Cyber Security im Kontext des IT-Sicherheitsgesetz · Prozessen und Diensten 31.10.2016!...
Transcript of Cyber Security im Kontext des IT-Sicherheitsgesetz · Prozessen und Diensten 31.10.2016!...
Cyber Security im Kontext des
IT-SicherheitsgesetzKonformität. Angemessenheit.
Technologie vs. Governance?
Kennzahlen 2015
Umsatz in Mio. € 1.881
Auslandsanteil (in %) 50,6
EBIT (in %) 5,4
Mitarbeiter (-innen) 19.630
Auslandsanteil 11.587
Standorte:
Über
500 69Ländern
Auf allen Kontinenten zuhause.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz2
27%
24%24%
10%
8%7%
Industrie
Service
Produkte
Mobilität
Academy
& Life Care
ICT &
Business
Solutions
Systeme
Umsatz nach Geschäftsbereichen.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz3
Weltweite Standorte
Umsatz 2015:
Geschäftsfelder
IT-Services & Cyber Security
Telco Solutions & Consulting
133 Mio. €
Die Welt von ICT & Business Solutions.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz4
TÜV Rheinland i-sec. Informations- und IT-Sicherheit.
Führender unabhängiger Dienstleister
für Informationssicherheit in Deutschland
Beratungs- und Lösungskompetenz
in ganzheitlicher Informationssicherheit
– von der Steuerungsebene bis ins
Rechenzentrum inkl. betriebsunter-
stützender Leistungen
Exzellente Technologie-Expertise,
umfassendes Branchen-Know-how,
Partnerschaften mit Marktführern
International zählen wir im Verbund
mit unserer Schwestergesellschaft OpenSky
zu den wichtigsten unabhängigen Anbietern
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz5
Zertifiziert nach ISO 27001 und ISO 9001
Finanzen
Automobil
Energiewirtschaft
Chemie/Pharma
Telekommunikation
Int. Mischkonzerne
Transport/Logistik
Öffentlicher Dienst
Handel
15 x Sales
20 x Security Engineering
60 x Management
Beratung
45 x Professional Service
und Betrieb
TÜV Rheinland i-sec GmbH. Fakten und Zahlen.
Cyber Security im Kontext des IT-Sicherheitsgesetz6
Standorte
Deutschland
Köln (HQ)
München
Gelnhausen
Saarbrücken
Fachliches
Kompetenz-
team
Kernbranchen und
Sitz unserer Kunden
Deutschland
Österreich
Schweiz
31.10.2016
Projekteinsatz an 25.000 Tagen in 2015!
Lösungskompetenz. Informations- und IT-Sicherheit.
Cyber Security im Kontext des IT-Sicherheitsgesetz7
Zielsetzung
und Strategie
Steuerung
und Planung
Konzeption
und Implemen-
tierung
Betrieb Prüfung1 2 3 4 5
Business-anforderung
Strategie
Steuerungs-prozesse
Managementder Informations-sicherheit
Datenschutz und Datensicherheit
IT Risikomanage-ment nach ISO 31000 und 27005
ISMS, BCM undGRC Toolauswahl/-einführung
Sichere Architek-turen und Prozesse für Netzwerke, Rechenzentren, Mobil
Anwendungs-sicherheit
Sicherheitim Betrieb
Betrieb (MSS) und Support von IT Security Lösungen
APT - Computer Security Incident Response Team (CSIRT)
Sicherheitsaudits
Zertifizierung von Prozessen und Diensten
31.10.2016
Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung.!
