ISIS12 als Informationssicherheitsmanagementsystem
Ralf Wildvang
Wenn weniger manchmal mehr ist!
Kurze Vorstellung
...sind Wegweiser für Ihre Informationssicherheit,
geben Orientierung in komplexen Themen,
geben einen 360° Blickwinkel auf Ihre Prozesse,
navigieren Sie durch Normen und Standards.
14.09.2018 Ralf Wildvang 1
Agenda
� Anforderungen an Informationssicherheit
� Was ist ISIS12?
� ISIS12 und die DS-GVO
� Zertifizierung Ihres ISMS gemäß ISIS12
� Einführung von ISIS12
14.09.2018 Ralf Wildvang 2
Steigende Komplexität
der InformationstechnikGrad der
Vernetzung
Abhängigkeit
von der IT
Angriffe von
innen und außen
Vertragliche
Anforderungen
Kundenanforderungen
Servicequalität
Rechtliche
Vorgaben
Kosten
für IT
Anforderung an Informationssicherheit
Rechtliche Rahmenbedingungen
Umfangreiche Gesetze, Vorschriften, Regelungen und Verpflichtungen geben Rahmenbedingungen vor
� IT-Sicherheitsgesetz� BDSG sowie Landes-Datenschutzgesetze� Europäische Datenschutz Grundverordnung EU-DSGVO� Vertragliche Vorgaben durch Auftraggeber� Versicherungs-Policen� Branchenspezifische Vorgaben� …
Beispiel: Vertragliche Anforderungen
§ X
(1) Der Auftragnehmer verpflichtet sich ein ISMS zur Einhaltung der Vertraulichkeit, Integrität und Verfügbarkeit ...
(2) Der Auftragnehmer sichert zu risikoreduzierende Sicherheitsmaßnahmen im Unternehmen ...
(3) Bei Verstößen gegen (1) und (2) haftet der Auftragnehmer für ...
(4) Bei Nichteinhaltung kann seitens des Auftraggebers die vertragliche Grundlage entzogen werden, sofern ...
Zur Erfüllung vertraglicher Anforderungen braucht ein Unternehmen ein Datenschutz- und IT-Sicherheitskonzept!
Beispiel: Die DSGVO
Art. 32„... geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“
� Es drohen empfindliche BußgelderBußgeld von bis zu 2%/10 Mio. EUR bis 4%/20 Mio. EUR, bezogen auf den weltweit erzielten Jahresumsatz des Unternehmens, je nachdem welcher der Beträge höher ist. (Art. 83)
Seit Mai 2018 braucht jedes Unternehmen ein Datenschutz- und IT-Sicherheitskonzept!
Zwischenfazit
Technische / Organisatorische Maßnahmen stellen sich oft als große Herausforderung heraus!
14.09.2018 Ralf Wildvang 7
und Kommunen
Standards für Informationssicherheit
Was ist ISIS12 ?
� ISIS12 - Informations-Sicherheitsmanagement-System in 12 Schritten
� Verständlich beschriebener 12-stufiger Prozess, der den Einstieg in die Informationssicherheit (ISMS) erleichtert
� ISMS wird mit IT-Service Management verknüpft
� Entwickelt für KMU, Kommunen und NGO
� Spezifischer ISIS12-Maßnahmensatz wird vorgegeben
� 12-stufiger Prozess als Workflow abgebildet
� Herausgeber: Bayerischer IT-Sicherheitscluster e.V.
