 10.04.2014 BSI, Claudia Großer
Komponenten eines ISMS
Umsetzung der IT-Sicherheitsstrategie mit Hilfe einer IT-Sicherheitsorganisation und des IT-Sicherheitskonzeptes
17 10.04.2014 BSI, Claudia Großer
BSI-Standard 100-1 für ISMS
Zielgruppe: Management
Allgemeine Anforderungen an ein ISMS
Kompatibel mit ISO 27001
Didaktische Darstellung der Inhalte
ISMS: Managementsysteme für Informationssicherheit
Ressourcen
Strategie
Mitarbeiter
Management-
Prinzipien
ISMS
BSI 100-1
19 10.04.2014 BSI, Claudia Großer
Onlineinformationen des BSI
www.bsi.bund.de
www.bsi-fuer-buerger.de
20 10.04.2014 BSI, Claudia Großer
Informationen im Abo
www.cert-bund.de Warn- und Informationsdienst
www.bsi.bund.de/Newsletter
www.buerger-cert.de
22 10.04.2014 BSI, Claudia Großer
Bundesamt für Sicherheit in der
Informationstechnik (BSI)
Claudia Großer
Godesberger Allee 185-189
53175 Bonn
Tel: +49 (0)228 99-9582-333
Fax: +49 (0)228 99-10-9582-333
www.bsi.bund.de
www.bsi-fuer-buerger.de
www.buerger-cert.de
Kontakt