Abkürzungsverzeichnis
ISMS = Information Security Management SystemBCM = Business Continuity ManagementGRC = Governance, Risk und ComplianceAPT = Advanced Persistent Threat – gezielte CyberangriffeMSS = Managed Security Services
Referent.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz8
Funktion: Principal Consultant - TÜV Rheinland i-sec GmbH
Fachgebiete: ISMS, BCM, IT-Notfallmanagement, IT-GRC
Qualifikationen: Associate member of the bci (AMBCI)
Certified ISO 22301:2012 BCM Lead Auditor
IT Compliance Manager - ITCM (ISACA )
Zertifizierter betrieblicher Datenschutzbeauftragter
Fachkundiger und geprüfter IT-Security-Manager (UDIS)
Geprüfter IT-Security-Beauftragter (TÜV, TAR-Zert)
Kontakt:
Arne Helemann
+49 174 188 02 [email protected]
Agenda
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz9
12345
Update IT-Sicherheitsgesetz
Zwischenfazit IT-Sicherheitsgesetz
TÜV Rheinland Erfahrungen aus Projekten
Lösungsansatz - Aufbau ISMS
Praxisbeispiel vom Geschäftsprozess zur Maßnahme
6 Use Cases unserer Partner
Update. IT-Sicherheitsgesetz I/III.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz10
Allg. Betreiber
Kritischer
Infrastrukturen
Verpflichtung zur Warnung der Kunden, bei Missbrauch von
Kundenanschlüssen
Hinweispflicht der Provider an die Kunden, wie eine Beseitigung der
Störungen erfolgen kann
Erhöhte Anforderungen an techn. & org. Maßnahmen
Schutz der Kundendaten & der genutzten IT-Systeme
Angemessene Absicherung der IT nach Stand der Technik
- sofern nicht andere Spezialregelungen bestehen
Überprüfung alle zwei Jahre
Meldung erheblicher IT-Sicherheitsvorfälle an das BSI
Betreiber von
Webangeboten
Telekommunikations-
unternehmen
* In Kraft getreten am 25. Juli 2015
Adressaten und Schwerpunkte des IT-Sicherheitsgesetzes*
Update. IT-Sicherheitsgesetz II/III.
Meldepflicht betrifft aktuell Betreiber von Kernkraftwerken und TK-Unternehmen, sowie
KRITIS-Betreiber der Sektoren*
- Energie
- Informationstechnik
- Telekommunikation
- Ernährung
- Wasser
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz11
Meldepflicht
* Gem. KRITIS-Verordnung vom 03. Mai 2016.
Regelungen für die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit folgen im zweiten Teil der Rechtsverordnung.
Update. IT-Sicherheitsgesetz III/III.
KRITIS-Verordnung (Erster Teil) ist am 03. Mai 2016 in Kraft getreten
- Betroffene Sektoren:
- Energie, Informationstechnik, Telekommunikation sowie Ernährung und Wasser
- Ziel: Messbare und nachvollziehbare Kriterien, anhand derer Betreiber prüfen
können, ob sie unter den Regelungsbereich fallen
- Bestimmung des Versorgungsgrades anhand von Schwellenwerten
- Regelschwellenwert von 500 000 versorgten Personen
Zweiter Teil der KRITIS-Verordnung wird bis Anfang 2017 erwartet
- Finanzen, Transport, Verkehr und Gesundheit
Es wird von insgesamt nicht mehr als 2.000 Betreibern Kritischer Infrastrukturen in den
regulierten sieben Sektoren ausgegangen
Spezifische Regelungen für Anforderungen und Meldewege sind über
Branchenverbände möglich (aktuell z.B. IT-Sicherheitskatalog der BNetzA)
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz12
Aktueller Stand
Herausforderung. Stand der Technik.
"Stand der Technik" ist ein gängiger juristischer Begriff. Die technische Entwicklung ist
schneller als die Gesetzgebung. Daher hat es sich in vielen Rechtsbereichen seit vielen
Jahren bewährt, in Gesetzen auf den Stand der Technik abzustellen, statt zu versuchen,
konkrete technische Anforderungen bereits im Gesetz festzulegen.
Was zu einem bestimmten Zeitpunkt Stand der Technik ist, lässt sich zum Beispiel
anhand existierender nationaler oder internationaler Standards wie DIN oder ISO-
Standards oder anhand erfolgreich in der Praxis erprobter Vorbilder für den jeweiligen
Bereich ermitteln.
