„ISO 27001 & DS-GVO in Projekten“ · 27001 Mitglied des Vorstands des Best Practice...

im-ps.de

„ISO 27001 & DS-GVO in Projekten“Aspekte der Informationssicherheit und des Datenschutzes im Projektmanagement

- Stefanie Eilhardt -

2 im-ps.de

Stefanie Eilhardt

Diplom-Informationswirtin - Seit 1997 inder Informationswirtschaft tätig

PRINCE2-zertifizierte Projektmanagerin /Aufgaben und Rollen im Bereich deszumeist IT-nahen Projektmanagement

Trainerin für die TÜV SÜD Akademie imBereich Information ManagementSecurity Systeme (ISMS) nach ISO/IEC27001

Mitglied des Vorstands des Best PracticeUser Group Deutschland e.V. (BPUG)

www.im-ps.de

Stefanie Eilhardt

Dipl. Inf.-Wirtin & Projektberaterin

Fachfrau für das Information Management

PRINCE2 PractitionerISO/IEC 27001 TrainerISO/IEC 27001 Auditor ISMS ISO/IEC 27001 Information Security Officer

[email protected]

ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.

3 im-ps.de

Agenda

1. Projekte: Informationssicherheit und Datenschutz– Abgrenzung

– Sicherheitsvorfälle in Projekten

– Auswirkungen von Sicherheitsvorfällen

2. IS & DS im Projektlebenszyklus -Fallbeispiele zur Integration

3. Integration Managementsysteme

4. Projektmanagementrollen und –Verantwortlichkeiten & Die Rolle des PMO

5. Fazit


4 im-ps.de

1.1 Projekte & Informationssicherheit


• ISO 27001 baut eine Brücke zum Projektmanagement

• Anforderung: DIN ISO/IEC 27001:2015-03 Anhang A

• A.6.1.5: Sicherheit von Informationen im Projektmanagement

• Im Projektmanagement wird die Sicherheit von Informationen berücksichtigt

• Unabhängig von Art oder Branche des Projekts

• Geistiges Eigentum

– Schutzrechte wie Patente, technische Verfahren, Marken oder Gebrauchsmuster

– Software-Entwicklungen und Lizenzen

– Unternehmens-Know-how, Betriebs- und Geschäftsgeheimnisse

• Informationsträger

– Datenbanken, Speichermedien, IT

5 im-ps.de

1.2 Sicherheitsaspekte - ISO 27001


6 im-ps.de

1.3 Aspekte des Datenschutz


• am 25. Mai 2016 in Kraft getreten• ab dem 25. Mai 2018 wird auf Einhaltung geprüft

(Datenschutzaufsichtsbehörden)• Es drohen Bußgelder, sowie ein Reputationsverlust

• „Daten Anderer“

• Namen

• Geburtsdaten

• Adressdaten

• Nutzerverhalten

• Vorlieben

• …

7 im-ps.de

1.4 Aspekte des Datenschutz


Art der Daten Beispiele

Mitarbeiterdaten • Lebensläufe

Data-Science-Projekte mit Maschinendaten

• Projekte mit nicht-anonymisierten Personendaten für Verfahren zur Analyse und Prognose

• „Big Data“, „Data Intelligence“, „Data Mining“ oder „Profiling“

Softwareprojekte • Pflicht zur Anonymisierung von Daten bei der Verwendung für Testzwecke

Projekte verwenden personenbezogene Daten

8 im-ps.de

1.5 Sicherheitsvorfälle in Projekten


http://winfuture.de/news,95715.html, Abruf 23.12.2017

9 im-ps.de



http://www.gulli.com/news/28144-schriftrollen-von-qumran-viele-dokumente-offenbar-gestohlen-2017-02-10#

10 im-ps.de



https://boerse.ard.de/marktberichte/dax-mieses-timing100.html

11 im-ps.de

1.8 Motivation der „Täter“

• Industrie- und Wirtschaftsspionage• Produktpiraterie• Korruption• Mangelnde Sorgfaltspflicht• Unwissenheit• Kurze Produkt- und Projektzyklen• Einsparungen bei Sach- und Personalmitteln• Unzufriedene Mitarbeiter• Experimentierfreudige Mitarbeiter• Projektgäste mit anderem

