Informationssicherheitsmanagementsystem (ISMS) KO-Kriterien zum Erfolg: Koordination, Kooperation, Kommunikation Bundesamt für Sicherheit in der Informationstechnik Claudia Großer 31. Forum „Kommunikation und Netze“ 09.-10. April 2014

Das BSI

2 10.04.2014 BSI, Claudia Großer

ISMS Prozess als PDCA-Modell

10.04.2014 BSI, Claudia Großer 3

Informationssicherheit ist ein

kontinuierlicher Prozess

Die Verantwortung für Betrieb

und Aufrechterhaltung trägt die Leitung

4 10.04.2014 BSI, Claudia Großer

Roadmap und Verantwortlichkeiten für ISMS und BCM

6 10.04.2014 BSI, Claudia Großer

IT-Sicherheit gestalten

Roadmap und Verantwortlichkeiten für ISMS und BCM

Kontinuierliche Verantwortung & Monitoring über den gesamten Prozess

Identifikation und Analyse

der

Geschäfts-Kernprozesse durch Leitung und Fachverantwortliche

Initierung des ISMS - Prozesses durch die Leitung

Prozessinitiierung,

Ressourcenbereitstellung Leitlinienverabschiedung

7 10.04.2014 BSI, Claudia Großer

IT-Sicherheit gestalten

Roadmap und Verantwortlichkeiten für ISMS und BCM

Kontinuierliche Verantwortung & Monitoring über den gesamten Prozess

Identifikation und Analyse

der

Geschäfts-Kernprozesse durch Leitung und Fachverantwortliche

Es ist von Vorteil, wenn die Geschäftsprozesse und respektive die IT-basierten kritischen Geschäftsprozesse

bekannt sind

Den Auftrag für die Identifikation erteilt und verantwortet die Leitung

Hier benötigt das ISMS-Team das Mandat und die Rückendeckung der Leitung !

8 10.04.2014 BSI, Claudia Großer

Die ISMS Organisation muss ressourcenmäßig bereitgestellt und aufgebaut werden

Den Auftrag für den Aufbau erteilt und verantwortet die Leitung

Wichtigster Mitspieler für diese Aufgabe ist der IT-Sicherheitsbeauftragte!

IT-Sicherheit gestalten

Roadmap und Verantwortlichkeiten für ISMS und BCM

Unterstützung zum Thema Ressourcen Planung

9 10.04.2014 BSI, Claudia Großer

10 10.04.2014 BSI, Claudia Großer

Beispiel einer ISMS-Organisation in einer mittelgroßen Institution

Behörden- /

Unternehmensleitung

IT-Sicherheits-

beauftragter

System-/Projekt-

IT-Sicherheits-

beauftragter

IT-Sicherheits

Managementteam IT-Koordinierungs

Ausschuß

Vertreter der

IT-Anwender

Sicherheitsleitlinie

(Regeln zur IT-Sicherheit)

Regeln zur IT-Sicherheit

(Systemebene)

Ebene der

Gesamtorganisation

System/ Projekt

Ebene

Das ISMS-Team …

unterstützt den IT-Sicherheitsbeauftragten bei der Wahrnehmung seiner Aufgaben

bestimmt IT-Sicherheitsziele und –strategien

entwickelt die IT-Sicherheitsleitlinie und prüft deren Umsetzung

wirkt mit bei der Erstellung des IT-Sicherheitskonzeptes

prüft die Wirksamkeit der IT-Sicherheitsmaßnahmen

genehmigt den Realisierungsplan für die IT-Sicherheitsmaßnahmen und stellt die erforderlichen Ressourcen zur Verfügung und

erstellt Schulungs- und Sensibilisierungsprogramme

11 10.04.2014 BSI, Claudia Großer

Das ISMS Organisationsteam

12 10.04.2014 BSI, Claudia Großer

IT-Sicherheit gestalten

Roadmap und Verantwortlichkeiten für ISMS und BCM

Schulungs- und Sensibilisierungsmaßnahmen zur IT- Sicherheit

IT-Sicherheitsbeauftragte

IT-Sicherheitsmanagement

Leitung / IT-Verantwortliche

Administratoren / Benutzerservice / Operateure

Infrastrukturverantwortliche

Anwender

Umsetzung Schulungsmaßnahmen und

Sensibilisierungsmaßnahmen Schulungskonzept

Wichtig für diesen

Teilbereich ist die

Mitwirkung und Vorbildfunktion

der Leitung !

13 10.04.2014 BSI, Claudia Großer

Zentrale Aufgaben des Notfallmanagers

Aufbau der Notfallorganisation

Erstellung der Notfallvorsorgekonzepte

Kontinuierliche Prüfungen

Berichterstattung

Aufbau

Notfallorganisation

& Ressourcen Planung

BSI Standard 100-4

Erstellung

Notfallvorsorgekonzepte nach BSI Standard 100-4

Überprüfung durch

Notfallübungen,

Revisionen,etc

Berichterstattung an die Leitung

Das Notfallmanagement

benötigt gleichermaßen Unterstützung

durch die Leitung !

IT-Sicherheit gestalten

Roadmap und Verantwortlichkeiten für ISMS und BCM

Unterstützung zum Thema Notfallmanagement

14 10.04.2014 BSI, Claudia Großer

15 10.04.2014 BSI, Claudia Großer

Komponenten eines ISMS

Umsetzung der IT-Sicherheitsstrategie mit Hilfe einer IT-Sicherheitsorganisation und des IT-Sicherheitskonzeptes

BSI-Standard zur Informationssicherheit

16 10.04.2014 BSI, Claudia Großer

BSI 100-1

17 10.04.2014 BSI, Claudia Großer

BSI-Standard 100-1 für ISMS

Zielgruppe: Management

Allgemeine Anforderungen an ein ISMS

Kompatibel mit ISO 27001

Didaktische Darstellung der Inhalte

ISMS: Managementsysteme für Informationssicherheit

Ressourcen

Strategie

Mitarbeiter

Management-

Prinzipien

ISMS

BSI 100-1

18 10.04.2014 BSI, Claudia Großer

19 10.04.2014 BSI, Claudia Großer

Onlineinformationen des BSI

www.bsi.bund.de

www.bsi-fuer-buerger.de

20 10.04.2014 BSI, Claudia Großer

Informationen im Abo

www.cert-bund.de Warn- und Informationsdienst

www.bsi.bund.de/Newsletter

www.buerger-cert.de

21 10.04.2014 BSI, Claudia Großer

Fragen ?

22 10.04.2014 BSI, Claudia Großer

Bundesamt für Sicherheit in der

Informationstechnik (BSI)

Claudia Großer

Godesberger Allee 185-189

53175 Bonn

Tel: +49 (0)228 99-9582-333

Fax: +49 (0)228 99-10-9582-333

sicherheitsberatung@bsi.bund.de

www.bsi.bund.de

www.bsi-fuer-buerger.de

www.buerger-cert.de

Kontakt