SlideShare ist ein Scribd-Unternehmen logo

Information Security Management (ISMS) with QSEC

WMC GmbH
WMC GmbH
Business
1 von 30
Downloaden Sie, um offline zu lesen
„Best in Class ist nie ein Zufall“ – WMC schneller mehr Ergebnis. QSEC Suite Präsentation WMC GmbH Best Practice im Informationssicherheitsmanagement nach ISO 27001 „Best in Class ist nie ein Zufall !“
Agenda Begrüßung und Abstimmung der Agenda Vorstellung ganzheitliches ISMS QSEC-Suite Präsentation Fragen und Diskussion 2 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
WMC – seit 11 Jahren optimale Leistungen im Projekt- und Lösungsgeschäft • ausschließlich Kunde • ausschließlich Consultants mit Consultants mit Managementerfahrung Managementerfahrung • Konzeption und gemeinsame • Konzeption und gemeinsame Umsetzung messbarer, Umsetzung messbarer, akzeptierter Ergebnisse akzeptierter Ergebnisse Consulting (IT-Security) Consulting (IT-Solutions) Kernkompetenzen Kernkompetenzen • Information - / IT-Security • IT-LifeCycle Management • IT-Risk Management • Asset- und Contract Management • Licence Management Produktfamilie - QSEC-Suite  Datenbankbasierte Produkte für Aufbau und Betrieb von Information Security Management Systemen 3 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ © 2011 WMC GmbH
WMC Referenzen / Projekte (Auszug) arvato systems GmbH (Bertelsmann Gruppe) Medien Axel Springer AG Huf Hülsbeck & Fürst GmbH Marquardt GmbH Reich GmbH Automotive Wilhelm Karmann GmbH Volkswagen Osnabrück GmbH Paul Albrechts Verlag GmbH PAV CARD GmbH Veolia Umweltservice GmbH Dienstleistung Germanischer Lloyd AG Sana IT Services GmbH Gesundheitswesen ITERGO (ERGO Konzern) DVAG (Deutsche Vermögensberatung AG) Versicherungen 4 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
Agenda Vorstellung ganzheitliches ISMS • ISMS führt zu Geschäftserfolg, Profit und Image • ISMS nach ISO/IEC 27001/ Vorgehensmodell • IT-Risikomanagement • QSEC Produktfamilie und Leistungen 5 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
WMC - Compliance-, IT-Risko- und Maßnahmen-Management (CRM) CRM führt zu mehr Geschäftserfolg, Profit und stärkt die Menschen. Business im Wandel Informationstechnologie 1. Information Schnelle und wirksame Umsetzung von 2. Global Geschäftsstrategien 3. Werte Wettbewerbsvorteil Kostenvorteil Innovationsvorteil „Supply“ orientierte IT (2000-2010) Strategisch wirksame und sichere IT (2010 – 2020) » Intelligente Nutzung von Informationssicherheit » IT-Kostenmanagement » Risiko-Wertorientierte Steuerung von IT Investitionen » IT-Industrialisierung CRM » Wirkungsvolle Unterstützung der Geschäftsbereiche » Full Scope Outsourcing Trans- » Übergreifende Prozesse » Abwicklung IT-Projekte formation » Anwendungskritikalität » IT-Service Qualität » Konsequente Ausrichtung der IT Organisation am Geschäft 6 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
Sicherung des Unternehmenserfolges durch ein ISMS Informationssicherheitsmanagement – notwendiges Übel oder wesentlicher Beitrag zum Geschäftserfolg? Unternehmen Risiko- und Chancenmanagement Informations- Wertschöpfungs- Qualitäts- sicherheits- management management management Werte Werte Werte schaffen stärken sichern Geschäftserfolg, Profit, Image 7 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ © 2011 WMC GmbH
ISMS - Wie diese Themen erfolgreich gemanagt werden können Notfallplanung Qualitätsmanagement Risikomanagment SOX Business Continuity Informations- Management sicherheit Datensicherung ISO/IEC 27001 IT-Risikomanagement Business Impact Analyse IT-Servicemanagement 8 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ © 2011 WMC GmbH
Keine Prozesssicherheit ohne Informationssicherheit Informationssicherheit IT-Strategie folgt der Unternehmensstrategie IT - Organisation Unternehmensstrategie / - Kultur Geschäftsprozesse die Ausgangsbasis Geschäftsprozessebene Arbeitsergebnis IT-Anwendungen unterstützen IT- Applikationen Geschäftsprozesse Applikationsebene / IT-Anwendungen Technische Systemebene / IT-Infrastruktur 9 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
QSEC-Suite - Methode zur Einführung und Betrieb eines ISMS Act überprüfen Plan Methode zum Betrieb eines ISMS Strategische Ausrichtung Grundsätze und Leitlinien bestimmen erstellen (Security Policy) • Geschäftsführungsentscheidung zur konsequenten Sicherheitspolitik 0 • Ernennung eines Sicherheitsbeauftragten auf Managementebene • Einführung von Grundsätzen und Leitlinien Permanentes Assessment Selfassesment durchführen • Implementierung der ISMS-Organisation • Technik überprüfen und bewerten (Vulnerability Assessment) Effektive, wiederholende Sensibilisierung • Ressourcen und Prozesse zugeordnen und bewerten 1 • Ggf. weitere branchenspezifische Assessments (z.B. ISO / TS 16949) Permanentes Risikomanagement • Beurteilung der Prozesse nach „Business-Kritikalität“ Risikomanagement durchführen • der Mitarbeiter Erstellung eines Business-Blueprints der Systemlandschaft • Ermittlung der Assetwerte zur Bildung eines Kennzahl-Systems 2 • Bedrohungs- und Schwachstellenanalyse der Systemlandschaft Permanente Risikobegegnung • Bewertung der möglichen Risiken Risktreatment Risikobegegnung durchführen • Erstellung eines Risikobegegnungsplans 3 • Entscheidung zur Akzeptanz oder des Transfer von Risiken • Durchführung von Sicherheitssofortmaßnahmen Permanentes Maßnahmenmgmt. • Anpassung des BCM zur Abdeckung operativer Risiken Maßnahmenmgmt.. durchführen • Terminierung und Initiierung notwendiger Projekte 4 • Überprüfung der Umsetzung eingeleiteter Maßnahmen Check • Absicherung durch Etablierung des Notfallmanagements Do 10 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ © 2011 WMC GmbH
Schematischer Ablauf des IT Risikomanagement Prozessmodell erstellen Angebotsphase Montage … Versand Übergeordnete Risikobewertung Kritikalität: niedrig Kritikalität: hoch Kritikalität: mittel (Kritikalität der GP festlegen) Applikation 1 Applikation 3 Applikation 5 Datenbank a Datenbank e Datenbank h Alle Assets Datenbank b Datenbank f Datenbank i • identifizieren, Server x Server z Server w • gruppieren und • den Prozessen zuordnen Applikation 2 Applikation 4 Applikation 6 Datenbank c Datenbank g Datenbank k Server y Server v Server z Detaillierte Analyse Detaillierte Analyse • Asset Bewertung Basisbewertung Basisbewertung Vertraulichkeit, Integrität, Verfügbarkeit, • Bedrohungsanalyse Authentizität, Finanzieller Wert • Schwachstellenanalyse • Risikobewertung Bedrohungen Schwachstellen Appl. 4 analysieren und oder analysieren und DB c bewerten. bewerten Basisbewertung Server v (existierende Sicherheits- maßnahmen berücksichtigen) Maßnahmen Management 11 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
Compliance Management: Systematisches, methodenbasiertes Vorgehen BDSG Sicherheitsmanagement Qualitätsmanagement ISO 27001 ISO 9001 inkl. IT-Risko 27005 Qualitätsmanagementsystem Kontinuierliche Verbesserung Anforderungen Verantwortung der Leitung Kunde Zufriedenheit Messung, Kunde Management Analyse, DIN EN ISO 9001Verbes- Managementprozess der Ressourcen serung Abgebildet in QSEC Produkt u./o. Dienstleistungs- realisierung Produkt/ Dienst- Act Plan leistung Sicherheit ist ein Umweltmanagement Prozess Servicemanagement ISO 14001 Check Do ISO 20000 SOX 12 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
Die QSEC-Suiten / QSEC Easy Express • Vollständige ISMS Abbildung nach ISO/IEC 27001 • Plan-Do-Check-Act (PDCA) • Nachhaltigkeit • Vollständiges IT-Risikomanagement ISO/IEC 27005 • Bedrohungen/Schwachstellen • Ganzheitlichkeit • Vollständiges Maßnahmenmanagement • Liefert jederzeit den aktuellen Status • Übersichtlichkeit • Schnittstellenmanagement • BIA / BCM*) • Integration in die Infrastruktur • Geschäftskontinuität • Eindeutigkeit • Planbarkeit *) BIA=Business Impact Analyse, BCM=Business Continuity Management 13 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
QSEC Easy Express • Compliance • Maßnahmen • IT-Risiko • Dokumenten • Reporting • Limitiert auf 3 User und 1 Untersuchungsbereich 14 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
QSEC Family • QSEC Easy Express • QSEC-Suite Enterprise Edition • QSEC-Suite GRC Edition Nachhaltigkeit • Intuitive Benutzerführung • Methode • Content „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ 15
QSEC-Suite Enterprise Edition • Compliance • Maßnahmen • IT-Risiko • Dokumenten • Security-Incident • Reporting „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ 16
QSEC-Suite GRC Edition • Compliance • Maßnahmen • IT-Risiko • Dokumenten • Security-Incident • BIA/BCM • Reporting „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ 17
QSEC-Family - Produktvergleich „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ 18
