11.11.2011 - Outsourcing und Vendor Security

Ort und Zeit

am Freitag, 11. November 2011

von 10:15-17:00 Uhr

in Frankfurt-Niederrad bei DB Systel GmbH
60528 Frankfurt am Main, Hahnstr. 40
Tel.: +49 (0)69-265-50500 Fax: 069-265-20950
http://www.bahn.de
(5 Gehminuten vom Bahnhof Frankfurt Niederrad)
maps.google.com/maps

 Die Teilnahme am Workshop ist kostenlos und ist auch für Nicht-Mitglieder offen. 

Wir bitten allerdings um formlose Anmeldung der Teilnahme via Email mit Ihren Kontaktdaten an anmeldung(at)secmgt.de, damit die Raumplanung entsprechend vorgenommen werden kann. Vielen Dank!

Abstract

Der Workshop "Outsourcing und Vendor Security" beschäftigt sich mit der Rolle der Informationssicherheit beim Outsourcing von Geschäftsprozessen, und der Verpflichtung für Auftraggeber und Dienstleistungserbringer, dabei für eine angemessene Sicherheit zu sorgen.

In vielen Branchen (wie beispielsweise in der Finanzbranche) ist das Outsourcing von Geschäftsprozessen an der Tagesordnung. Der Auftraggeber ist dabei verpflichtet, dem Dienstleistungserbringer angemessene Sicherheitsvorgaben für die Verarbeitung und Speicherung von sensitiven Informationen zu machen, und sich regelmäßig von deren angemessenen Umsetzung und Einhaltung zu überzeugen.

Der Aufwand von Kundenaudits kann dabei sowohl für den Auftraggeber als auch für den Dienstleistungserbringer immens sein. Dieser Druck wird aufgrund erhöhter Sensibilität für Datenschutz und Datensicherheit in der Gesellschaft und den Behörden nicht abnehmen.

Es stellen sich grundsätzliche Fragen:

- Wie erfolgen Kundenaudits in der Praxis?
- Mit welchen Problemen sehen sich die Parteien dabei konfrontiert?
- Wie intensiv muss die Überprüfung von Dienstleistungserbringern erfolgen, um effektiv zu sein?
- Welche Rolle spielen Zertifizierungen wie ISO/IEC 27001, SAS70 (Statement on Auditing Standards No. 70, Service Organizations) und IT-Grundschutz, und können sie helfen, den Aufwand zu reduzieren?
- Wie sähe ein ideales Umfeld für Auftraggeber und Dienstleistungserbringer aus, das ein angemessenes Schutzniveau der ausgelagerten Prozesse bei minimalen Prüfaufwand gewährleistet?

Die Sichtweisen von Auftraggeber, Dienstleistungserbringer und Behörden sollen auf dem Workshop explizit zu Wort kommen. Spezielle Ansätze wie BITS Shared Assessments (im amerikanischen Finanzwesen verankert) oder ISO/IEC 27036 Guideline for security for supplier relationships sollen thematisiert werden.

Der Workshop wird moderiert von Claus Stark, Citigroup AG.

Programm 
 

10:15-10:30

Begrüßung & Vorstellung der FG SECMGT

10:30-11:00

Adrian Davis, Information Security Forum (ISF), London, UK
Securing external suppliers and supply chains: the ISF approach

11:15-11:30

KAFFEEPAUSE

11:30-12:00


12:15-
12:45

Kurt Küpper, Citigroup AG, Frankfurt
Der Third Party Information Security Assessment Prozess bei der Citigroup

Klaus Martens, Itella Information GmbH, Düsseldorf
Auditprozess beim Auftragsdatenverarbeiter: Darf’s ein bißchen mehr sein?

13:00-14:30

MITTAGSPAUSE

14:30-15:00

Ulrich Kunitz, Deutsche Bank, Frankfurt
Shared Assessments - Ein unternehmensübergreifender Ansatz zur Risikobewertung

15:15-15:30

KAFFEEPAUSE

15:30-16:00

16:15-
16:45

Dr. Frank Kedziur, British Telekom, Eschborn
Vendor Security aus Sicht der BT Germany

Bernhard C. Witt, it.sec, DIN, Ulm
Der neue Standard ISO/IEC 27036 - Information security for supplier relationships 

17:00

Verabschiedung

 

Details zu den Beiträgen

Moderation:

Der Workshop wird moderiert von Claus Stark, Citigroup AG. 

Begrüßung & Vorstellung der FG SECMGT, Einführung in den Workshop 

[SECMGT Workshop Einführung] 

Dr. Adrian Davis (ISF - Information Security Forum, London, UK): Securing external suppliers and supply chains: the ISF approach

Adrian Davis of the ISF (Information Security Forum, UK, https://www.securityforum.org/) outlines the key challenges faced by organisations in their supply chains from a business and information security perspective. Using data from the ISF's 300 corporate Members, Adrian highlights the ISF approach to managing external suppliers and the ISF baseline for external supplier security. The presentation concludes with a high-level overview of the liaison work with ISO on this topic and the next steps the ISF is looking to undertake in this field.