Sicherheitsstandard


12 im-ps.de

1.9 Projektinformationen


13 im-ps.de

1.10 Auswirkungen von Vorfällen


Vor-fälle

Doppel-arbeit & Zusatz-kosten Wiederbe

schaffungsaufwand

Ineffzt. Ressourceneinsatz

Termin-verschie-bungen

Planungs-verzugVerlust

Wettbe-werbsvor-

sprung

Reputationsschaden

Beendig. Geschäfts-beziehung

Vertrags-verletzung

Schaden-ersatzfor-derungen

Informationssicherheits-und Datenschutz-verletzungen in Projekten können schwere Folgen für ein Projekt, das Unternehmen und die angeschlossenen Dienstleister und Kunden haben.

14 im-ps.de

2.1 IS & DS im Projektlebenszyklus I


Vorbereiten eines Projekts

• Aktivitäten die vor dem Beginn des Projekts durchzuführen sind

• Mitarbeiterauswahl: Sicherheitsüberprüfung

• Verträge müssen die IS-Anforderungen berücksichtigen

• Erfahrungen im Umgang mit IS&DS für den Lösungsansatz & Planung berücksichtigen

• Mandat und Business Case: IS&DS als Projektziel oder implizit (über das PMS)

• Projektbeschreibung: Toleranzen für IS

Lenken eines Projekts

• Leit- und Richtlinien der Informationssicherheit

• Freigabe von Ressourcen für IS&DS

• Freigabe von BC & Plänen unter Berücksichtigung der Anforderungen an IS&DS

• Berichte an LA beinhalten Status IS & DS

• Vermittelt bei Problemen mit IS & DS bzgl. Lieferanten

Initiieren eines Projekts

• Entscheidung über Start des Projekts, Freigabe Plan & Business Case

• Niveau der Informationssicherheit bestimmen

• Projektplan: Skalierung für das ISMS im Projekt

• Genehmigung Sonderregelungen für IS & DS

• Risikoregister für IS & DS-Risiken

• Kommunikationsplan: Wer darf welche Informationen einsehen?

• Mitarbeiterauswahl: Sicherheitsüberprüfung

15 im-ps.de

2.2 IS & DS im Projektlebenszyklus II


Steuern einer Phase

• Tägliche Arbeit eines Projektmanagers

• Erfassen und Prüfen offener Punkte / Risiken zu IS & DS

• Toleranzen: Prüfen & Korrekturmaßnahmen

• Freigabe und Prüfen von Arbeitspaketen bzgl. IS & DS

• Erstellen von Statusberichten auch bzgl. IS & DS

Managen der Produktlieferung

• Verträge enthalten IS-Anforderungen

• Arbeitspakete enthalten IS-Anforderungen

• Eignung von Dienstleistern prüfen (z.B. durch eine ISO 27001-Zertifizierung)

• Prüfen von Arbeitspaketen bzgl. Einhaltung IS & DS

Managen des Phasenübergangs

• Einhaltung des Business Case prüfen

• Phasenabschlussberichte: Einhaltung IS & DS

• Pläne prüfen und anpassen

• IS-Vorfälle, IS-Verfahren neue IS-Anforder-ungen?

• Business Case aktualisieren

• Projektsteuerungsmittel anpassen

• Nächste Phase planen

Abschließen eines Projektes

• Gesteuerter Projektabschluss

• Unter Berücksichtigung der IS & DS-Anforderungen

• Projektendprodukt auf IS & DS prüfen

• Rückgabe Informations-werte (Laptops, Akten)

• Rechte entziehen (Ausweise, Accounts)

• Löschen/“Rück-gabe“ von Daten

16 im-ps.de

3.1 Managementsysteme


Konfig. Mgmt.

Organisation

Risiko

Organisation

Risiko

Qualität

Änderungs-mgmt.

Risiko

Qualität

Änderungsmgmt.

