l
Best Practices – Einführung von ISO 27001 in mittelständischen
Unternehmen Congress@it-sa – Der sichere Hafen für Ihre Unternehmens IT
it-sa Nürnberg, Oktober 2014
Peter Schindecker, Geschäftsführer Formware GmbH
Einführung ISO 27001- Themenüberblick
IT-Compliance
Empfehlungen - KVP
Der Weg zur Zertifizierung
Informations Sicherheits Management System
Datenschutz
Erste Schritte
Risiko Management
BCM Management
IT-Sicherheit
Technologie und Innovation …
… für dokumentorientierte GeschäftsprozesseFormware-Kurzprofil• Gründung: 1988• Mitarbeiter: ca. 65• Sitz: Nußdorf am Inn• Niederlassung: Rosenheim/Ludwigsburg
IT-Services & Produkte im Bereich
Kundenkommunikation■ Consulting & Projektmanagement ■ Korrespondenz Management■ Dokumenten & Output Management ■ Business Process Outsourcing (BPO)
IT-Service-Center
Managed Services
Software Produkte
… für dokumentorientierte Geschäftsprozesse
Technologie und Innovation …
• Layout und Design
• Print on demand
• Korrespondenz-Steuerung
• Output-Management
• Secure E-Mail / De-Mail
• ISO-zertifizierte Rechenzentren
• Private Cloud Technologie
• Online Information Plattform
• Archiv Services
• Output Services – alles aus einer Hand
• Individualisierung & Personalisierung
• Multichannel-Management
• Web-to-print Lösungen
Business Process Outsourcing findet vornehmlich in folgenden Bereichen Anwendung:
• Finanz- und Rechnungswesen / Buchhaltung
• HR/Personalwesen/bAV
• Beschaffung
• Logistik
• Customer Care
• RZ-Betrieb
• Banken (Abwicklung von Zahlungsverkehr, Kredit- und Wertpapiergeschäften)
-> Fokus: Datenschutz + IT-Sicherheit + IT- Compliance
BPO - Business Process Outsourcing
Formware BP-Services
Rechnungserstellung und –versand
Mahnungs- und Inkasso-Prozess
Lohn-/Gehalts-abrechnung
Bestellwesen / Ein-kauf / Supply Chain
Event Management
Versicherungspolice, Verträge, Kontoaus-züge, etc.
Tagespost, Mailings, .
Referenzen
Energieversorger
Handel
Druck- und Zustelldienstleister
Industrie
Versicherungen
Finanzdienstleister
Kommunikation
Formware als Partner der Wissenschaft
• Gütesiegel „Innovativ durch Forschung“Auszeichnung der Forschungstätigkeit durch den Stifterverband für die Deutsche Wissenschaft
• Tool:CloudUnternehmensübergreifendes Lebenszyklusmanagement für Werkzeuge in der Cloud mittels eindeutiger Kennzeichnung und Identifikation
Konsortium mit TU München und mehreren Unternehmen
• VEDIC [geplant]Vertraulichkeit und Integrität bei der Datenspeicherung und -verarbeitung in der Cloud
Konsortium mit Fraunhofer Institut AISEC, Leibniz Universität Hannover und ORBI Team
Projekte in Forschung und Entwicklung (seit 2013)
ISMS – Einordnung in das Management System
ISMS – Einordnung in das Management System
Was ist Informationssicherheit gemäß ISO 27000ff ?
Informationssicherheit gewährleistet folg. Grundwerte für alle schutz-würdigen Informationen und informationsverarbeitenden Systeme:
• Die Vertraulichkeit stellt sicher, dass bestimmte Informationen, d.h.
• geschäftskritische Informationen und Know How,• personenbezogene Daten (MA, Kunden, Partner),
nur durch berechtigte Personen, Instanzen oder Prozesse eingesehen werden können.
• Die Integrität sorgt für vollständige und unversehrte Daten (korrekt, unveränderbar oder unleugbar geloggt), Daten tragende Systeme und Daten verarbeitende Prozesse.
• Die Verfügbarkeit garantiert berechtigten Nutzern den Zugriff auf Informationen und Daten tragende Systeme zum jeweils erforderlichen Zeitpunkt.
Motivation – Sinn und Zweck der Zertifizierung
Messbarkeit der
Sicherheit
Qualitätsmanagement in
Informations-Sicherheit
Zertifizierung
der Sicherheit
Integration in Führungs-
und Betriebsstruktur
Gewährleistung der
Gesetzes-Konformität
Transparenz und Kontrolle
der Wirksamkeit
Optimierung bzgl.
