l

Best Practices – Einführung von ISO 27001 in mittelständischen

Unternehmen Congress@it-sa – Der sichere Hafen für Ihre Unternehmens IT

it-sa Nürnberg, Oktober 2014

Peter Schindecker, Geschäftsführer Formware GmbH

Einführung ISO 27001- Themenüberblick

IT-Compliance

Empfehlungen - KVP

Der Weg zur Zertifizierung

Informations Sicherheits Management System

Datenschutz

Erste Schritte

Risiko Management

BCM Management

IT-Sicherheit

Technologie und Innovation …

… für dokumentorientierte GeschäftsprozesseFormware-Kurzprofil• Gründung: 1988• Mitarbeiter: ca. 65• Sitz: Nußdorf am Inn• Niederlassung: Rosenheim/Ludwigsburg

IT-Services & Produkte im Bereich

Kundenkommunikation■ Consulting & Projektmanagement ■ Korrespondenz Management■ Dokumenten & Output Management ■ Business Process Outsourcing (BPO)

IT-Service-Center

Managed Services

Software Produkte

… für dokumentorientierte Geschäftsprozesse

Technologie und Innovation …

• Layout und Design

• Print on demand

• Korrespondenz-Steuerung

• Output-Management

• Secure E-Mail / De-Mail

• ISO-zertifizierte Rechenzentren

• Private Cloud Technologie

• Online Information Plattform

• Archiv Services

• Output Services – alles aus einer Hand

• Individualisierung & Personalisierung

• Multichannel-Management

• Web-to-print Lösungen

Business Process Outsourcing findet vornehmlich in folgenden Bereichen Anwendung:

• Finanz- und Rechnungswesen / Buchhaltung

• HR/Personalwesen/bAV

• Beschaffung

• Logistik

• Customer Care

• RZ-Betrieb

• Banken (Abwicklung von Zahlungsverkehr, Kredit- und Wertpapiergeschäften)

-> Fokus: Datenschutz + IT-Sicherheit + IT- Compliance

BPO - Business Process Outsourcing

Formware BP-Services

Rechnungserstellung und –versand

Mahnungs- und Inkasso-Prozess

Lohn-/Gehalts-abrechnung

Bestellwesen / Ein-kauf / Supply Chain

Event Management

Versicherungspolice, Verträge, Kontoaus-züge, etc.

Tagespost, Mailings, .

Referenzen

Energieversorger

Handel

Druck- und Zustelldienstleister

Industrie

Versicherungen

Finanzdienstleister

Kommunikation

Formware als Partner der Wissenschaft

• Gütesiegel „Innovativ durch Forschung“Auszeichnung der Forschungstätigkeit durch den Stifterverband für die Deutsche Wissenschaft

• Tool:CloudUnternehmensübergreifendes Lebenszyklusmanagement für Werkzeuge in der Cloud mittels eindeutiger Kennzeichnung und Identifikation

Konsortium mit TU München und mehreren Unternehmen

• VEDIC [geplant]Vertraulichkeit und Integrität bei der Datenspeicherung und -verarbeitung in der Cloud

Konsortium mit Fraunhofer Institut AISEC, Leibniz Universität Hannover und ORBI Team

Projekte in Forschung und Entwicklung (seit 2013)

ISMS – Einordnung in das Management System

ISMS – Einordnung in das Management System

Was ist Informationssicherheit gemäß ISO 27000ff ?

Informationssicherheit gewährleistet folg. Grundwerte für alle schutz-würdigen Informationen und informationsverarbeitenden Systeme:

• Die Vertraulichkeit stellt sicher, dass bestimmte Informationen, d.h.

• geschäftskritische Informationen und Know How,• personenbezogene Daten (MA, Kunden, Partner),

nur durch berechtigte Personen, Instanzen oder Prozesse eingesehen werden können.

• Die Integrität sorgt für vollständige und unversehrte Daten (korrekt, unveränderbar oder unleugbar geloggt), Daten tragende Systeme und Daten verarbeitende Prozesse.

• Die Verfügbarkeit garantiert berechtigten Nutzern den Zugriff auf Informationen und Daten tragende Systeme zum jeweils erforderlichen Zeitpunkt.

Motivation – Sinn und Zweck der Zertifizierung

Messbarkeit der

Sicherheit

Qualitätsmanagement in

Informations-Sicherheit

Zertifizierung

der Sicherheit

Integration in Führungs-

und Betriebsstruktur

Gewährleistung der

Gesetzes-Konformität

Transparenz und Kontrolle

der Wirksamkeit

Optimierung bzgl.