Financial Mgmt.

Project Mgmt.

Qualität

Financial Mgmt.

Project Mgmt.

Risiko

Konfig. Mgmt.

Organisation

Isolierte Managementsysteme Integrierte Managementsysteme

17 im-ps.de

3.2 Integration Managementsysteme


18 im-ps.de

4.1 Rollen & Verantwortlichkeiten


PMO

PMSEinrich-

tung

Betrieb

Schnittstellen

Strate-gien

Lösungen

Beschaffung

Bera-tung

Projekt-lauf-werk

Analyse

Audit

Schu-lung „Security by Default“

• Grundstein wird im PMS gelegt

• PMO verantwortet Integration, Betrieb, Verbesserung des PMS unter Berücksichtigung der Anforderungen aus ISMS & DSMS

19 im-ps.de



Lenkungsausschuss

• Verbindung zur Geschäftsführung

• Kommunikation der IS&DS-Politik und –Ziele

• Gibt Projektmanagement-System vor

• Informiert über Kritikalitätsstufe des Projekts

• Definiert akzept. IS&DS-Risikoniveau

• Security- / Datenschutz-Manager-Rolle ist im LA vertreten

Projektmanager

• berücksichtigt Vorgaben zum IS im Projekt

• Definition der Kundenanforderungen

• Erkennt und behandelt IS & DS -Risiken

• Informiert das Projektteam

Teammanager

• berücksichtigt IS&DS bei der Erstellung der Produkte

• Informiert sein Team

• Stellt Vertraulichkeit sicher

• Kommuniziert Abweichungen

• Identifiziert Risiken & Maßnahmen

Projektsicherung

• Überprüfung der Einhaltung von IS-Anforderungen

• Stellt Nachbesserungsbedarf fest

• Projektmanagementaudits

• beurteilt die Angemessenheit und Umsetzung von Maßnahmen

20 im-ps.de



Security Manager

• Unabhängig vom Projekt

• Sicherheitsanforderungen definieren

• Über Risiken informieren

• Freigabe von Bedrohungsanalysen

• Neue Erkenntnisse zu Schwachstellen, Bedrohungen und Lösungen berichten

• Review von Projektkonzepten im Hinblick auf IS-Anforderungen

• Beratung des Projekts

• Abstimmung und Interessensausgleich zwischen Datenschutz und IT-Sicherheit

Datenschutzbeauftragter

• Unabhängig vom Projekt

• Datenschutzanforderungen definieren

• Über Risiken informieren

• Freigabe von Bedrohungsanalysen

• Neue Erkenntnisse zu Schwachstellen, Bedrohungen und Lösungen berichten

• Review von Projektkonzepten im Hinblick auf DS-Anforderungen

• Beratung des Projekts

• Abstimmung und Interessensausgleich zwischen Datenschutz und IT-Sicherheit

Technische Architekten / Hersteller

• Berücksichtigt Sicherheits- und DS-Anforderungen

• Sicherheitsarchitektur definieren

• Technische Bedrohungsanalyse

21 im-ps.de

5. Fazit: Integrieren Sie IS & DS in Ihr Projektmanagementsystem!

1. Kennen Sie Ihren Wert!

2. Ein Projekt ist so sicher, wie Sie es machen!

3. Schaffen Sie eine solide Basis!

4. Skalieren Sie!

5. Keiner ist allein!

6. Seien Sie konsequent!

7. Profitieren Sie von Ihren bestehenden Managementsystemen!


22 im-ps.de

Literaturhinweis


Ankündigung

„Informationssicherheit im Projekt nach ISO 27001 am Beispiel PRINCE2©“von Stefanie Eilhardt

Ausgabe 8 oder 9 (18.4. oder 2.5.)www.projektmagazin.de

23 im-ps.de

Danke schön!


„ISO 27001 & DS-GVO in Projekten“ · 27001 Mitglied des Vorstands des Best Practice...

Documents

Transcript of „ISO 27001 & DS-GVO in Projekten“ · 27001 Mitglied des Vorstands des Best Practice...