ISIS12 als Informationssicherheitsmanagementsystem

Ralf Wildvang

Wenn weniger manchmal mehr ist!

Kurze Vorstellung

...sind Wegweiser für Ihre Informationssicherheit,

geben Orientierung in komplexen Themen,

geben einen 360° Blickwinkel auf Ihre Prozesse,

navigieren Sie durch Normen und Standards.

14.09.2018 Ralf Wildvang 1

Agenda

� Anforderungen an Informationssicherheit

� Was ist ISIS12?

� ISIS12 und die DS-GVO

� Zertifizierung Ihres ISMS gemäß ISIS12

� Einführung von ISIS12

14.09.2018 Ralf Wildvang 2

Steigende Komplexität

der InformationstechnikGrad der

Vernetzung

Abhängigkeit

von der IT

Angriffe von

innen und außen

Vertragliche

Anforderungen

Kundenanforderungen

Servicequalität

Rechtliche

Vorgaben

Kosten

für IT

Anforderung an Informationssicherheit

Rechtliche Rahmenbedingungen

Umfangreiche Gesetze, Vorschriften, Regelungen und Verpflichtungen geben Rahmenbedingungen vor

� IT-Sicherheitsgesetz� BDSG sowie Landes-Datenschutzgesetze� Europäische Datenschutz Grundverordnung EU-DSGVO� Vertragliche Vorgaben durch Auftraggeber� Versicherungs-Policen� Branchenspezifische Vorgaben� …

Beispiel: Vertragliche Anforderungen

§ X

(1) Der Auftragnehmer verpflichtet sich ein ISMS zur Einhaltung der Vertraulichkeit, Integrität und Verfügbarkeit ...

(2) Der Auftragnehmer sichert zu risikoreduzierende Sicherheitsmaßnahmen im Unternehmen ...

(3) Bei Verstößen gegen (1) und (2) haftet der Auftragnehmer für ...

(4) Bei Nichteinhaltung kann seitens des Auftraggebers die vertragliche Grundlage entzogen werden, sofern ...

Zur Erfüllung vertraglicher Anforderungen braucht ein Unternehmen ein Datenschutz- und IT-Sicherheitskonzept!

Beispiel: Die DSGVO

Art. 32„... geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“

� Es drohen empfindliche BußgelderBußgeld von bis zu 2%/10 Mio. EUR bis 4%/20 Mio. EUR, bezogen auf den weltweit erzielten Jahresumsatz des Unternehmens, je nachdem welcher der Beträge höher ist. (Art. 83)

Seit Mai 2018 braucht jedes Unternehmen ein Datenschutz- und IT-Sicherheitskonzept!

Zwischenfazit

Technische / Organisatorische Maßnahmen stellen sich oft als große Herausforderung heraus!

14.09.2018 Ralf Wildvang 7

und Kommunen

Standards für Informationssicherheit

Was ist ISIS12 ?

� ISIS12 - Informations-Sicherheitsmanagement-System in 12 Schritten

� Verständlich beschriebener 12-stufiger Prozess, der den Einstieg in die Informationssicherheit (ISMS) erleichtert

� ISMS wird mit IT-Service Management verknüpft

� Entwickelt für KMU, Kommunen und NGO

� Spezifischer ISIS12-Maßnahmensatz wird vorgegeben

� 12-stufiger Prozess als Workflow abgebildet

� Herausgeber: Bayerischer IT-Sicherheitscluster e.V.