Effizienz und Effektivität

Vertrauen bei Kunden,

Lieferanten und Partnern

Vorbereitung auf denkbare

Vorfälle und Risiken

Reduziertes Haftungs-

risiko von V und GF

Theorie – Ziele und Ergebnisse

Motivation – Sinn und Zweck der Zertifizierung

Hohe Kundenanforderungen

bez. Informationssicherheit

Unvollständige Prozess-

definition und -dokumente

Zertifizierung als notwendige

Basis (RFIs, Prozesse, etc.)

Geringe Awareness

bei Mitarbeitern und GL

Verstärkte Anforderungen

aus neuer Gesetzgebung

Erfolgreiche und effiziente

Durchführung Kundenaudits

Ausbau Neukunden

Optimierung der Abläufe

Vertrauen bei Kunden,

und Partnern (USP)

Sensibilisierung auf

IS - Vorfälle und Risiken

Einhaltung der Gesetze

transparentes Haftungsrisiko

Pra

xis

bezo

gen

es IS

MS

Gü

ltigkeits

bere

ich

!

Praxis – Ausgangssituation und Ziele

Erste Schritte zur erfolgreichen Zertifizierung (1)

1. Welche Variante ist für mein Unternehmen die richtige Wahl?

2. Überprüfung Ist-Zustand - Analyse und Bewertung Ist-Zustand

Erste Schritte zur erfolgreichen Zertifizierung (2)

2. Überprüfung Ist-Zustand - Analyse und Bewertung Ist-Zustand

Fragekatalog Welche Erfordernisse an die Vertraulichkeit, Integrität, und Verfügbarkeit von Informationen

gibt es? – Risiko- und Schutzbedarfsanalyse

Wie lassen sich die vorhandenen Informationen nach ihrer Sensibilität klassifizieren?

Welche Prozesse und Infrastrukturen sind kritisch für Ihre Geschäftstätigkeit oder Aufgabenerfüllung? – Business Impact Analyse

Unternehmensleitlinie im Sinne von Regelwerk und Policy (Was möchten wir erreichen?)

Prozesse (Welche Abläufe, Prozesse und Vorgehensweisen gibt es? –Betriebsmanagement, Veränderungen, Sicherheitsvorfälle, usw.)

Organisation (Wer ist verantwortlich?) – Prozessowner

Asset Management (Was muss geschützt werden?)

Personelle Sicherheit (Wer verarbeitet welche Informationen)

Physische Sicherheit (Wie werden sensible Bereiche geschützt?)

Business Continuity Management (Wie werden bei mangelnder Verfügbarkeit von Informationssystemen die Geschäftsprozesse aufrecht erhalten)

Lieferanten Management, Subdienstleister, etc. (Wo und von wem werden Leistungen bezogen, entwickelt, gewartet?)

Compliance (Wie werden Verstöße gegen Gesetze, Verträge oder Sicherheitsregeln vermieden)

…..

Der Weg zur erfolgreichen Zertifizierung

• Leitlinie

• Sicherheitsorganisation

• Lenkung von Dokumenten

• Statement of Applicability

• Management Review

• Maßnahmenplan

• Risikoanalysemethodik

• Risikoanalysen - Prozesse und Unternehmenswerte

PDCA Zyklus

3. Prozessorientierte Umsetzung der ISMS Richtlinien und Anhang A

ISO 2700x

Kapitel 4-8

Annex A Kapitel 5 - 15

• Definition Gültigkeitsbereich des Zertifikats

Der Weg zur erfolgreichen Zertifizierung

• Benutzermanagement

• Incident Handling

• Betriebsprozesse

• Physische Sicherheit

• Personelle Sicherheit

• Notfallmanagement

• ...• Nachweise, dass Prozesse „gelebt“ werden

• Incidents, Changeantrag, Sicherheitsorganisation

• Besucherliste, Bestellung des IT-Sicherheitsbeauftragten, ...

• Audits, Wartungsnachweise, Notfallübungen, etc.

3. Prozessorientierte Umsetzung der ISMS Richtlinien und Anhang A Strategi

e

Risiko Manageme

nt

RichtlinienKonzepte

Umsetzung & Kontrolle

PDCA Zyklus

Der Weg zur erfolgreichen Zertifizierung

Strategie

Risiko Management

RichtlinienKonzepte

Umsetzung & Kontrolle

Was will der Auditor sehen?