[Präsentation Dr. Adrian Davis] 

[ISF Executive Overview - Information security for external suppliers: A common baseline] 

Kurt Küpper, (Citigroup AG, Frankfurt): Der Third Party Information Security Assessment Prozess bei der Citigroup

Citi makes use of Third Party providers for many services.  Some of these services require that Citi give Third Parties access to information classified by the Information Security Standards as Confidential or higher.  This information may be stored, processed, managed, or accessed by the Third Party to meet the business needs of Citi and its clients. When access to this information is given to Third Parties outside of Citi facilities and management oversight, the responsible Business Unit must ensure that the Third Party Information Security Assessment (TPISA) process is followed.  This includes an Annual Due Diligence of the relationship and periodic Controls Assessments of the Third Party.  This will help ensure information confidentiality, integrity and availability, as well as allow Citi to meet its regulatory and policy requirements.

Klaus Martens (Itella Information GmbH, Düsseldorf): Auditprozess beim Auftragsdatenverarbeiter: Darf’s ein bißchen mehr sein?

Itella Information (www.itella.de) ist ein führender Anbieter für Dokumenten- und Informationslogistik in Europa, insbesondere im Bereich der Optimierung von Rechnungsprozessen. Das Unternehmen bietet eine Kombination aus 40 Jahren Erfahrung im klassischen Archiv- und Print-Outsourcing und moderner Technologie für den elektronischen Dokumenten- und Datenaustausch sowie das e-Invoicing. Ein Teil des Produktportfolios ist das Drucken und Versenden von Gehaltsabrechnungen und Kontoauszügen für viele namhafte Unternehmen. Da i.d.R. vertrauliche, personenbezogene Daten verarbeitet werden, sind viele Kunden auf Grund ihrer internen Richtlinien oder gesetzlicher Anforderungen verpflichtet, Audits bei Itella durchzuführen. Herr Martens, Datenschutzbeauftragter bei Itella, gibt in seiner Präsentation einen Überblick über diese Kundenaudits, die sehr unterschiedlich ausfallen können und zeigt Verbesserungspotiale im generellen Vendor Management Prozess auf.

 [Präsentation Klaus Martens] 

Ulrich Kunitz (Deutsche Bank, Frankfurt):Shared Assessments - Ein unternehmensübergreifender Ansatz zur Risikobewertung von Vendoren

In der Präsentation wurde auf die Herausforderungen bei Informationssicherheit-Prüfungen von IT-Dienstleistern eingegangen. Klassische Vorgehensweisen sind mit hohen Aufwänden für Kundenunternehmen und Dienstleister verbunden.

Das Shared Assessments Programm hat Werkzeuge entwickelt, die die Prüfungen effizienter und effektiver gestalten. Diese Werkzeuge sind:
-        Standard Information Gathering (SIG), ein Fragenkatalog der alle Bereiche der Vendor-Risiko-Prüfung abdeckt
-        AUP (Agreed Upon Procedures), ein Dokument, dass das Prüfungsverfahren für die im SIG definierten Kontrollen beschreibt

Kundenunternehmen können durch Automatisierung Ihre Prüfungen mit GRC-Softwarelösungen minimieren. Dienstleister sind in der Lage die Antworten für den Fragenkatalog einmal zu erfassen und sparen Aufwände wenn mehrere Unternehmen Ihre Prüfungen nach dem SIG vornehmen. Die Shared Assessments Werkzeuge werden von Unternehmen aus verschiedenen Branchen in den USA eingesetzt und sind damit in der Praxis erprobt.

 [Präsentation Ulrich Kunitz] 

 [Shared Assessment Homepage]

Dr. Frank Kedziur (British Telekom, Eschborn): Vendor Security aus Sicht der BT Germany

Im Beitrag "Vendor Security" stellt Hr. Kedziur von der BT (Germany) dar, welche Assets es bei der BT im Zusammenhang mit Kunden-Netzwerken und -IT zu schützen gilt. Ein Überblick zur entsprechenden Security-Organisation der BT sowie zu deren -Maßnahmen, -Prozessen und -Zertifikaten wird gegeben. Der Hauptteil fokussiert sich auf die Beschreibung drei grundsätzlicher Ansätze, die BT's Kunden bezüglich Vendor Security typisch nutzen:
- die Nutzung der in der Einleitung beschriebenen Security der Standard-Plattform
- die Nutzung eines durch ein geführtes Ausschreibungsverfahren spezifizierten Sicherheitsniveaus
- Die Nutzung eines gemeinsamen, nach einer Risikoanalyse erstellten Information Security Management Systems (ISMS) nach ISO27001 Abschließend werden FAQs beantwortet.

Weitere Details sind zu finden unter http://www.bt.com/security          

 [Präsentation Dr. Frank Kedziur] 
 

Bernhard C. Witt (it.sec, DIN, Ulm): Der neue Standard ISO/IEC 27036 - Information security for supplier relationships

Vorgestellt wird der aktuelle Zwischenstand zum neuen, mehrteiligen International Standard ISO/IEC 27036 über "Information security for supplier relationships", der die im Zusammenhang mit Outsourcing zu beachtenden Controls aus der ISO/IEC 27002 ergänzt. Dieser Standard liefert auf der Basis eines risikobasierten Ansatzes ein Vorgehensmodell, das für beide Sichtweisen (also sowohl des Acquirers, also des Beziehers von Outsourcing, als auch des Suppliers, also des Anbieters entsprechender Produkte oder Services im Kontext von Outsourcing) die relevanten Aspekte zur Informationssicherheit detailliert benennt. Im Vortrag wird der zugrunde liegende Ansatz sowie Geltungsbereich und Struktur der derzeit in Bearbeitung befindlichen Teile näher beschrieben.

 [Präsentation Bernhard C. Witt]