Effizienz und Effektivität
Vertrauen bei Kunden,
Lieferanten und Partnern
Vorbereitung auf denkbare
Vorfälle und Risiken
Reduziertes Haftungs-
risiko von V und GF
Theorie – Ziele und Ergebnisse
Motivation – Sinn und Zweck der Zertifizierung
Hohe Kundenanforderungen
bez. Informationssicherheit
Unvollständige Prozess-
definition und -dokumente
Zertifizierung als notwendige
Basis (RFIs, Prozesse, etc.)
Geringe Awareness
bei Mitarbeitern und GL
Verstärkte Anforderungen
aus neuer Gesetzgebung
Erfolgreiche und effiziente
Durchführung Kundenaudits
Ausbau Neukunden
Optimierung der Abläufe
Vertrauen bei Kunden,
und Partnern (USP)
Sensibilisierung auf
IS - Vorfälle und Risiken
Einhaltung der Gesetze
transparentes Haftungsrisiko
Pra
xis
bezo
gen
es IS
MS
Gü
ltigkeits
bere
ich
!
Praxis – Ausgangssituation und Ziele
Erste Schritte zur erfolgreichen Zertifizierung (1)
1. Welche Variante ist für mein Unternehmen die richtige Wahl?
2. Überprüfung Ist-Zustand - Analyse und Bewertung Ist-Zustand
Erste Schritte zur erfolgreichen Zertifizierung (2)
2. Überprüfung Ist-Zustand - Analyse und Bewertung Ist-Zustand
Fragekatalog Welche Erfordernisse an die Vertraulichkeit, Integrität, und Verfügbarkeit von Informationen
gibt es? – Risiko- und Schutzbedarfsanalyse
Wie lassen sich die vorhandenen Informationen nach ihrer Sensibilität klassifizieren?
Welche Prozesse und Infrastrukturen sind kritisch für Ihre Geschäftstätigkeit oder Aufgabenerfüllung? – Business Impact Analyse
Unternehmensleitlinie im Sinne von Regelwerk und Policy (Was möchten wir erreichen?)
Prozesse (Welche Abläufe, Prozesse und Vorgehensweisen gibt es? –Betriebsmanagement, Veränderungen, Sicherheitsvorfälle, usw.)
Organisation (Wer ist verantwortlich?) – Prozessowner
Asset Management (Was muss geschützt werden?)
Personelle Sicherheit (Wer verarbeitet welche Informationen)
Physische Sicherheit (Wie werden sensible Bereiche geschützt?)
Business Continuity Management (Wie werden bei mangelnder Verfügbarkeit von Informationssystemen die Geschäftsprozesse aufrecht erhalten)
Lieferanten Management, Subdienstleister, etc. (Wo und von wem werden Leistungen bezogen, entwickelt, gewartet?)
Compliance (Wie werden Verstöße gegen Gesetze, Verträge oder Sicherheitsregeln vermieden)
…..
Der Weg zur erfolgreichen Zertifizierung
• Leitlinie
• Sicherheitsorganisation
• Lenkung von Dokumenten
• Statement of Applicability
• Management Review
• Maßnahmenplan
• Risikoanalysemethodik
• Risikoanalysen - Prozesse und Unternehmenswerte
PDCA Zyklus
3. Prozessorientierte Umsetzung der ISMS Richtlinien und Anhang A
ISO 2700x
Kapitel 4-8
Annex A Kapitel 5 - 15
• Definition Gültigkeitsbereich des Zertifikats
Der Weg zur erfolgreichen Zertifizierung
• Benutzermanagement
• Incident Handling
• Betriebsprozesse
• Physische Sicherheit
• Personelle Sicherheit
• Notfallmanagement
• ...• Nachweise, dass Prozesse „gelebt“ werden
• Incidents, Changeantrag, Sicherheitsorganisation
• Besucherliste, Bestellung des IT-Sicherheitsbeauftragten, ...
• Audits, Wartungsnachweise, Notfallübungen, etc.
3. Prozessorientierte Umsetzung der ISMS Richtlinien und Anhang A Strategi
e
Risiko Manageme
nt
RichtlinienKonzepte
Umsetzung & Kontrolle
PDCA Zyklus
Der Weg zur erfolgreichen Zertifizierung
Strategie
Risiko Management
RichtlinienKonzepte
Umsetzung & Kontrolle
Was will der Auditor sehen?
