07. Juni 2013 - Der Wert von Zertifizierungen

Jede Organisation hat und verarbeitet wichtige und wertvolle Informationen, die schützenswert sind. Neben ge­setz­li­chen Verpflichtungen, sorgsam mit bestimmten Daten, wie personenbezogenen oder rechnungslegungsrelevanten Da­ten, umzugehen, besteht das Interesse, Unternehmensdaten und KnowHow gegen unerlaubten Zugriff, Ma­ni­pu­la­tion oder Verlust zu schützen. Wie vorgegangen und welche Maßnahmen getroffen werden sollten, ist in Standards und best-practice Guidelines beschrieben. Einige davon sind ’zertifizierbar’. D.h. von einer unabhängigen Stelle wird über­prüft, ob und wie die im Standard geforderten Kriterien erfüllt sind. Wer braucht einen solchen Nachweis? Wem nutzt ein Zertifikat und was muss man tun, um eines zu bekommen?

In der Veranstaltung werden Standards zur Informationssicherheit für Organisationen vorgestellt. In Praxisberichten wird über den Aufwand und den Nutzen von Zertifizierungen berichtet. Außerdem wird die Aussagekraft von Audits und von Zertifikaten zum Management von Informationssicherheit kritisch beleuchtet.<//span>

 

Ort und Zeit

am Freitag, 07. Juni 2013

von 10:15-17:00 Uhr

in Frankfurt bei DB Systel GmbH
60329 Frankfurt am Main, Jürgen-Ponto-Platz 1

http://www.bahn.de
(5 Gehminuten vom Hauptbahnhof Frankfurt am Main)

Die Teilnahme am Workshop ist kostenlos und ist auch für Nicht-Mitglieder offen. 

Wir bitten allerdings bis spätestens zum 31. Mai 2013 um formlose Anmeldung der Teilnahme via Email mit Ihren Kontaktdaten an anmeldung(at)secmgt.de, damit die Raumplanung entsprechend vorgenommen werden kann. Vielen Dank!

Hinweis auf GI-Sonderkonditionen bei Anreise mit der Bahn

In Kooperation mit der Deutschen Bahn bietet die Gesellschaft für Informatik ab sofort unter dem Stichwort "GI" einen bundesweit einheitlichen Festpreis für die Anreise zu GI-Veranstaltungen. Dieses Angebot gilt übrigens für alle GI SECMGT-Besucher, d.h. auch für Nicht-GI-Mitglieder.
Details siehe separate Info-Seite der GI-Angebote

Hinweis auf Continuing Professional Education (CPE)

Der Besuch der GI SECMGT-Workshops berechtigt zu CPE-Punkten.
Details siehe separate Info-Seite zum CPE-Programm.

 

Programm

10:15-10:30h

Claus Stark (Citigroup, Mitglied des Leitungsgremiums der Fachgruppe GI SECMGT): Begrüßung & Vorstellung der FG SECMGT

Begrüßung durch GI-SECMGT

Begrüßung durch den Gastgeber DB-Systel

10:30-11:20

Prof. Dr. Alexander Roßnagel (Universität Kassel): Möglichkeiten und Grenzen von Datenschutz-Audits und Zertifizierungen

Datenschutzaudit und Datenschutz-Zertifizierung sind neue marktorientierte Steuerungsinstrumente für einen verbesserten Datenschutz, auf die nicht verzichtet werden kann. Für Datenschutzbeauftragte kann das Datenschutzaudit hilfreich sein. Datenschutzaudit ist auf Datenschutzbeauftragte angewiesen. Der Vor­schlag der Europäischen Kommission zur Regelung der Zertifizierung ist unterkomplex und ent­täu­schend. Die Chance, künftig geeignete Datenschutz-Konzepte zu finden und diese in spezifischen Re­ge­lun­gen zu konkretisieren, würden durch den Regelungsvorschlag der Europäischen Kommission erheblich ver­schlechtert.