QSEC-Suite Module im Überblick Module in Planung Enterprise Suite GRC Suite QSEC-Suite Dashboard QSEC-Suite QSEC-Suite QSEC-Suite QSEC-Suite Reporting Management Compliance IT-Risiko Reporting BCM Compliance- IT- Reporting Business Continuity management Risikomanagement Berichte Management QSEC-Suite QSEC-Suite QSEC-Suite QSEC-Suite Erweiterungen Maßnahmen Dokument BIA Incident Maßnahmen- Dokumenten- Security-Incident- Business Impact Awareness management management management Analyse Awarenessmanagement Schnittstellen Schnittstellen Mailsystem, Asset Management (z. B. Spider), AD, Ticketsystem (z. B. helpLine) Risikomanagement Montoring Tools QSEC-Suite Vulnerability-Scan Core Server, Gemeinsame Plattform, Berechtigungen vorhanden in Realisation 19 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
QSEC-Suite integriert in der IT-Infrastruktur Assetgruppe Kritikalität Geschäftsprozesse Vertraulichkeit Verfügbarkeit Mitarbeiter- Asset berechtigungen Management Integrität Active Directory (AD) Spider / Service Center Assetgruppe Schwachstellen QSEC-Suite Vulnerability Prozess Maßnahmen ISMS / BDSG Geschäftsprozesse Management Management Qualys Integriertes Aris / Adonis Management System Benachrichtigungen Security-Incidents Incident Mailsystem Management Perigrine / helpLine 20 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
QSEC Suite Enterprise Edition – mehr als nur eine Software (1/2) In der QSEC-Suite Enterprise Edition ist folgender Content enthalten Modul Beschreibung Bemerkung Stammdaten Rollenbeschreibungen z.B. Sicherheitsbeauftragter, Datenschutzbeauftragter, Qualitätsbeauftragter etc. Compliance ISO/IEC 27001 Chapter 0-8 • Ständige Überarbeitung und Fragenkatalog mit 48 Fragen Update ISO/IEC 27001 Annex A • Selbstverständlich kann auch Ihr Fragenkatalog mit 502 Fragen bestehender Fragenkatalog ISO/IEC 9001 eingebunden werden Fragenkatalog mit 126 Fragen ISO/IEC 14001 Fragenkatalog mit 148 Fragen ISO/IEC 20000 Fragenkatalog mit 400 Fragen PCI/DSS Fragenkatalog mit 98 Fragen VDA PTS Fragenkatalog mit 102 Fragen Bundesdatenschutzgesetz (BDSG) Fragenkatalog mit 402 Fragen Sarbanes-Oxley-Act (SOX) Fragenkatalog mit 229 Fragen 21 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
QSEC Suite Enterprise Edition – mehr als nur eine Software (2/2) In der QSEC-Suite Enterprise Edition ist folgender Content enthalten Modul Beschreibung Bemerkung IT-Risiko- Bedrohungskatalog (50) Ständige Überarbeitung und management Schwachstellenkatalog (120) Update Dokumenten- Musterdokumente Ständige Überarbeitung und management z.B. Sicherheitsmanagement (25) Update Security Policy Sicherheitsleitlinien Klassifizierungsrichtlinie IT-Risikomanagementrichtlinie etc. Maßnahmen- Maßnahmenvorschlagslisten Ständige Überarbeitung und management z.B. Sicherheitsmanagement (1.200) Update Control- und Risikobezogen 22 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
QSEC-Suite Beispiel: Maßnahmenmanagement Struktur im Maßnahmenmanagement z.B. ISO 27001 Untersuchungs- • A5 • Bezeichnung bereich • A6 • Beschreibung • Zieldatum • Priorität • Verantwortlich • Umsetzungsgrad • Status Maßnahmen • Projektname • Projektverantwortlicher • Verknüpfung • Compliance • Dokument z.B. Name des verantwort- • mit anderen • Patch Dokument lichen Mitarbeiters Maßnahmen • Klassifizierung • Protokollierung • individuelle Maßnahmen z.B. • Risikomanagement • Richtlinie • Arbeitsanweisung • Formular • Handbuch • Checkliste Für jede Sicht wird eine entsprechende Verknüpfung am Dokument erstellt. 23 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
QSEC-Suite Beispiel: Reporting Reifegrad IST- / SOLL Darstellung mit Maßnahmenauflistung Assetgruppenbewertung Mitgelieferte A5 Untersuchungsbereich: ITRZ + Recht Sicherheitspoli tik Reports A15 5 A6 10 Einhaltung Organisation 9 der … 4 der … A14 Business 3 A7 8 10 • Standardberichte Anzahl Assetgruppen • Management- Continuity Management 7 2 Management von Werten 6 1 IST 0 SOLL 5 berichte A13 A8 Management von… Personalsicher heit 4 3 6 • Arbeitsberichte 2 4 • SOA A12 A9 • Maßnahmen 1 Beschaffung, Physische Entwicklung … Sicherheit 0 A11 Zugangskontro A10 Betriebs- und Detaillierte Bewertung • Risiko Basisbewertung • Reifegrad lle Kommunikat… Erfasste Assetgruppen Assetgruppenstatus Risikostatus Gap-Analyse des Schutzzniveaus je Assetgruppe Untersuchungsbereich: ITRZ + Recht Untersuchungsbereich: ITRZ + Recht • Individuelle Berichte 4 nach Vorgabe 3,5 3 3 3 4 Schutzniveau 2,5 4 20% 2 2 2 20% 1,5 1 3 60% 1 0,5 0 SAP MM SAP HR SAP PP SAP WM Risikowert >= 7 SAP MM SAP HR SAP PP SAP WM Risikowert 5 - 7 Soll-Wert 4 4 3 3 Risikowert <=4 Ist-Wert 1 2 3 2 Assetgruppe 24 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
QSEC-Suite Technik Die QSEC-Suite ist eine webbasierte Anwendung: Client Webserver Datenbank Incident neu Compliance • Web-Browser • Microsoft • Microsoft Dokumente Reporting • SSL Windows Server SQL • Keine Installation 2003 - 2008 R2 Server 2008 / R2 Maßnahmen • Keine Wartung • Microsoft Risiko IIS • Schnittstellen zu • ASP.NET 4.0 anderen Systemen Programmierung mit Microsoft Visual Studio 2010 Aktuelle Version: 3.0 QSEC-Suite - der sichere, softwaregestützte Weg zum ganzheitlichen Information Security Management System (ISMS) nach ISO/IEC 2700x 25 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
QSEC - Versionsentwicklung 2008 - 2012 QSEC Leistungen QSEC 4.0 bis 5.0 QSEC 1.6.0 bis 3.0 Module: • Event- console Module: Normen: • Dashboard QSEC 1.0.0 bis 1.5.0 • Integration • strategisches • BS 25999 (BCM) • (Qualys/ISS/ Management von • SOX Checkpoint Module: Normen: etc.) Unternehmenszielen • Sonder- • BIA lösungen • SharePoint • Admin • ISO 27001 • CoBIT • QSEC- (Business Impact • Stammdaten • ISO 27002 • Fragenkatalog Online Analyse) • Compliance • ISO 27005 • Englische (SaaS) • BCM • Maßnahmen • ISO 9001 (QM) Sprachvariante • Security Incident • Risiko (IT) • ISO 14001 Management • Dokumenten (Umwelt) • Dokumentenportal • Reporting • ISO 20000 (ITIL) • Schnittstellen • (Reifegrad) • VDA PTS • Berechtigungskonzept • PCI / DSS nach Legal Entities 15.10.2008 31.12.2009 30.12.2011 31.12.2012 26 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
ISMS Einführung - Nutzen • Ernstgenommene ISMS Einführung erhöht die Unternehmenssicherheit signifikant und leistet einen wesentlichen Beitrag zum Risikomanagement im Unternehmen • Nachweis des Sicherheitsmanagements und dessen Überprüfung durch externe Auditoren zur Erfüllung von Kundenanforderungen • Erhaltung und Stärkung der eigenen Wettbewerbsfähigkeit • Möglichkeit der gezielten IT-Investition durch Kenntnis der geschäftskritischen Erfordernisse (IT-Risikomanagement) • Generierung angemessener Sicherheitsstandards und -lösungen im Rahmen der IT Strategie • Einsparungen durch Roll Out des praxiserprobten ISMS auf weitere Standorte bzw. bei Unternehmensexpansion - „ISMS aus der Box“ für neue Standorte • Konsolidierbare und vergleichbare Daten im Sicherheitsmanagement in Konzernstrukturen • Erfüllung von Anforderungen aus dem Datenschutzgesetz „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
Vorteile von und Anforderungen an eine Toolunterstützung • Integrierte zentrale Datenbank • Konzernstrukturen weltweit darstellbar • Vorgehen nach einheitlicher Methode in großen und komplexen Unternehmensstrukturen • je Norm / Gesetz komplett hinterlegter Content • vollintegriertes IT-Risikomanagement • Integration in die bestehende IT-Infrastruktur (AD, SAP, Asset System etc.) – keine Doppelerfassung von Daten • Zentrale Dokumentenverwaltung (oder Verlinkung mit DMS) • Historie aller relevanten Veränderungsdaten • Zuweisung expliziter Aufgaben an alle am Projekt beteiligten Verantwortlichen • automatische Wiedervorlage über Mailsystem • Erfassung und Kritikalitätsbewertung der Geschäftsprozesse je Untersuchungsbereich • Maßnahmenvorschläge 28 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
QSEC-Suite Vorteile im Ergebnis • hohe Transparenz über alle Aktivitäten und Status im Bereich des Compliance- und IT-Risikomanagements • permanente Information über und nachhalten von Veränderungen und Verbesserungen über den PDCA Kreislauf • daraus abgeleitet die Möglichkeit der Optimierung der IT-Investitionen auf die wesentlichen, geschäftskritischen Prozesse • Einsparung von ca. 30-50% der internen und externen Kosten einer ISMS-Einführung / Betrieb (bzw. Qualitäts-, Umweltmanagement etc.) sind möglich • Positive Auswirkungen auf das Image des Unternehmens bei Kunden, Lieferanten, Banken, Versicherungen und Investoren durch lückenlose Nachweisbarkeit aller durchgeführten Aktivitäten inkl. tagesaktuellem Status 29 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
Version 2.1 „Best in Class ist nie ein Zufall !“