• Verweis auf das Risikomanagement in der Leitlinie• Mitarbeiter Awareness – Interviews • Abgleich der Sicherheitsziele mit den Messparametern (KPIs)• Nachweis der Wirksamkeit von Maßnahmen• Management Review – Rückblick und Vorschau
• Klassifizierung der Informationen und Festlegung der Eigentümer
• Richtlinie Maßnahmen (Woher kommen sie?)• Zuordnung der Controls zu Assets und Maßnahmen• Auflistung relevanter Gesetze• Bestellung Sicherheits- und Datenschutzbeauftragter
• BCM (Wiederanlauf, Tests)• Dokumentation des Beschaffungsprozesses• Dokumentation Logging Monitoring (was soll überwacht
werden)• Patch Konzept• Test der Datensicherungen• Dokumentation Hardening• …..
Der Weg zur erfolgreichen Zertifizierung
Roadmap
Start 03/2009
Strategie/Risiko
bis 11/2009
Richtlinien und Konzepte ab 02/2010
Vor-Audit 10/2010
Zertifizierungsaudit TÜV Nord 12/2010
Projektteam: 6 Mitarbeiter Dauer: 20 Monate Aufwand: 42 PM (intern)Kosten: 80 TEUR (extern)Invest: 125 TEUR
Init 11/2009
KVP – Das Leben nach der Zertifizierung
Kontinuierlicher Verbesserungsprozess KVP - Aufgaben und Maßnahmen
• s. Maßnahmenplan ISO Zertifizierungsaudit (Findings)o Ausbau der Sicherheitsorganisation (CISO, BCM Manager, ..)o Investitionen für Infrastruktur- und Systemerweiterungeno Erweiterung Loggingverfahren, Userverwaltung, Pen-Test, etc.
• Weiterentwicklung des zentralen ISMS - Service Desks (ITIL-konform) für o Incident Management o Problem Managemento Change Management o Configuration-, Release Management, etc.……
• Sensibilisierung Mitarbeiter und GL -> Awareness …..o Regelmäßige Mitarbeiterschulungen ISMS/Datenschutz
• Durchführung und nachvollziehbare Dokumentation von o Übungen (u.a. BCM Notfallübungen, Gebäudeschutz, etc. o internen Audits (durch IT-/Datenschutzbeauftragten)
• Vorbereitung Überwachungsaudits bzw. Re-Zertifizierungsaudit
Strategie
Risiko Management
RichtlinienKonzepte
Umsetzung &
Kontrolle
Best Practises - Empfehlungen
• Enge und frühzeitige Einbindung der Geschäftsführung (Prozessowner) und aller Mitarbeiter im gesamten Zertifizierungsprozess -> KVP-Prozess
• Durchführung Zertifizierungsvorbereitungen durch ein möglichst dafür frei gestelltes Projektteam mit dem dafür notwendigen Know How
• Frühzeitige Unterstützung durch ein kompetentes ISMS-Beratungshaus (Effiziente Ist-Analyse, pragmatischer Ansatz für Schutzbedarfs- und Risikoanalyse …)
• Berücksichtigung von Prozessarchitektur und -definitionen gemäß ITIL-Definition 3.0 (Incident Management, Problem Management, Change Management, …..)
• Berücksichtigung von für Ihr Unternehmen wesentliche Prozesse gemäß IT Service Management ISO 20000, ISO 9000 Qualitätsmanagement, etc.
• Auf die Rahmenbedingungen des Unternehmens ausgerichtete Definition des ISMS-Gültigkeitsbereichs, -Prozesse und -dokumentation mit
einem pragmatischen Ansatz (man muss täglich damit arbeiten können)
einer möglichst hohen Flexibilität in der Festlegung bzw. Änderung von Richtlinien und Arbeitsanweisungen
• Aufbau eines zentralen ISMS Service Desk auf Basis von professionellen Tools
• Zusätzliche Unterstützung durch Bestellung eines externen Datenschutzbeauftragten
Vielen Dank!
Fragen?
Kontakt:
Peter SchindeckerGeschäftsführer
Formware GmbHStangenreiterstraße 283131 Nußdorf am Inn
Phone: +49 8034 9038-0Fax: +49 8034 9038-6338Mobil: +49 176 19038220E-Mail: [email protected]: www.formware.de