Da sich die notwendigen technischen Maßnahmen je nach konkreter Fallgestaltung
unterscheiden können, ist es nicht möglich, den Stand der Technik allgemeingültig und
abschließend zu beschreiben.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz13
Stand der Technik
Quelle: BSI, https://www.bsi.bund.de/DE/Themen/Industrie_KRITIS/IT-SiG/FAQ/faq_it_sig_node.html
Agenda
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz14
12345
Update IT-Sicherheitsgesetz
Zwischenfazit IT-Sicherheitsgesetz
TÜV Rheinland Erfahrungen aus Projekten
Lösungsansatz - Aufbau ISMS
Praxisbeispiel vom Geschäftsprozess zur Maßnahme
6 Use Cases unserer Partner
Zwischenfazit. IT-Sicherheitsgesetz.
Der zweite Teil der KRITIS-Verordnung steht noch aus (Erwartet bis Anfang 2017)
Unruhe und Verunsicherung bei Unternehmen,
- ob man direkt / indirekt unter das Gesetz fällt
- in Bezug auf branchenspezifische Lösungen
- bezgl. der Überprüfung der Einhaltung der Vorgaben
- bezgl. der Meldung von Vorfällen
Aktuelle Auswirkung:
Viele Unternehmen zögern mit der Umsetzung von Maßnahmen in Bezug auf IT- und
Informationssicherheit
Vielfach unzureichendes Verständnis für Bedarf nach IT- und Informationssicherheit
- Empfinden, dass IT- und Informationssicherheit nur als Compliance-Erfüllung
notwendig ist
- Notwendigkeit und Mehrwerte von gesteuerter IT- und Informationssicherheit
werden vielfach nicht wahrgenommen
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz15
Zwischenfazit
Agenda
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz16
12345
Update IT-Sicherheitsgesetz
Zwischenfazit IT-Sicherheitsgesetz
TÜV Rheinland Erfahrungen aus Projekten
Lösungsansatz - Aufbau ISMS
Praxisbeispiel vom Geschäftsprozess zur Maßnahme
6 Use Cases unserer Partner
Erfahrungen. TÜV Rheinland.
Hohe Unsicherheit in Bezug auf regul. und gesetztl. Anforderungen
- Probleme in der Festlegung des Anwendungsbereiches
ISMS als reines Werkzeug der Compliance
Nachhaltige, strategisch gesteuerte Informationssicherheit oft ein Lippenbekenntnis
- Historische Aufteilung von Verantwortlichkeiten (Kompetenzgerangel)
- Keine gemeinsame, Unternehmensübergreifende Strategie – Zielsetzung
- Unzureichende Koordination von Governance, Technik und Managementsystemen
Aufbau von ISMS ohne
- Wandel in Kultur und Philosophie
- angemessene Ausrichtung an Unternehmenszielen und -strategie
Immer noch Reduktion von Informationssicherheit auf IT-Sicherheit
Notfallmanagement vielfach untergeordnetes Thema
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz17
Erfahrungen / Problemstellungen
Agenda
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz18
12345
Update IT-Sicherheitsgesetz
Zwischenfazit IT-Sicherheitsgesetz
TÜV Rheinland Erfahrungen aus Projekten
Lösungsansatz - Aufbau ISMS
Praxisbeispiel vom Geschäftsprozess zur Maßnahme
6 Use Cases unserer Partner
Lösungsansatz. Aufbau ISMS.
Ein ISMS sichert die Wahrung der
- Vertraulichkeit,
- Integrität
- und Verfügbarkeit
- (Authentizität als zusätzliches Sicherheitsziel, gem. IT-Sicherheitsgesetz)
von Informationen unter Anwendung eines Risikomanagementprozesses.
Ein ISMS ist als Basis für eine gesteuerte Umsetzung der Anforderungen des IT-
Sicherheitsgesetz zu sehen
Das ISMS ist integraler Teil der Abläufe einer Organisation
Durch das ISMS werden techn. und org. Maßnahmen risikoorientiert gesteuert
Ein gutes ISMS spiegelt einen ganzheitlichen Ansatz mit max. Nutzen wider
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz19
Definition Informationssicherheitsmanagementsystem (ISMS)
Anforderungen. Nur IT-Sicherheitsgesetz?