Empfohlen

Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtIris Maaß
 
Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter MittelstandDahamoo GmbH
 
Datenmanagement
DatenmanagementDatenmanagement
DatenmanagementUniserv
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Holliday Consulting
 
Governance, Risk & Compliance
Governance, Risk & ComplianceGovernance, Risk & Compliance
Governance, Risk & ComplianceUwe Rydzek
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserDigicomp Academy AG
 
Infos Zum Thema Reifegradentwicklung V1 1
Infos Zum Thema Reifegradentwicklung V1 1Infos Zum Thema Reifegradentwicklung V1 1
Infos Zum Thema Reifegradentwicklung V1 1brox IT Solutions GmbH
 
[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & Compliance[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & CompliancePROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 

Empfohlen

Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtIris Maaß
 
Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter MittelstandDahamoo GmbH
 
Datenmanagement
DatenmanagementDatenmanagement
DatenmanagementUniserv
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Holliday Consulting
 
Governance, Risk & Compliance
Governance, Risk & ComplianceGovernance, Risk & Compliance
Governance, Risk & ComplianceUwe Rydzek
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserDigicomp Academy AG
 
Infos Zum Thema Reifegradentwicklung V1 1
Infos Zum Thema Reifegradentwicklung V1 1Infos Zum Thema Reifegradentwicklung V1 1
Infos Zum Thema Reifegradentwicklung V1 1brox IT Solutions GmbH
 
