Information Security Management Systeme-ISMS Beispiele ...

©r-tec IT Security GmbH 2016 1.0

IT-SA 18.10.2016

Dr.-Ing. Stefan Rummenhöller

Information Security Management Systeme-ISMS

Beispiele erfolgreicher Umsetzung

Geschäftsführer r-tec IT Security GmbH

©r-tec IT Security GmbH 2016

1 Es gibt nicht „das“ ISMS

Projekt!

©r-tec IT Security GmbH 2016 3

Je nach Branche, Anforderung und Motivation des Kunden sind die

• Ausprägung,

• Vorgehensweise und

• Dauer

unterschiedlich.

Vorgehen erfordert Flexibilität und Branchenkenntnis

Nur bedingt standardisierbar

Gute Kenntnisse in IT-Security-Technik und -Architektur

Es gibt nicht „das“ ISMS Projekt!


ISMS erfolgreich einführenKleiner Auszug aus ProjektenBeispiele Treiber Zertifizierung

Energieversorger (Netzbetreiber, Kraftwerke) Gesetz Ja

Holding Struktur Stadtwerke (Strom, Gas, Wasser, ÖVP) Gesetz + Management In Teilen

Betreiber von zentral gemanagten IoT-Landschaften Markterschließung Ja

Automotive mit/ohne Ergänzung VDA-Katalog Kundenforderung,

Markt

Ja

Pharma, Chemie Information Security Management Markt,

Visibility IT Security

Nein

Industrial IT (Produktion) Risikobetrachtung Nein


ISMS ist nicht nur ISO 27001Branchenspezifische Anforderungen

ISO 27001

ISO 27002Konkretisierung des Anhangs A.

Definiert Maßnahmen zur

Umsetzung der Kontrollziele in den

Bereichen Organisation, Prozesse,

IT-Betrieb und (indirekt) Technik.

Branchenspezifische

Normen• ISO 27011 – TK

• ISO 27018 – Cloud

• ISO 27019 – EVU

• ISO 27799 – Health

Weitere Anforderungen

• VDA-Katalog

• Cyber Security Check

Versicherung

ISO 27005Leitlinien für ein systematisches

und prozessorientiertes

Risikomanagement, das die

Anforderungen an das

Risikomanagement nach ISO/IEC

27001 unterstützt.

definiert Anforderungen an das Informationssicherheits-

Managementsystem (ISMS) und die umzusetzenden

Kontrollziele


2 Erfolgreiches Vorgehen


r-tec ReifegradmodellUnser Kompass!


Das passende ISM(S)r-tec Lösungen


Schrittweise zum ZielDas r-tec 5-Phasen-Modell

• Initialaudit

• Kennzahlen-

ermittlung

• PDCA/ KVP

• Management

Review

• Begleitung

ISMS Board

• Vorbereitung

Zertifizierung

ISO 27002 ISO 27001ISO 27001

• Workshop • Dokumenten-

sichtung

• Workshops

• Prozess-analyse

• Dokument-

erstellung

• Etablierung

normkonformer

Unternehmens-

prozesse

• Umsetzung

Maßnahmenkat.

• 7 Module

Erg

eb

nis

seA

ufg

ab

en

• Leitlinie

• Geltungs-

bereich

• Rollen / Ver-

antwortung

• Projektplan

• Reifegrad

• Maßnahmen-

katalog

• SOA

• IT-Sicherheits-

handbuch

• IT-Notfall-

handbuch

1.Verankerung

des ISMS im

Unternehmen

2.KVP & PDCA

3.IT-Risiko-

management

4.Auditzyklen

5.Kennzahlen

6.Schulungen

7.Management-

Review

ISO 27001

ZertifizierungBerücksichtigung branchenspezifischer

Subnormen und Anforderungen

ISMS Light

Phase 1:

Initialisierung

Phase 2:

GAP-Analyse

Phase 3:

Umsetzung

Phase 4:

Management-

prozesse

Phase 5:

Übergang

Betrieb


3 Auszüge aus unserer

täglichen Arbeit


Beispiel GAP AnalyseEin kurzer Auszug

C:/Arbeitsplatz/Produkte/ISMS-Produkte/ISMS aktuell/Sample_Statement of Applicability inkl 27019 20160630.xlsx

C:/Arbeitsplatz/Produkte/ISMS-Produkte/ISMS aktuell/Sample_Statement of Applicability inkl 27019 20160630.xlsx


Beispiel GAP AnalyseErgebnis für Management


Beispiel GAP AnalyseBranchen im Vergleich


Realistischer Zeitplan

Phase 1:

Initialisierung

Phase 2:

GAP-Analyse

Phase 3:

Umsetzung

Optional: Gütesiegelung durch

akkreditierten Zertifizierermin. 7-12 Monate

Phase 4:

Management-

prozesse

Phase 5:

Übergang

Betrieb

ISO 27001

Zertifizierung

min. 7-12 Monate

Erfahrung mit:


Nutzung von Tools

Risikoanalyse Dokumentationen Audits Assetverwaltung Security Incident/

Breach Handling


r-tec ISMS Toolbox

• Werden beschlussfähig im Projekt erstellt:

• Informationssicherheitsleitlinie

• ISMS-Scope

• Statement of Applicability

• Umfangreiche Muster (Blueprint):

• IT-Sicherheitshandbuch

• IT-Notfallhandbuch

• Risikomanagementrahmen

• Kennzahlenregister

• Vorlagen:

• IN-Register

• Klassifizierungsschema

• Kennzahlensteckbrief

• Managementreview

• Auditplan, Auditbericht

zertifizierun

gsb

ewä

hrt


4 Erfolgsfaktoren


• Aktive Beteiligung der Geschäftsführung und Managementebenen

• Transparenz

• Bereitstellung erfahrener Mitarbeiter/innen für die GAP Analyse

• Einrichtung und Besetzung von Projektrollen (z.B. Projektleiter Kunde mit passenden Soft und Hard Skills)

• Termintreue

Erfolgsfaktoren Projekt


• Ermittlung des Scope

• Definition der richtigen Kennzahlen (KPIs)

• Vollständiges / aktuelles Assetregister

• Klassifizierung von Informationen

• Organisatorischer Teil des Business Continuity

Management

• Einführung neuer Prozesse (Change-/ Security

Incident Management)

Erfolgsfaktoren Projekt„Wo tun sich alle schwer?“


Warum r-tec?Knowhow/Erfahrung/Erfolge

Branchenerfahrung und nach ISO 27001

zertifizierte Kunden

Aufbau ISMS in verschiedenen Sektoren mit und

ohne Zertifizierungsziel

20 Jahre Erfahrung in IT-Sicherheit (Beratung,

Analyse, Betrieb)

Zertifiziert durch TÜV:

• ISO 27001 seit 2 Jahren

• ISO 9001 seit 16 Jahren

Wir setzen das ISMS so um, dass es gelebt werden kann und nicht nur auf dem

Papier steht.

KRITIS in 6 Bundesländern

15 laufende Projekte Aufbau gem.

27001+27019 Zertifizierung ISMS

Kraftwerksbetreib

Aufbau und Zertifizierung ISMS

Produktion Nahrungsmitteln

Aufbau ISMS Phase 1-3

Automotive/Pharma/Consumergoods

Aufbau Information Security Management

Maschinen- und Anlagenbau

Aufbau und Betrieb ISM für Produktion


Aufgabe

Schutz vor Cyber Risiken

und

Aufbau geeigneter

Sicherheitsstandards

Gründung 1996

inhabergeführter

Mittelständler

Spezialisiert

auf IT-Sicherheit

• Beratung

• Analyse

• Services

Willkommen in

Sicherheit

Zertifiziert nach

• ISO 27001

• ISO 9001

Für die Bereiche

• Office IT

• Cloud

• Industrial IT

• IoT

Über 200

Kunden

aus allen

Branchen

Information Security Management Systeme-ISMS Beispiele ...

Documents

Transcript of Information Security Management Systeme-ISMS Beispiele ...