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz20
Gesetzliche Anforderungen
BSI IT-Grundschutz
Die
nstle
iste
r
Firmenkultur
Au
fsic
hts
be
hö
rden
Interne Regularien
Branchenstandards
Supply Chain
Kunden
Risikomanagement
Risikoorientierung
Outsourcing
Re
pu
tati
on
Betriebssicherheit
Lieferanten
ISO 27001
An
ge
me
ssenhe
it
Wir
tsch
aft
lic
hk
eit
NotfallfähigkeitKoopera
tionspart
ner
Geschäftsanforderungen
IT-Sicherheit
Wirtschaftsprüfer
Informationssicherheit. Definition.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz21
1 (ISO/IEC 27001), ggf. Ergänzung der Authentizität gem. IT-Sicherheitsgesetz
Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen1
Informationssicherheit beinhaltet
IT-Sicherheit als Leistungsdomäne
Informationssicherheit berücksichtigt
zusätzlich weitere Themen, z.B.
- Strategie, Compliance, Prozesse
- Personal Sicherheit, Physische Sicherheit
- Business Continuity Management
- Risikomanagement
- Techn. und org. Maßnahmen
Fokus auf Schutzbedarf der Informationen
- Vertraulichkeit
- Verfügbarkeit
- Integrität
- Authentizität
Management der Informationssicherheit.
Ein Lösungsansatz.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz22
Zielsetzung: GANZHEITLICHE LÖSUNG. Steuerung durch Top-Level Management.
Strategische
Ausrichtung
!
Netzwerk
Clients
Server
Gebäudesicherheit
ISMS Prozesse (z.B. Riskmanagement, Management Reviews, Metriken)
Betriebsprozesse (standardisieren, dokumentieren)
Verfahrens- und Arbeitsanweisungen
Sicherheitsbewusstsein schaffen – Awareness
Informationssicherheits-Managementsystem (ISMS)
Interaktion mit bestehenden Managementsystemen (z.B. QMS, Riskmgmt)
Ausrichtung an Unternehmenszielen und -strategie
Integration Top-Level Management
Anpassung an Firmenkultur und -philosophie
Organisatorische
und betriebliche
Maßnahmen
Technische
Maßnahmen
Ganzheitlicher Ansatz. Der Weg zum Ziel.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz23
Organisation
Mensch Technik
Governance
Risk
Compliance
Wertschöpfung
Information Prozesse Ziele Zeit
CRM
HR
IKS
ISMS
BCM
RMS
DS
ISO27001
CobiT
ISO31000
IT-SiG
BS25999
IT-Grund-
schutz
COSO
Gesellschaft
Politik
Umweltfaktoren
Branchen
standards
Informationssicherheit.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz24
1
Top-Level
Management
Informations-
sicherheit als
Aufgabe des
Top-Level
Management.
Strategische
Einbindung.
2
Compliance
Kenntnis der
Anforderungen
an das ISMS
(Gesetzte,
Regularien,
Verträge,
Erwartungen)
3
Interaktion
Interaktion mit
bestehenden
Management-
systemen und
zwischen
Geschäfts-
bereichen
4
Governance
Übergeordnete
Koordination
und Steuerung
von
Maßnahmen
und Aktivitäten
5
Wandel
Wandel
bestehender
Strukturen
(org. und
kulturell)
6
Mind
Change
Ermutigung
aller
Mitarbeiter zu
offenem, risiko-
orientierten
Verhalten
Erfolgsfaktoren
Organisation
Ein Beispiel. IS Management durch ein ISMS.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz25
Dienstleistung ISMS-Forderungen Betriebliche Anforderungen
Strategien, Planungen, Visionen
Prozesse, Rollen, Strukturen
Verfahren, Lösungen
Prozesse, Kommunikation, Daten
Gebäude, Infrastruktur
Bereich Organisation
Fachbereiche
Informationstechnik
Infrastruktur-Technik
Management
ISMS
Security Forum, Policies
Technische/Organisatorische
Maßnahmen
Technische/Organisatorische
Maßnahmen
Technische Maßnahmen
Management Commitment
Ca. 80% der Maßnahmen bei der Einführung eines ISMS sind organisatorischer Art!!