[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & Compliance[DE] GRC Governance, Risk Management & Compliance
[DE] GRC Governance, Risk Management & CompliancePROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
What is ISO 27001 ISMS
What is ISO 27001 ISMSWhat is ISO 27001 ISMS
What is ISO 27001 ISMSBusiness Beam
 
presentasi workshop national cybersecurity 2012
presentasi workshop national cybersecurity 2012 presentasi workshop national cybersecurity 2012
presentasi workshop national cybersecurity 2012Yudhistira Nugraha
 
Whales Presentation
Whales PresentationWhales Presentation
Whales PresentationMP Higley
 
Stentofon Baudisch Company Presentation - IT meets BBQ 2014
Stentofon Baudisch Company Presentation - IT meets BBQ 2014Stentofon Baudisch Company Presentation - IT meets BBQ 2014
Stentofon Baudisch Company Presentation - IT meets BBQ 2014pascom
 
Deb programme presentation oct 2010
Deb programme presentation oct 2010Deb programme presentation oct 2010
Deb programme presentation oct 2010joh1966
 
Fedora presentation 2007 (German) - Reworked
Fedora presentation 2007 (German) - ReworkedFedora presentation 2007 (German) - Reworked
Fedora presentation 2007 (German) - ReworkedOliver Falk
 
CRM2011
CRM2011CRM2011
CRM2011gussysue
 
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan Siber
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan SiberID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan Siber
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan SiberIGF Indonesia
 
Trivadis Company Presentation - german
Trivadis Company Presentation - germanTrivadis Company Presentation - german
Trivadis Company Presentation - germanTrivadis
 
Cegos Presentation Deutsch 2009 03 Linked In
Cegos Presentation Deutsch 2009 03 Linked InCegos Presentation Deutsch 2009 03 Linked In
Cegos Presentation Deutsch 2009 03 Linked InDieterFleiter
 
The indonesia darknets revealed– mapping the uncharted territory of the internet
The indonesia darknets revealed– mapping the uncharted territory of the internetThe indonesia darknets revealed– mapping the uncharted territory of the internet
The indonesia darknets revealed– mapping the uncharted territory of the internetCharles Lim
 
Indonesia Digital Transformation Outlook Briefing 2016
Indonesia Digital Transformation Outlook Briefing 2016Indonesia Digital Transformation Outlook Briefing 2016
Indonesia Digital Transformation Outlook Briefing 2016Mastel Indonesia
 
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) Nasional
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) NasionalPerancangan Panduan Keamanan Cyber-Physical Systems (CPS) Nasional
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) NasionalAries Syamsuddin
 
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?..."Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...sisterMAG
 
Indonesia-CyberWar
Indonesia-CyberWarIndonesia-CyberWar
Indonesia-CyberWarCybersecurity & ECommerce Expert
 
Infosec for web apps 2014_18november2014
Infosec for web apps 2014_18november2014Infosec for web apps 2014_18november2014
Infosec for web apps 2014_18november2014Directorate of Information Security | Ditjen Aptika
 
Semantic Web als Infrastruktur fuer die Wissensgesellschaft
Semantic Web als Infrastruktur fuer die WissensgesellschaftSemantic Web als Infrastruktur fuer die Wissensgesellschaft
Semantic Web als Infrastruktur fuer die WissensgesellschaftAndreas Blumauer
 
Iso27001 Audit Services
Iso27001 Audit ServicesIso27001 Audit Services
Iso27001 Audit Servicesmcloete
 
ISMS Awareness_Intan Rahayu
ISMS Awareness_Intan RahayuISMS Awareness_Intan Rahayu
ISMS Awareness_Intan RahayuDirectorate of Information Security | Ditjen Aptika
 
Sosialisasi Keamanan Informasi_Penyelenggaraan Telekomunikasi
Sosialisasi Keamanan Informasi_Penyelenggaraan TelekomunikasiSosialisasi Keamanan Informasi_Penyelenggaraan Telekomunikasi
Sosialisasi Keamanan Informasi_Penyelenggaraan TelekomunikasiDirectorate of Information Security | Ditjen Aptika
 
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr UnternehmenPc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmenpc_studio
 
Mbuf
MbufMbuf
MbufInspirit Beraten+Prüfen GmbH
 

Weitere ähnliche Inhalte

Andere mochten auch

What is ISO 27001 ISMS
What is ISO 27001 ISMSWhat is ISO 27001 ISMS
What is ISO 27001 ISMSBusiness Beam
 
presentasi workshop national cybersecurity 2012
presentasi workshop national cybersecurity 2012 presentasi workshop national cybersecurity 2012
presentasi workshop national cybersecurity 2012Yudhistira Nugraha
 
Whales Presentation
Whales PresentationWhales Presentation
Whales PresentationMP Higley
 
Stentofon Baudisch Company Presentation - IT meets BBQ 2014
Stentofon Baudisch Company Presentation - IT meets BBQ 2014Stentofon Baudisch Company Presentation - IT meets BBQ 2014
Stentofon Baudisch Company Presentation - IT meets BBQ 2014pascom
 
Deb programme presentation oct 2010
Deb programme presentation oct 2010Deb programme presentation oct 2010
Deb programme presentation oct 2010joh1966
 
Fedora presentation 2007 (German) - Reworked
Fedora presentation 2007 (German) - ReworkedFedora presentation 2007 (German) - Reworked
Fedora presentation 2007 (German) - ReworkedOliver Falk
 
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan Siber
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan SiberID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan Siber
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan SiberIGF Indonesia
 
Trivadis Company Presentation - german
Trivadis Company Presentation - germanTrivadis Company Presentation - german
Trivadis Company Presentation - germanTrivadis
 
Cegos Presentation Deutsch 2009 03 Linked In
Cegos Presentation Deutsch 2009 03 Linked InCegos Presentation Deutsch 2009 03 Linked In
Cegos Presentation Deutsch 2009 03 Linked InDieterFleiter
 
The indonesia darknets revealed– mapping the uncharted territory of the internet
The indonesia darknets revealed– mapping the uncharted territory of the internetThe indonesia darknets revealed– mapping the uncharted territory of the internet
The indonesia darknets revealed– mapping the uncharted territory of the internetCharles Lim
 
Indonesia Digital Transformation Outlook Briefing 2016
Indonesia Digital Transformation Outlook Briefing 2016Indonesia Digital Transformation Outlook Briefing 2016
Indonesia Digital Transformation Outlook Briefing 2016Mastel Indonesia
 
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) Nasional
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) NasionalPerancangan Panduan Keamanan Cyber-Physical Systems (CPS) Nasional
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) NasionalAries Syamsuddin
 
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?..."Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...sisterMAG
 
Semantic Web als Infrastruktur fuer die Wissensgesellschaft
Semantic Web als Infrastruktur fuer die WissensgesellschaftSemantic Web als Infrastruktur fuer die Wissensgesellschaft
Semantic Web als Infrastruktur fuer die WissensgesellschaftAndreas Blumauer
 
Iso27001 Audit Services
Iso27001 Audit ServicesIso27001 Audit Services
Iso27001 Audit Servicesmcloete
 

Andere mochten auch (20)