• Verweis auf das Risikomanagement in der Leitlinie• Mitarbeiter Awareness – Interviews • Abgleich der Sicherheitsziele mit den Messparametern (KPIs)• Nachweis der Wirksamkeit von Maßnahmen• Management Review – Rückblick und Vorschau

• Klassifizierung der Informationen und Festlegung der Eigentümer

• Richtlinie Maßnahmen (Woher kommen sie?)• Zuordnung der Controls zu Assets und Maßnahmen• Auflistung relevanter Gesetze• Bestellung Sicherheits- und Datenschutzbeauftragter

• BCM (Wiederanlauf, Tests)• Dokumentation des Beschaffungsprozesses• Dokumentation Logging Monitoring (was soll überwacht

werden)• Patch Konzept• Test der Datensicherungen• Dokumentation Hardening• …..

Der Weg zur erfolgreichen Zertifizierung

Roadmap

Start 03/2009

Strategie/Risiko

bis 11/2009

Richtlinien und Konzepte ab 02/2010

Vor-Audit 10/2010

Zertifizierungsaudit TÜV Nord 12/2010

Projektteam: 6 Mitarbeiter Dauer: 20 Monate Aufwand: 42 PM (intern)Kosten: 80 TEUR (extern)Invest: 125 TEUR

Init 11/2009

KVP – Das Leben nach der Zertifizierung

Kontinuierlicher Verbesserungsprozess KVP - Aufgaben und Maßnahmen

• s. Maßnahmenplan ISO Zertifizierungsaudit (Findings)o Ausbau der Sicherheitsorganisation (CISO, BCM Manager, ..)o Investitionen für Infrastruktur- und Systemerweiterungeno Erweiterung Loggingverfahren, Userverwaltung, Pen-Test, etc.

• Weiterentwicklung des zentralen ISMS - Service Desks (ITIL-konform) für o Incident Management o Problem Managemento Change Management o Configuration-, Release Management, etc.……

• Sensibilisierung Mitarbeiter und GL -> Awareness …..o Regelmäßige Mitarbeiterschulungen ISMS/Datenschutz

• Durchführung und nachvollziehbare Dokumentation von o Übungen (u.a. BCM Notfallübungen, Gebäudeschutz, etc. o internen Audits (durch IT-/Datenschutzbeauftragten)

• Vorbereitung Überwachungsaudits bzw. Re-Zertifizierungsaudit

Strategie

Risiko Management

RichtlinienKonzepte

Umsetzung &

Kontrolle

Best Practises - Empfehlungen

• Enge und frühzeitige Einbindung der Geschäftsführung (Prozessowner) und aller Mitarbeiter im gesamten Zertifizierungsprozess -> KVP-Prozess

• Durchführung Zertifizierungsvorbereitungen durch ein möglichst dafür frei gestelltes Projektteam mit dem dafür notwendigen Know How

• Frühzeitige Unterstützung durch ein kompetentes ISMS-Beratungshaus (Effiziente Ist-Analyse, pragmatischer Ansatz für Schutzbedarfs- und Risikoanalyse …)

• Berücksichtigung von Prozessarchitektur und -definitionen gemäß ITIL-Definition 3.0 (Incident Management, Problem Management, Change Management, …..)

• Berücksichtigung von für Ihr Unternehmen wesentliche Prozesse gemäß IT Service Management ISO 20000, ISO 9000 Qualitätsmanagement, etc.

• Auf die Rahmenbedingungen des Unternehmens ausgerichtete Definition des ISMS-Gültigkeitsbereichs, -Prozesse und -dokumentation mit

einem pragmatischen Ansatz (man muss täglich damit arbeiten können)

einer möglichst hohen Flexibilität in der Festlegung bzw. Änderung von Richtlinien und Arbeitsanweisungen

• Aufbau eines zentralen ISMS Service Desk auf Basis von professionellen Tools

• Zusätzliche Unterstützung durch Bestellung eines externen Datenschutzbeauftragten

Vielen Dank!

Fragen?

Kontakt:

Peter SchindeckerGeschäftsführer

Formware GmbHStangenreiterstraße 283131 Nußdorf am Inn

Phone: +49 8034 9038-0Fax: +49 8034 9038-6338Mobil: +49 176 19038220E-Mail: peter.schindecker@formware.deWeb: www.formware.de