Agenda
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz26
12345
Update IT-Sicherheitsgesetz
Zwischenfazit IT-Sicherheitsgesetz
TÜV Rheinland Erfahrungen aus Projekten
Lösungsansatz - Aufbau ISMS
Praxisbeispiel vom Geschäftsprozess zur Maßnahme
6 Use Cases unserer Partner
Praxisbeispiel. Kunde im Energiesektor I/V.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz27
Analyse Tätigkeitsfelder. Anforderungen an ein ISMS.
Praxisbeispiel. Kunde im Energiesektor II/V.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz28
1. Detaillierung. Analyse relevanter Prozesse / Bereiche.
Praxisbeispiel. Kunde im Energiesektor III/V.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz29
2. Detaillierung. Identifikation Informationen / Systeme.
Praxisbeispiel. Kunde im Energiesektor IV/V.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz30
3. Detaillierung. Erstellung Übersicht über alle Ebenen.
Praxisbeispiel. Ableitung von Maßnahmen.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz31
Ableitung von techn. und org. Maßnahmen auf Basis von:
Internen und externen Anforderungen
- Z.B. (Konzern) Richtlinien, Kunden, Partner, Prüfer
Vertragl. und regulativen Vorgaben
- Z.B. Gesetze, Verträge, Verordnungen
Risikomanagement
- Z.B. ISMS, Corporate Risk-Management, IT-Risk-Management, BCM, IKS
Incident Management
- Z.B. Behandelte Vorfälle, identifizierte Schwachstellen
Best-Practices
- Z.B. Themen, die immer relevant sind und keiner dedizierten Anforderung bedürfen
Viele verschiedene Quellen mit Anforderungen an Maßnahmen
Überschneidungen und Widersprüche sind nicht auszuschließen!
Maßnahmenauswahl. Der Weg zum Erfolg.
Identifikation von Handlungsbedarf
Definition von Verantwortlichkeiten
Abstimmung mit relevanten Bereichen (tech. & org.)
Analyse rechtlicher Rahmenbedingungen
Definition von Zielen und Bewertungskriterien (Lastenheft)
Marktanalyse, inkl. Bewertung gem. Bewertungskritereien
Konzeption, inkl. Prozess und Dokumentation
Durchführung Proof of Concept
Ggf. gesteuerter Roll-Out
Fortlaufende Pflege und Überwachung der Maßnahmen / Aktivitäten
Optional:
- Messung der Effektivität der Maßnahmen / Aktivitäten
- Anpassung oder Deaktivierung der Maßnahmen / Aktivitäten
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz32
Ganzheitliches Maßnahmenmanagement
Agenda
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz33
12345
Update IT-Sicherheitsgesetz
Zwischenfazit IT-Sicherheitsgesetz
TÜV Rheinland Erfahrungen aus Projekten
Lösungsansatz - Aufbau ISMS
Praxisbeispiel vom Geschäftsprozess zur Maßnahme
6 Use Cases unserer Partner
Projekterfahrung. Handlungsbedarf.
Identifizierung interner und externer Angriffe / Angreifer
- Verhaltensorientiert
- Korrelation von Sensoren-Daten
Revisionssichere Kontrolle und Monitoring
- IT-Systeme, Applikationen & Aktivitäten
Log Management
- Zentral und plattformübergreifend
Verschlüsselung & Authentifizierung
- On Premise & Cloud-Umgebungen
Automation des ISMS (tech. / org.)