What is ISO 27001 ISMS
What is ISO 27001 ISMSWhat is ISO 27001 ISMS
What is ISO 27001 ISMS
 
presentasi workshop national cybersecurity 2012
presentasi workshop national cybersecurity 2012 presentasi workshop national cybersecurity 2012
presentasi workshop national cybersecurity 2012
 
Whales Presentation
Whales PresentationWhales Presentation
Whales Presentation
 
Stentofon Baudisch Company Presentation - IT meets BBQ 2014
Stentofon Baudisch Company Presentation - IT meets BBQ 2014Stentofon Baudisch Company Presentation - IT meets BBQ 2014
Stentofon Baudisch Company Presentation - IT meets BBQ 2014
 
Deb programme presentation oct 2010
Deb programme presentation oct 2010Deb programme presentation oct 2010
Deb programme presentation oct 2010
 
Fedora presentation 2007 (German) - Reworked
Fedora presentation 2007 (German) - ReworkedFedora presentation 2007 (German) - Reworked
Fedora presentation 2007 (German) - Reworked
 
CRM2011
CRM2011CRM2011
CRM2011
 
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan Siber
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan SiberID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan Siber
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan Siber
 
Trivadis Company Presentation - german
Trivadis Company Presentation - germanTrivadis Company Presentation - german
Trivadis Company Presentation - german
 
Cegos Presentation Deutsch 2009 03 Linked In
Cegos Presentation Deutsch 2009 03 Linked InCegos Presentation Deutsch 2009 03 Linked In
Cegos Presentation Deutsch 2009 03 Linked In
 
The indonesia darknets revealed– mapping the uncharted territory of the internet
The indonesia darknets revealed– mapping the uncharted territory of the internetThe indonesia darknets revealed– mapping the uncharted territory of the internet
The indonesia darknets revealed– mapping the uncharted territory of the internet
 
Indonesia Digital Transformation Outlook Briefing 2016
Indonesia Digital Transformation Outlook Briefing 2016Indonesia Digital Transformation Outlook Briefing 2016
Indonesia Digital Transformation Outlook Briefing 2016
 
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) Nasional
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) NasionalPerancangan Panduan Keamanan Cyber-Physical Systems (CPS) Nasional
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) Nasional
 
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?..."Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...
 
Indonesia-CyberWar
Indonesia-CyberWarIndonesia-CyberWar
Indonesia-CyberWar
 
Infosec for web apps 2014_18november2014
Infosec for web apps 2014_18november2014Infosec for web apps 2014_18november2014
Infosec for web apps 2014_18november2014
 
Semantic Web als Infrastruktur fuer die Wissensgesellschaft
Semantic Web als Infrastruktur fuer die WissensgesellschaftSemantic Web als Infrastruktur fuer die Wissensgesellschaft
Semantic Web als Infrastruktur fuer die Wissensgesellschaft
 
Iso27001 Audit Services
Iso27001 Audit ServicesIso27001 Audit Services
Iso27001 Audit Services
 
ISMS Awareness_Intan Rahayu
ISMS Awareness_Intan RahayuISMS Awareness_Intan Rahayu
ISMS Awareness_Intan Rahayu
 
Sosialisasi Keamanan Informasi_Penyelenggaraan Telekomunikasi
Sosialisasi Keamanan Informasi_Penyelenggaraan TelekomunikasiSosialisasi Keamanan Informasi_Penyelenggaraan Telekomunikasi
Sosialisasi Keamanan Informasi_Penyelenggaraan Telekomunikasi
 

Ähnlich wie Information Security Management (ISMS) with QSEC

Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr UnternehmenPc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmenpc_studio
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMOPTIMAbit GmbH
 
Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...
Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...
Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...Josef Hofer-Alfeis
 
Itsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplanItsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplanBeck et al. GmbH
 
Recrutainment - Spielerische Ansätze in Personalmarketing und -auswahl
Recrutainment - Spielerische Ansätze in Personalmarketing und -auswahlRecrutainment - Spielerische Ansätze in Personalmarketing und -auswahl
Recrutainment - Spielerische Ansätze in Personalmarketing und -auswahlJoachim Diercks
 
KnowTech 2010 - 10 Jahre KM bei Detecon
KnowTech 2010 - 10 Jahre KM bei DeteconKnowTech 2010 - 10 Jahre KM bei Detecon
KnowTech 2010 - 10 Jahre KM bei DeteconMichael Schomisch
 
b!g Scrumday OOP 2011 Scrum und Personalmanagement
b!g Scrumday OOP 2011 Scrum und Personalmanagementb!g Scrumday OOP 2011 Scrum und Personalmanagement
b!g Scrumday OOP 2011 Scrum und Personalmanagementborisgloger consulting GmbH
 
ITservices24 Präsentation 2013
ITservices24 Präsentation 2013ITservices24 Präsentation 2013
ITservices24 Präsentation 2013rolandpiedl
 
Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Ernest Wallmueller
 
Wieviel Web2.0 braucht Ihr Unternehmen?
Wieviel Web2.0 braucht Ihr Unternehmen?Wieviel Web2.0 braucht Ihr Unternehmen?
Wieviel Web2.0 braucht Ihr Unternehmen?GFU Cyrus AG
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRamona Kohrs
 
Produkt Produkt Manager
Produkt Produkt ManagerProdukt Produkt Manager
Produkt Produkt ManagerOliver Belikan
 
Datenqualitätsmanagement heute und morgen
Datenqualitätsmanagement heute und morgenDatenqualitätsmanagement heute und morgen
Datenqualitätsmanagement heute und morgenVizlib Ltd.
 
Gegenwart managen + Zukunft gestalten - Ambidextrie
Gegenwart managen + Zukunft gestalten - AmbidextrieGegenwart managen + Zukunft gestalten - Ambidextrie
Gegenwart managen + Zukunft gestalten - AmbidextrieDr. Ute Hillmer (PhD)
 
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...Marco Geuer
 

Ähnlich wie Information Security Management (ISMS) with QSEC (20)

Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr UnternehmenPc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
 
Mbuf
MbufMbuf
Mbuf
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
 
Microsoft Unified Communications aus Kundensicht
Microsoft Unified Communications aus KundensichtMicrosoft Unified Communications aus Kundensicht
Microsoft Unified Communications aus Kundensicht
 
Salcon biel
Salcon bielSalcon biel
Salcon biel
 
metafinanz Unternehmensprofil
metafinanz Unternehmensprofilmetafinanz Unternehmensprofil
metafinanz Unternehmensprofil
 
Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...
Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...
Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...
 
Itsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplanItsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplan
 
Leistungsspektrum
LeistungsspektrumLeistungsspektrum
Leistungsspektrum
 
Recrutainment - Spielerische Ansätze in Personalmarketing und -auswahl
Recrutainment - Spielerische Ansätze in Personalmarketing und -auswahlRecrutainment - Spielerische Ansätze in Personalmarketing und -auswahl
Recrutainment - Spielerische Ansätze in Personalmarketing und -auswahl
 
KnowTech 2010 - 10 Jahre KM bei Detecon
KnowTech 2010 - 10 Jahre KM bei DeteconKnowTech 2010 - 10 Jahre KM bei Detecon
KnowTech 2010 - 10 Jahre KM bei Detecon
 
b!g Scrumday OOP 2011 Scrum und Personalmanagement
b!g Scrumday OOP 2011 Scrum und Personalmanagementb!g Scrumday OOP 2011 Scrum und Personalmanagement
b!g Scrumday OOP 2011 Scrum und Personalmanagement
 
ITservices24 Präsentation 2013
ITservices24 Präsentation 2013ITservices24 Präsentation 2013
ITservices24 Präsentation 2013
 
Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?
 