� Aktuelle Version: 1.9 (Januar 2018)
Initialisierungsphase Schritte 1-2
Aufbau- und Ablauforganisation
Schritte 3-5
Entwicklung und Umsetzung ISIS12
KonzeptSchritte 6-12
Informationssicherheit in 12 Schritten
Initialisierungsphase Schritte 1-2
Aufbau- und Ablauforganisation
Schritte 3-5
Entwicklung und Umsetzung ISIS12
KonzeptSchritte 6-12
Datenschutz trifft Informationssicherheit
DS-GVO DS-GVO DS-GVO DS-GVO
DS-GVO DS-GVO DS-GVO DS-GVO
DS-GVO DS-GVO
Architektur
Erweiterung
ISIS12 und die DSGVO
Schritt DS-GVO - Konformität § und Artikel
Schritt 1 Erweiterung der Sicherheitsleitlinie zur Datenschutzrichtlinie
-
Schritt 2 Datengeheimnis und Schulung Mitarbeiter DSAnpUG-EU: § 53
Schritt 3 Datenschutzbeauftragter DS-GVO: Art. 37, 38, 39 ... DSAnpUG-EU: §§ 5, 7, 38 ...
Schritt 4 Dokumentationspflicht DS-GVO: Art. 4, 5, 12, 13, 14, 15,
Schritt 5 Datenschutzprozesse DSAnpUG-EU: §§ 29, 34, 35 ...DS-GVO: Art. 15, 16, 17, 18, 19, 20, 21, 22, 33, 34 ...
Schritt 6 Verarbeitung personenbezogener Daten in Anwendungen
DS-GVO: Art. 6, 7, 8, 9, 24, 28, 30, 32, 35, 44 ...
Schritt 7 Sicherheit der Verarbeitung DS-GVO: Art. 32
Schritt 12 Zertifizierung DS-GVO: Art. 42
Unterstützung durch Software
Zertifizierung nach ISIS12
� Möglichkeit zur Zertifizierung durch die DQS GmbH
� Zertifikatsgültigkeit von 3 Jahren, inkl. 2 Überwachungsaudits
� Auditierung durch zertifizierte ISIS12-Auditoren
� Unterstützung durch ISIS12-Dienstleister möglich
Vorteile / Nutzen - Informationssicherheit mit ISIS12?
� IT-Sicherheitsgesetz (IT-SiG)
� Risk Management z.B. KontraG
� Datenschutz BDSG
� Haftungsfragen
� Regulierung / Corp. Governance
(z. B. SOX, Basel III)
� Compliance (regulatorische z.B. BNetzA)
� EU-Datenschutzgrundverordnung (EU-
DSGVO)
Rechtliche Vorgaben Eigeninteresse
� Schutz von Informationen und Wissen
� Schutz der Infrastrukturen
� Image in der Öffentlichkeit
� Cloud Thematik und Cloud-Lizenzmodelle
� Chancen und auch Herausforderungen der
Digitalisierung
� Attraktivität des Arbeitgebers
� Moderne Arbeitsplatzgestaltungen
� Gefährdungslage
� Haftungsfragen
� öffentliche Kunden
� Zuverlässige Serviceleistungen
� sichere Infrastrukturen
� E-Business
� Entwicklungspartnerschaft
� Know-how Schutz
� Cloud Thematik
� Open-Government
� Schutz der Kundendaten
Kundenanforderungen
Vorteile / Nutzen - Zusammenfassung
Vorteile
eines
ISMS mit
ISIS12
Einführung von ISIS12
� Unterstützung / Coaching durch zertifizierte Berater
� Hilfestellung – Hilfe zur Selbsthilfe durch vordefinierte Arbeitspakete
� Optimierter Zeitansatz des Projektes
� Optimierung von Projektkosten
� Strukturierte Vorgehensweise
� Vollständige Projektdokumentation
14.09.2018 Ralf Wildvang 17
Abschluss
Vielen Dank für die Aufmerksamkeit
14.09.2018 Ralf Wildvang 18
Kontaktinformationen
Ralf WildvangISO 27001 Security Officer (TÜV Süd)
ISO 27001 Auditor (ICO-Cert)
Lizensierter / zertifizierter ISIS12 – Berater (ICO-Cert)
Sempacon GmbH & Co. KG
Kerschensteinerweg 140723 Hilden
Telefon: +49 171 – 765 66 66Mail: [email protected]
14.09.2018 Ralf Wildvang 19