- GRC-Tools
- Qualifiziertes Reporting (techn. Systeme)
Vulnerability management
Incident Management
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz34
Top Themen aus aktuellen Projekten
Partner vor Ort.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz35
Arne HelemannPrincipal Consultant, Information
Security and Application Services
TÜV Rheinland i-sec GmbH
Am Grauen Stein
51105 Köln
Tel: +49 221 56783 275
Fax: +49 221 806 1580
www.tuv.com/informationssicherheit
Fragen?
Regelmäßig aktuelle Informationen im
Newsletter und unter www.tuv.com/informationssicherheit
VIELEN DANK FÜR
IHRE AUFMERKSAMKEIT!
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz36
Kennzahlen 2015
Umsatz in Mio. € 1.881
Auslandsanteil (in %) 50,6
EBIT (in %) 5,4
Mitarbeiter (-innen) 19.630
Auslandsanteil 11.587
Standorte:
Über
500 69Ländern
Auf allen Kontinenten zuhause.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz37
27%
24%24%
10%
8%7%
Industrie
Service
Produkte
Mobilität
Academy
& Life Care
ICT &
Business
Solutions
Systeme
Umsatz nach Geschäftsbereichen.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz38
Weltweite Standorte
Umsatz 2015:
Geschäftsfelder
IT-Services & Cyber Security
Telco Solutions & Consulting
133 Mio. €
Die Welt von ICT & Business Solutions.
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz39
TÜV Rheinland i-sec. Informations- und IT-Sicherheit.
Führender unabhängiger Dienstleister
für Informationssicherheit in Deutschland
Beratungs- und Lösungskompetenz
in ganzheitlicher Informationssicherheit
– von der Steuerungsebene bis ins
Rechenzentrum inkl. betriebsunter-
stützender Leistungen
Exzellente Technologie-Expertise,
umfassendes Branchen-Know-how,
Partnerschaften mit Marktführern
International zählen wir im Verbund
mit unserer Schwestergesellschaft OpenSky
zu den wichtigsten unabhängigen Anbietern
31.10.2016 Cyber Security im Kontext des IT-Sicherheitsgesetz40
Zertifiziert nach ISO 27001 und ISO 9001
Finanzen
Automobil
Energiewirtschaft
Chemie/Pharma
Telekommunikation
Int. Mischkonzerne
Transport/Logistik
Öffentlicher Dienst
Handel
15 x Sales
20 x Security Engineering
60 x Management
Beratung
45 x Professional Service
und Betrieb
TÜV Rheinland i-sec GmbH. Fakten und Zahlen.
Cyber Security im Kontext des IT-Sicherheitsgesetz41
Standorte
Deutschland
Köln (HQ)
München
Gelnhausen
Saarbrücken
Fachliches
Kompetenz-
team
Kernbranchen und
Sitz unserer Kunden
Deutschland
Österreich
Schweiz
31.10.2016
Projekteinsatz an 25.000 Tagen in 2015!
Lösungskompetenz. Informations- und IT-Sicherheit.
Cyber Security im Kontext des IT-Sicherheitsgesetz42
Zielsetzung
und Strategie
Steuerung
und Planung
Konzeption
und Implemen-
tierung
Betrieb Prüfung1 2 3 4 5
Business-anforderung
Strategie
Steuerungs-prozesse
Managementder Informations-sicherheit
Datenschutz und Datensicherheit
IT Risikomanage-ment nach ISO 31000 und 27005
ISMS, BCM undGRC Toolauswahl/-einführung
Sichere Architek-turen und Prozesse für Netzwerke, Rechenzentren, Mobil
Anwendungs-sicherheit
Sicherheitim Betrieb
Betrieb (MSS) und Support von IT Security Lösungen
APT - Computer Security Incident Response Team (CSIRT)
Sicherheitsaudits
Zertifizierung von Prozessen und Diensten
31.10.2016
Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung.!
Abkürzungsverzeichnis
ISMS = Information Security Management SystemBCM = Business Continuity ManagementGRC = Governance, Risk und ComplianceAPT = Advanced Persistent Threat – gezielte CyberangriffeMSS = Managed Security Services