Wieviel Web2.0 braucht Ihr Unternehmen?
Wieviel Web2.0 braucht Ihr Unternehmen?Wieviel Web2.0 braucht Ihr Unternehmen?
Wieviel Web2.0 braucht Ihr Unternehmen?
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event Report
 
Produkt Produkt Manager
Produkt Produkt ManagerProdukt Produkt Manager
Produkt Produkt Manager
 
Datenqualitätsmanagement heute und morgen
Datenqualitätsmanagement heute und morgenDatenqualitätsmanagement heute und morgen
Datenqualitätsmanagement heute und morgen
 
Gegenwart managen + Zukunft gestalten - Ambidextrie
Gegenwart managen + Zukunft gestalten - AmbidextrieGegenwart managen + Zukunft gestalten - Ambidextrie
Gegenwart managen + Zukunft gestalten - Ambidextrie
 
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
Daten- und Informationsqualitätsmanagement als integraler Baustein von Manage...
 

Information Security Management (ISMS) with QSEC

  • 1. „Best in Class ist nie ein Zufall“ – WMC schneller mehr Ergebnis. QSEC Suite Präsentation WMC GmbH Best Practice im Informationssicherheitsmanagement nach ISO 27001 „Best in Class ist nie ein Zufall !“
  • 2. Agenda Begrüßung und Abstimmung der Agenda Vorstellung ganzheitliches ISMS QSEC-Suite Präsentation Fragen und Diskussion 2 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 3. WMC – seit 11 Jahren optimale Leistungen im Projekt- und Lösungsgeschäft • ausschließlich Kunde • ausschließlich Consultants mit Consultants mit Managementerfahrung Managementerfahrung • Konzeption und gemeinsame • Konzeption und gemeinsame Umsetzung messbarer, Umsetzung messbarer, akzeptierter Ergebnisse akzeptierter Ergebnisse Consulting (IT-Security) Consulting (IT-Solutions) Kernkompetenzen Kernkompetenzen • Information - / IT-Security • IT-LifeCycle Management • IT-Risk Management • Asset- und Contract Management • Licence Management Produktfamilie - QSEC-Suite  Datenbankbasierte Produkte für Aufbau und Betrieb von Information Security Management Systemen 3 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ © 2011 WMC GmbH
  • 4. WMC Referenzen / Projekte (Auszug) arvato systems GmbH (Bertelsmann Gruppe) Medien Axel Springer AG Huf Hülsbeck & Fürst GmbH Marquardt GmbH Reich GmbH Automotive Wilhelm Karmann GmbH Volkswagen Osnabrück GmbH Paul Albrechts Verlag GmbH PAV CARD GmbH Veolia Umweltservice GmbH Dienstleistung Germanischer Lloyd AG Sana IT Services GmbH Gesundheitswesen ITERGO (ERGO Konzern) DVAG (Deutsche Vermögensberatung AG) Versicherungen 4 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 5. Agenda Vorstellung ganzheitliches ISMS • ISMS führt zu Geschäftserfolg, Profit und Image • ISMS nach ISO/IEC 27001/ Vorgehensmodell • IT-Risikomanagement • QSEC Produktfamilie und Leistungen 5 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 6. WMC - Compliance-, IT-Risko- und Maßnahmen-Management (CRM) CRM führt zu mehr Geschäftserfolg, Profit und stärkt die Menschen. Business im Wandel Informationstechnologie 1. Information Schnelle und wirksame Umsetzung von 2. Global Geschäftsstrategien 3. Werte Wettbewerbsvorteil Kostenvorteil Innovationsvorteil „Supply“ orientierte IT (2000-2010) Strategisch wirksame und sichere IT (2010 – 2020) » Intelligente Nutzung von Informationssicherheit » IT-Kostenmanagement » Risiko-Wertorientierte Steuerung von IT Investitionen » IT-Industrialisierung CRM » Wirkungsvolle Unterstützung der Geschäftsbereiche » Full Scope Outsourcing Trans- » Übergreifende Prozesse » Abwicklung IT-Projekte formation » Anwendungskritikalität » IT-Service Qualität » Konsequente Ausrichtung der IT Organisation am Geschäft 6 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 7. Sicherung des Unternehmenserfolges durch ein ISMS Informationssicherheitsmanagement – notwendiges Übel oder wesentlicher Beitrag zum Geschäftserfolg? Unternehmen Risiko- und Chancenmanagement Informations- Wertschöpfungs- Qualitäts- sicherheits- management management management Werte Werte Werte schaffen stärken sichern Geschäftserfolg, Profit, Image 7 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ © 2011 WMC GmbH
  • 8. ISMS - Wie diese Themen erfolgreich gemanagt werden können Notfallplanung Qualitätsmanagement Risikomanagment SOX Business Continuity Informations- Management sicherheit Datensicherung ISO/IEC 27001 IT-Risikomanagement Business Impact Analyse IT-Servicemanagement 8 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ © 2011 WMC GmbH
  • 9. Keine Prozesssicherheit ohne Informationssicherheit Informationssicherheit IT-Strategie folgt der Unternehmensstrategie IT - Organisation Unternehmensstrategie / - Kultur Geschäftsprozesse die Ausgangsbasis Geschäftsprozessebene Arbeitsergebnis IT-Anwendungen unterstützen IT- Applikationen Geschäftsprozesse Applikationsebene / IT-Anwendungen Technische Systemebene / IT-Infrastruktur 9 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 10. QSEC-Suite - Methode zur Einführung und Betrieb eines ISMS Act überprüfen Plan Methode zum Betrieb eines ISMS Strategische Ausrichtung Grundsätze und Leitlinien bestimmen erstellen (Security Policy) • Geschäftsführungsentscheidung zur konsequenten Sicherheitspolitik 0 • Ernennung eines Sicherheitsbeauftragten auf Managementebene • Einführung von Grundsätzen und Leitlinien Permanentes Assessment Selfassesment durchführen • Implementierung der ISMS-Organisation • Technik überprüfen und bewerten (Vulnerability Assessment) Effektive, wiederholende Sensibilisierung • Ressourcen und Prozesse zugeordnen und bewerten 1 • Ggf. weitere branchenspezifische Assessments (z.B. ISO / TS 16949) Permanentes Risikomanagement • Beurteilung der Prozesse nach „Business-Kritikalität“ Risikomanagement durchführen • der Mitarbeiter Erstellung eines Business-Blueprints der Systemlandschaft • Ermittlung der Assetwerte zur Bildung eines Kennzahl-Systems 2 • Bedrohungs- und Schwachstellenanalyse der Systemlandschaft Permanente Risikobegegnung • Bewertung der möglichen Risiken Risktreatment Risikobegegnung durchführen • Erstellung eines Risikobegegnungsplans 3 • Entscheidung zur Akzeptanz oder des Transfer von Risiken • Durchführung von Sicherheitssofortmaßnahmen Permanentes Maßnahmenmgmt. • Anpassung des BCM zur Abdeckung operativer Risiken Maßnahmenmgmt.. durchführen • Terminierung und Initiierung notwendiger Projekte 4 • Überprüfung der Umsetzung eingeleiteter Maßnahmen Check • Absicherung durch Etablierung des Notfallmanagements Do 10 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ © 2011 WMC GmbH
