Multiscope ISMSISO 27001 für Konzerne
Thomas Grote, 19.06.2018, Köln
Wir sind die xiv-consult GmbH
• Wir sind spezialisiert auf den Schutz von Informationswerteninnerhalb von Unternehmen und Unternehmensgruppen.• Dabei wird die gesamte Kette, von der strategischen Planung, über
das Risikomanagement und die Bemessung von Informationssicherheit bis hin zur Auswahl geeigneter Schutzmaßnahmen betrachtet. • Einen besonderen Fokus legen wir auf die Orientierung an
international akzeptierten Standards und Methoden und folgen so den Best-Practice-Ansätzen.
19.06.18 Einführung in Notfallmanagement 2
Unser Portfolio
19.06.18 Einführung in Notfallmanagement 3
Consulting
Externes
Fachpersonal
Cyber Security
Information Security &
Data Privacy
Cloud Security
Strategy, Governance,
Risk & Compliance
Business Continuity
Management
Mitwirkung in der Standardisierung
Seit über 15 Jahren wirken wir aktiv als ISO-Editoren an der Gestaltung folgender internationaler Standards für Informationssicherheit (ISO-Normen) mit:
ISO/IEC 15946–1:1999 Information Technology – Security Techniques –Cryptographic Techniques Based on Elliptic Curves – Part 1: General
ISO/IEC 27002:2005 Information Technology – Security Techniques –Code of Practice for Information Security Management
ISO/IEC 27000:2009 Information Technology – Security Techniques –Information Security Management Systems – Overview and Vocabulary
ISO/IEC 27003:2010 Information Technology – Security Techniques –Information Security Management System Implementation Guidance
ISO/IEC 27002:2013 Information Technology – Security Techniques –Code of Practice for Information Security Controls
ISO/IEC 27021 Information Technology – Security Techniques –Information Security Professionals
19.06.18 Einführung in Notfallmanagement 4
Tätigkeiten als Lehrkräfte & Gutachter
19.06.18 Einführung in Notfallmanagement 5
Agenda
1. ISO 27001 – eine kurze Auffrischung
2. Klassische ISMS Ansätze3. Multiscope ISMS Ansatz
19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 6
ISO 27001 – eine kurze Auffrischung
• Schutz der Unternehmensinformationen• Informations Sicherheits Management System (ISMS)• Etablierter kontinuierlicher Prozess• Klar definierter Satz von Regeln und Rollen
• Risikobasierter Ansatz• Klar definierter Scope
19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 7
1. klassischer Ansatz
• Ein Unternehmen / Konzern
• Ein ISMS
• Ein Scope
19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 8
Globaler Scope
1. klassischer Ansatz
Cologne Energy
Cologne Power
Cologne Gas
Cologne Water
19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 9
1. klassischer Ansatz
• Vorteile
• homogenes ISMS
• gute Einfluss- und Einblickmöglichkeitenfür „globales Management“
• Ein Zertifikat
• Nachteile
• Hoher Aufwand für das ISMS
• Akzeptanz schwer zu schaffen
• Die Regeln gelten, egal ob passend oder nicht
19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 10
2. Klassischer Ansatz
• Mehrere Unternehmen
• Mehrere ISMS
• Mehrere Scopes
19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 11
Scope 3Scope 2Scope 1
2. klassischer Ansatz
Cologne Energy
Cologne Power
Cologne Gas
Cologne Water
19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 12
2. klassischer Ansatz
• Vorteile
• Auf Bedürfnisse zugeschnitten
• Nachteile
• Mehrere Sätze von Regeln
• Holding hat nur bedingt Einfluss- bzw. Einblickmöglichkeiten (heterogenes ISMS)
• Mehrere einzelne Zertifikate
19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 13
Jeder macht was er will!
Multiscope Ansatz
• Ein Konzern
• Ein globaler Scope mit Subscopes
• Ein ISMS
19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 14
Globaler Scope
Multiscope Ansatz
19.06.18
Subscope 1
Multiscope ISMS - ISO 27001 für Konzerne 15
Subscope 2 Subscope 3
Cologne Energy
Cologne Power
Cologne Gas
Cologne Water
Multiscope Ansatz
• Vorteile
• Homogenes ISMS
• ISMS auf Bedürfnisse zugeschnitten
• Ein Zertifikat
• Nachteile
• Geringfügig erweiterte bzw. ergänzende Prozesse notwendig (zB. Reporting, Kooperation, Scope-Management)
19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 16
Resümee
Multiscope ISMS vereint die Vorteile der klassischen Ansätze und minimiert die Nachteile.
19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 17
Thomas Grote
xiv-consult GmbHWintermühlenhof 653639 Königswinter
E-Mail: [email protected]: +49 2223 907 66 40Mobil: +49 175 9692060
Senior Security Consultant
Kontakt
19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 18
Haben wir Ihr Interesse geweckt?
Kontaktieren Sie uns:xiv-consult GmbHWintermühlenhof 653639 Königswinter
Web: www.xiv-consult.deE-Mail: [email protected]: +49 2223 9076640Telefax: +49 2223 9076642
19.06.18 Einführung in Notfallmanagement 19