11:20-11:35h

Kommunikationspause, Zeit zum Wissensaustausch

11:35-12:25h

 

 

 

 

 

 

Ingrid Dubois (dubois it-consulting gmbh): 
Informationssicherheit - Überblick über Standards und Zertifizierung

Unser Alltag ist geprägt durch den Einsatz von unterschiedlichster Informations- und Kom­mu­ni­ka­tions­tech­nik und wir vertrauen darauf, dass dies verlässlich funktioniert und sicher ist. Für jede Organisation ist wich­tig, Störungen der Funktionsfähigkeit und Missbrauch der Systeme und Informationen zu verhindern. Stan­dards bieten dazu eine Menge von erprobten Verfahren und Maßnahmen an. Zertifizierungen dienen als Nachweis der Umsetzung der in den Standards spezifizierten Anforderungen. Zu Beginn werden kurz Mo­ti­vation für und Bedeutung von IT-/Informationssicherheit skizziert. Anschließend wird ein Überblick über Standards zu IT-/Informationssicherheit gegeben und über die zu erfüllenden Anforderungen ge­ge­ben. Abschließend werden der Ablauf von Audits und von Zertifizierungsverfahren vorgestellt.

12:25-13:55h

Kommunikationspause, Zeit zum Wissensaustausch

13:55-14:45h

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Dr. Oliver Weissmann (Editor der ISO/IEC 27002):
2700x von 1999 bis heute

1999 wurde die BS 7799 Part two als Internationaler Standard 27002 übernommen. Bereits zu die­ser Zeit war er als Code of Practice sehr weit verbreitet. Eine Forderung für die Akzeptanz als in­ternationaler Standard war die sofortige Überarbeitung innerhalb der ISO. Das Ergebnis war die ISO/IEC 27002:2005 Norm, die jedoch noch viele Altlasten beibehielt, aber bereits deutlich an Struktur und Präzision gewonnen hatte. In diesem Jahr kam dann auch die ISO 27001 als De­fi­nition für ein Managementsystem hinzu. Auch sie unterschied sich erheblich von den bereits exi­stierenden Managementsysteme Standards, was eine Integration in bestehende Ma­na­ge­ment­systeme komplizierter als nötig machte. So wurde 2008 eine neue Überarbeitung beider Stan­dards beschlossen. Ziel für die ISO 27001 war die Angleichung an die bestehenden Ma­na­ge­mentsysteme. Die ISO 27002 hatte als Ziel, zum einen unabhängig von einem ISMS einen Code of Practice bereitzustellen und zudem moderner zu werden. Insgesamt wurden über 4000 tech­nische Kommentare in den neuen Standard ISO/IEC 27002:2013 eingearbeitet. Beide Stan­dards werden, wenn nicht noch ein "Defect" auftritt, Ende 2013 veröffentlicht und sind derzeit im Sta­tus DIS. Im Rahmen der Präsentation werden einige, ausgewählte Neuerungen dieser neuen Va­rianten, der wohl am weitesten verbreiteten Sicherheitsstandards, vorgestellt.

14:45-15:00h

Kommunikationspause, Zeit zum Wissensaustausch

15:00-15:50h

Holger Heimann (it.sec GmbH & Co. KG):
Praxiserfahrungen über die Aussagekraft von 27001-Zertifikaten

Zulieferer und Outsourcingpartner von Unternehmen sind in der unternehmerischen IT- Risikobetrachtung ebenso zu berücksichtigen, wie die Abläufe und Sachverhalte im eigenen Unternehmen – denn am Ende ist es i.d.R. egal, wo eine Kompromittierung von Informationen oder Prozessflüssen stattgefunden hat, bzw. gesetzliche Auflagen, wie z.B. diejenigen des Datenschutzes, gerissen wurden.

Daher ist es wichtig, dass die Informationssicherheit bei Partnern auf definiertem Niveau etabliert ist. Diesen  Nachweis versucht man zunehmend pauschal zu erbringen, indem sich die Zulieferer nach beispielsweise ISO/IEC 27001 ein funktionierendes Informationssicherheits-Managementsystem per international anerkanntem Zertifikat attestieren lassen. Wie viel Sicherheit gewährleistet aber ein solches Zertifikat am Ende des Tages?

15:50-16:05h

Kommunikationspause, Zeit zum Wissensaustausch

16:05-
16:55h

Klaus Foitzick (activeMind Technologie und Management Beratung AG):
Aufwand du Nutzen der BSI-Zertifizierung aus Sicht eines zertifizierten Unternehmens

  • Vorstellung Global Access Internet Services GmbH
  • Bestehende Grundlagen im Unternehmen
  • Gründe für den Zertifizierungswunsch
  • Planung und Umsetzungsschritte
  • Herausforderungen bei der Umsetzung
  • Zertifizierungsaudit
  • Reaktion der Kunden und Interessenten
  • Resümee

­

16:55h

Verabschiedung