� Aktuelle Version: 1.9 (Januar 2018)

Initialisierungsphase Schritte 1-2

Aufbau- und Ablauforganisation

Schritte 3-5

Entwicklung und Umsetzung ISIS12

KonzeptSchritte 6-12

Informationssicherheit in 12 Schritten

Initialisierungsphase Schritte 1-2

Aufbau- und Ablauforganisation

Schritte 3-5

Entwicklung und Umsetzung ISIS12

KonzeptSchritte 6-12

Datenschutz trifft Informationssicherheit

DS-GVO DS-GVO DS-GVO DS-GVO

DS-GVO DS-GVO DS-GVO DS-GVO

DS-GVO DS-GVO

Architektur

Erweiterung

ISIS12 und die DSGVO

Schritt DS-GVO - Konformität § und Artikel

Schritt 1 Erweiterung der Sicherheitsleitlinie zur Datenschutzrichtlinie

-

Schritt 2 Datengeheimnis und Schulung Mitarbeiter DSAnpUG-EU: § 53

Schritt 3 Datenschutzbeauftragter DS-GVO: Art. 37, 38, 39 ... DSAnpUG-EU: §§ 5, 7, 38 ...

Schritt 4 Dokumentationspflicht DS-GVO: Art. 4, 5, 12, 13, 14, 15,

Schritt 5 Datenschutzprozesse DSAnpUG-EU: §§ 29, 34, 35 ...DS-GVO: Art. 15, 16, 17, 18, 19, 20, 21, 22, 33, 34 ...

Schritt 6 Verarbeitung personenbezogener Daten in Anwendungen

DS-GVO: Art. 6, 7, 8, 9, 24, 28, 30, 32, 35, 44 ...

Schritt 7 Sicherheit der Verarbeitung DS-GVO: Art. 32

Schritt 12 Zertifizierung DS-GVO: Art. 42

Unterstützung durch Software

Zertifizierung nach ISIS12

� Möglichkeit zur Zertifizierung durch die DQS GmbH

� Zertifikatsgültigkeit von 3 Jahren, inkl. 2 Überwachungsaudits

� Auditierung durch zertifizierte ISIS12-Auditoren

� Unterstützung durch ISIS12-Dienstleister möglich

Vorteile / Nutzen - Informationssicherheit mit ISIS12?

� IT-Sicherheitsgesetz (IT-SiG)

� Risk Management z.B. KontraG

� Datenschutz BDSG

� Haftungsfragen

� Regulierung / Corp. Governance

(z. B. SOX, Basel III)

� Compliance (regulatorische z.B. BNetzA)

� EU-Datenschutzgrundverordnung (EU-

DSGVO)

Rechtliche Vorgaben Eigeninteresse

� Schutz von Informationen und Wissen

� Schutz der Infrastrukturen

� Image in der Öffentlichkeit

� Cloud Thematik und Cloud-Lizenzmodelle

� Chancen und auch Herausforderungen der

Digitalisierung

� Attraktivität des Arbeitgebers

� Moderne Arbeitsplatzgestaltungen

� Gefährdungslage

� Haftungsfragen

� öffentliche Kunden

� Zuverlässige Serviceleistungen

� sichere Infrastrukturen

� E-Business

� Entwicklungspartnerschaft

� Know-how Schutz

� Cloud Thematik

� Open-Government

� Schutz der Kundendaten

Kundenanforderungen

Vorteile / Nutzen - Zusammenfassung

Vorteile

eines

ISMS mit

ISIS12

Einführung von ISIS12

� Unterstützung / Coaching durch zertifizierte Berater

� Hilfestellung – Hilfe zur Selbsthilfe durch vordefinierte Arbeitspakete

� Optimierter Zeitansatz des Projektes

� Optimierung von Projektkosten

� Strukturierte Vorgehensweise

� Vollständige Projektdokumentation

14.09.2018 Ralf Wildvang 17

Abschluss

Vielen Dank für die Aufmerksamkeit

14.09.2018 Ralf Wildvang 18

Kontaktinformationen

Ralf WildvangISO 27001 Security Officer (TÜV Süd)

ISO 27001 Auditor (ICO-Cert)

Lizensierter / zertifizierter ISIS12 – Berater (ICO-Cert)

Sempacon GmbH & Co. KG

Kerschensteinerweg 140723 Hilden

Telefon: +49 171 – 765 66 66Mail: r.wildvang@sempacon.de

14.09.2018 Ralf Wildvang 19