IT Sicherheit

Alles hängt mit CMDB zusammen

• Incidents
• Problem Known Errors
• Changes
• Releases
• CI (Configuration)

Service ist messbar (z.B. geschlossene Tickets, Zeit für schließung usw)

Auf den einzelnen Vorfall hurunterbrechbar

Introduktion - Scope - Normative references - Terms and definitions - Context of the organisation - Leadership - Planning - Support - Operation - Performance evaluation - Improvement

• Formulierung von Anforderungen und Zielsetzungen zur Informationssicherheit
• Kosteneffizienten Management von SIcherheitsrisiken
• Sicherstellung der Konformität mit Gesetzen und Regulatorien
• Prozessrahmen für Implementierung + Management von Maßnahmen zur Sicherstellung von spezifischen Zielen zur Informationssicherheit
• Definition von neuen Informationssicherheits-Managementprozessen
• Identifikation + Definition von bestehenden Informationssicherheits-Managementprozessen
• Definition von Informationssicherheits-Managementtätigkeiten
• Gebrauch durch interne und externe Auditoren zur Feststellung des Umsezungsgrades von RIchtlinien und Standards

Vermögenswerte:

• Cash
• Equities
• Ficed Income
• Commodities
• Non Traditional
• Foreign Exchange

Aktiva:

• Anlagevermögen
  • Immaterielle Vermögensgegenstände
  • Sachanlagen
  • Finanzanlagen
• Umlaufvermögen
  • Vorräte
  • Forderungen
  • Wertpapiere
  • Kassenbestand, Bankguthaben
• Rechnungsabgrenzungsposten
• Aktiva latente Steuern
• Aktiver Unterschiedsbetrag aus der Vermögensverrechnung

Passiva:

• Eigenkapital
  • Gezeichnetes Kapital
  • Kapitalrücklage
  • Gewinnrücklage
  • Gewinnvortrag
  • Jahresüberschuss
• Rückstellungen
• Verbindlichkeiten
• Rechnungsgrenzungsposten
• Passive latente Steuern

• einheitliches Schema
• Einstufung von Informationen bezüglich Wert, gesetzlichen Anforderungen, Sensibilität, Kritikalität
• Schema im Unternehmen veröffentlicht (für alle Mitarbeiter)
• Für die Klassifikation ist Informationseigentümer verantwortlich

• muss nicht für das gesamte Unternehmen gelten
• Passende Definition des Scopes Herausforderung
• Festlegung des Anwendungsbereich durch IT-technische, geografische und physische Grenzen

ƒWelches (Teil-)Unternehmen oder welche Unternehmenseinheit soll vom
• ISMS abgedeckt werden?
• Was sind die (informationsverarbeitenden) Prozesse und die zugehörigen
Datenflüsse?
• Welche Anforderungen stellen Dritte an das Unternehmen (besonders
auch rechtlicher Natur)?
• Welche Dritte sind zu berücksichtigen (Kunden, Mitarbeiter, Lieferanten,
Aufsichtsbehörden, ...)?
• Welche (impliziten) Erwartungen stellen Dritte an das Unternehmen?

• Festlegung von Sicherheitszielen
• Verabschiedung einer Sicherheitsrichtlinie
• Integration des ISMS in die Prozesse des Unternehmens
• Bereitstellung angemessener Ressourcen
• kontinuierliche Verbesserung des ISMS

• keinerlei Anforderungen an Format/Speichermedium
• Ziemlich mächtige Richtlinie

• Scope des ISMS (4.3)
• Informationssicherheitspolitik (5.2.e)
• Methodik zur Beurteilung von Risiken (6.1.2)
• Statement of Applicability (6.1.3.d)
• Risikobehandlungsplan (6.1.3.e)
• Risikobehandlungsprozess (6.1.3)
• Sicherheitsziele (6.2)
• Nachweise zur Kompetenz (7.2.d)
• Nachweise über die korrekte Ausführung der Prozesse des ISMS (8.1)

Konkrete Inhalte der Richtlinie:

• Nennung der Sicherheitsziele oder einer Methodik, um diese festzulegen,
• die Selbstverpflichtung zur Umsetzung von Informationssicherheit und
• die Selbstverpflichtung zur kontinuierlichen Verbesserung.