  • 11. Schematischer Ablauf des IT Risikomanagement Prozessmodell erstellen Angebotsphase Montage … Versand Übergeordnete Risikobewertung Kritikalität: niedrig Kritikalität: hoch Kritikalität: mittel (Kritikalität der GP festlegen) Applikation 1 Applikation 3 Applikation 5 Datenbank a Datenbank e Datenbank h Alle Assets Datenbank b Datenbank f Datenbank i • identifizieren, Server x Server z Server w • gruppieren und • den Prozessen zuordnen Applikation 2 Applikation 4 Applikation 6 Datenbank c Datenbank g Datenbank k Server y Server v Server z Detaillierte Analyse Detaillierte Analyse • Asset Bewertung Basisbewertung Basisbewertung Vertraulichkeit, Integrität, Verfügbarkeit, • Bedrohungsanalyse Authentizität, Finanzieller Wert • Schwachstellenanalyse • Risikobewertung Bedrohungen Schwachstellen Appl. 4 analysieren und oder analysieren und DB c bewerten. bewerten Basisbewertung Server v (existierende Sicherheits- maßnahmen berücksichtigen) Maßnahmen Management 11 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 12. Compliance Management: Systematisches, methodenbasiertes Vorgehen BDSG Sicherheitsmanagement Qualitätsmanagement ISO 27001 ISO 9001 inkl. IT-Risko 27005 Qualitätsmanagementsystem Kontinuierliche Verbesserung Anforderungen Verantwortung der Leitung Kunde Zufriedenheit Messung, Kunde Management Analyse, DIN EN ISO 9001Verbes- Managementprozess der Ressourcen serung Abgebildet in QSEC Produkt u./o. Dienstleistungs- realisierung Produkt/ Dienst- Act Plan leistung Sicherheit ist ein Umweltmanagement Prozess Servicemanagement ISO 14001 Check Do ISO 20000 SOX 12 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 13. Die QSEC-Suiten / QSEC Easy Express • Vollständige ISMS Abbildung nach ISO/IEC 27001 • Plan-Do-Check-Act (PDCA) • Nachhaltigkeit • Vollständiges IT-Risikomanagement ISO/IEC 27005 • Bedrohungen/Schwachstellen • Ganzheitlichkeit • Vollständiges Maßnahmenmanagement • Liefert jederzeit den aktuellen Status • Übersichtlichkeit • Schnittstellenmanagement • BIA / BCM*) • Integration in die Infrastruktur • Geschäftskontinuität • Eindeutigkeit • Planbarkeit *) BIA=Business Impact Analyse, BCM=Business Continuity Management 13 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 14. QSEC Easy Express • Compliance • Maßnahmen • IT-Risiko • Dokumenten • Reporting • Limitiert auf 3 User und 1 Untersuchungsbereich 14 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 15. QSEC Family • QSEC Easy Express • QSEC-Suite Enterprise Edition • QSEC-Suite GRC Edition Nachhaltigkeit • Intuitive Benutzerführung • Methode • Content „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ 15
  • 16. QSEC-Suite Enterprise Edition • Compliance • Maßnahmen • IT-Risiko • Dokumenten • Security-Incident • Reporting „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ 16
  • 17. QSEC-Suite GRC Edition • Compliance • Maßnahmen • IT-Risiko • Dokumenten • Security-Incident • BIA/BCM • Reporting „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ 17
  • 18. QSEC-Family - Produktvergleich „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ 18
  • 19. QSEC-Suite Module im Überblick Module in Planung Enterprise Suite GRC Suite QSEC-Suite Dashboard QSEC-Suite QSEC-Suite QSEC-Suite QSEC-Suite Reporting Management Compliance IT-Risiko Reporting BCM Compliance- IT- Reporting Business Continuity management Risikomanagement Berichte Management QSEC-Suite QSEC-Suite QSEC-Suite QSEC-Suite Erweiterungen Maßnahmen Dokument BIA Incident Maßnahmen- Dokumenten- Security-Incident- Business Impact Awareness management management management Analyse Awarenessmanagement Schnittstellen Schnittstellen Mailsystem, Asset Management (z. B. Spider), AD, Ticketsystem (z. B. helpLine) Risikomanagement Montoring Tools QSEC-Suite Vulnerability-Scan Core Server, Gemeinsame Plattform, Berechtigungen vorhanden in Realisation 19 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 20. QSEC-Suite integriert in der IT-Infrastruktur Assetgruppe Kritikalität Geschäftsprozesse Vertraulichkeit Verfügbarkeit Mitarbeiter- Asset berechtigungen Management Integrität Active Directory (AD) Spider / Service Center Assetgruppe Schwachstellen QSEC-Suite Vulnerability Prozess Maßnahmen ISMS / BDSG Geschäftsprozesse Management Management Qualys Integriertes Aris / Adonis Management System Benachrichtigungen Security-Incidents Incident Mailsystem Management Perigrine / helpLine 20 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 21. QSEC Suite Enterprise Edition – mehr als nur eine Software (1/2) In der QSEC-Suite Enterprise Edition ist folgender Content enthalten Modul Beschreibung Bemerkung Stammdaten Rollenbeschreibungen z.B. Sicherheitsbeauftragter, Datenschutzbeauftragter, Qualitätsbeauftragter etc. Compliance ISO/IEC 27001 Chapter 0-8 • Ständige Überarbeitung und Fragenkatalog mit 48 Fragen Update ISO/IEC 27001 Annex A • Selbstverständlich kann auch Ihr Fragenkatalog mit 502 Fragen bestehender Fragenkatalog ISO/IEC 9001 eingebunden werden Fragenkatalog mit 126 Fragen ISO/IEC 14001 Fragenkatalog mit 148 Fragen ISO/IEC 20000 Fragenkatalog mit 400 Fragen PCI/DSS Fragenkatalog mit 98 Fragen VDA PTS Fragenkatalog mit 102 Fragen Bundesdatenschutzgesetz (BDSG) Fragenkatalog mit 402 Fragen Sarbanes-Oxley-Act (SOX) Fragenkatalog mit 229 Fragen 21 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 22. QSEC Suite Enterprise Edition – mehr als nur eine Software (2/2) In der QSEC-Suite Enterprise Edition ist folgender Content enthalten Modul Beschreibung Bemerkung IT-Risiko- Bedrohungskatalog (50) Ständige Überarbeitung und management Schwachstellenkatalog (120) Update Dokumenten- Musterdokumente Ständige Überarbeitung und management z.B. Sicherheitsmanagement (25) Update Security Policy Sicherheitsleitlinien Klassifizierungsrichtlinie IT-Risikomanagementrichtlinie etc. Maßnahmen- Maßnahmenvorschlagslisten Ständige Überarbeitung und management z.B. Sicherheitsmanagement (1.200) Update Control- und Risikobezogen 22 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 23. QSEC-Suite Beispiel: Maßnahmenmanagement Struktur im Maßnahmenmanagement z.B. ISO 27001 Untersuchungs- • A5 • Bezeichnung bereich • A6 • Beschreibung • Zieldatum • Priorität • Verantwortlich • Umsetzungsgrad • Status Maßnahmen • Projektname • Projektverantwortlicher • Verknüpfung • Compliance • Dokument z.B. Name des verantwort- • mit anderen • Patch Dokument lichen Mitarbeiters Maßnahmen • Klassifizierung • Protokollierung • individuelle Maßnahmen z.B. • Risikomanagement • Richtlinie • Arbeitsanweisung • Formular • Handbuch • Checkliste Für jede Sicht wird eine entsprechende Verknüpfung am Dokument erstellt. 23 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 24. QSEC-Suite Beispiel: Reporting Reifegrad IST- / SOLL Darstellung mit Maßnahmenauflistung Assetgruppenbewertung Mitgelieferte A5 Untersuchungsbereich: ITRZ + Recht Sicherheitspoli tik Reports A15 5 A6 10 Einhaltung Organisation 9 der … 4 der … A14 Business 3 A7 8 10 • Standardberichte Anzahl Assetgruppen • Management- Continuity Management 7 2 Management von Werten 6 1 IST 0 SOLL 5 berichte A13 A8 Management von… Personalsicher heit 4 3 6 • Arbeitsberichte 2 4 • SOA A12 A9 • Maßnahmen 1 Beschaffung, Physische Entwicklung … Sicherheit 0 A11 Zugangskontro A10 Betriebs- und Detaillierte Bewertung • Risiko Basisbewertung • Reifegrad lle Kommunikat… Erfasste Assetgruppen Assetgruppenstatus Risikostatus Gap-Analyse des Schutzzniveaus je Assetgruppe Untersuchungsbereich: ITRZ + Recht Untersuchungsbereich: ITRZ + Recht • Individuelle Berichte 4 nach Vorgabe 3,5 3 3 3 4 Schutzniveau 2,5 4 20% 2 2 2 20% 1,5 1 3 60% 1 0,5 0 SAP MM SAP HR SAP PP SAP WM Risikowert >= 7 SAP MM SAP HR SAP PP SAP WM Risikowert 5 - 7 Soll-Wert 4 4 3 3 Risikowert <=4 Ist-Wert 1 2 3 2 Assetgruppe 24 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 25. QSEC-Suite Technik Die QSEC-Suite ist eine webbasierte Anwendung: Client Webserver Datenbank Incident neu Compliance • Web-Browser • Microsoft • Microsoft Dokumente Reporting • SSL Windows Server SQL • Keine Installation 2003 - 2008 R2 Server 2008 / R2 Maßnahmen • Keine Wartung • Microsoft Risiko IIS • Schnittstellen zu • ASP.NET 4.0 anderen Systemen Programmierung mit Microsoft Visual Studio 2010 Aktuelle Version: 3.0 QSEC-Suite - der sichere, softwaregestützte Weg zum ganzheitlichen Information Security Management System (ISMS) nach ISO/IEC 2700x 25 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 26. QSEC - Versionsentwicklung 2008 - 2012 QSEC Leistungen QSEC 4.0 bis 5.0 QSEC 1.6.0 bis 3.0 Module: • Event- console Module: Normen: • Dashboard QSEC 1.0.0 bis 1.5.0 • Integration • strategisches • BS 25999 (BCM) • (Qualys/ISS/ Management von • SOX Checkpoint Module: Normen: etc.) Unternehmenszielen • Sonder- • BIA lösungen • SharePoint • Admin • ISO 27001 • CoBIT • QSEC- (Business Impact • Stammdaten • ISO 27002 • Fragenkatalog Online Analyse) • Compliance • ISO 27005 • Englische (SaaS) • BCM • Maßnahmen • ISO 9001 (QM) Sprachvariante • Security Incident • Risiko (IT) • ISO 14001 Management • Dokumenten (Umwelt) • Dokumentenportal • Reporting • ISO 20000 (ITIL) • Schnittstellen • (Reifegrad) • VDA PTS • Berechtigungskonzept • PCI / DSS nach Legal Entities 15.10.2008 31.12.2009 30.12.2011 31.12.2012 26 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 27. ISMS Einführung - Nutzen • Ernstgenommene ISMS Einführung erhöht die Unternehmenssicherheit signifikant und leistet einen wesentlichen Beitrag zum Risikomanagement im Unternehmen • Nachweis des Sicherheitsmanagements und dessen Überprüfung durch externe Auditoren zur Erfüllung von Kundenanforderungen • Erhaltung und Stärkung der eigenen Wettbewerbsfähigkeit • Möglichkeit der gezielten IT-Investition durch Kenntnis der geschäftskritischen Erfordernisse (IT-Risikomanagement) • Generierung angemessener Sicherheitsstandards und -lösungen im Rahmen der IT Strategie • Einsparungen durch Roll Out des praxiserprobten ISMS auf weitere Standorte bzw. bei Unternehmensexpansion - „ISMS aus der Box“ für neue Standorte • Konsolidierbare und vergleichbare Daten im Sicherheitsmanagement in Konzernstrukturen • Erfüllung von Anforderungen aus dem Datenschutzgesetz „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 28. Vorteile von und Anforderungen an eine Toolunterstützung • Integrierte zentrale Datenbank • Konzernstrukturen weltweit darstellbar • Vorgehen nach einheitlicher Methode in großen und komplexen Unternehmensstrukturen • je Norm / Gesetz komplett hinterlegter Content • vollintegriertes IT-Risikomanagement • Integration in die bestehende IT-Infrastruktur (AD, SAP, Asset System etc.) – keine Doppelerfassung von Daten • Zentrale Dokumentenverwaltung (oder Verlinkung mit DMS) • Historie aller relevanten Veränderungsdaten • Zuweisung expliziter Aufgaben an alle am Projekt beteiligten Verantwortlichen • automatische Wiedervorlage über Mailsystem • Erfassung und Kritikalitätsbewertung der Geschäftsprozesse je Untersuchungsbereich • Maßnahmenvorschläge 28 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 29. QSEC-Suite Vorteile im Ergebnis • hohe Transparenz über alle Aktivitäten und Status im Bereich des Compliance- und IT-Risikomanagements • permanente Information über und nachhalten von Veränderungen und Verbesserungen über den PDCA Kreislauf • daraus abgeleitet die Möglichkeit der Optimierung der IT-Investitionen auf die wesentlichen, geschäftskritischen Prozesse • Einsparung von ca. 30-50% der internen und externen Kosten einer ISMS-Einführung / Betrieb (bzw. Qualitäts-, Umweltmanagement etc.) sind möglich • Positive Auswirkungen auf das Image des Unternehmens bei Kunden, Lieferanten, Banken, Versicherungen und Investoren durch lückenlose Nachweisbarkeit aller durchgeführten Aktivitäten inkl. tagesaktuellem Status 29 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 30. Version 2.1 „Best in Class ist nie ein Zufall !“