Der Wert von Zertifizierungen
Veranstaltungsort
DB Systel GmbHJürgen-Ponto-Platz 1 (Silberturm) - im Auditorium auf der 31ten Etage
(5 Gehminuten vom Frankfurter Hauptbahnhof)
60329 Frankfurt am Main, Deutschland
Beschreibung
Jede Organisation hat und verarbeitet wichtige und wertvolle Informationen, die schützenswert sind. Neben gesetzlichen Verpflichtungen, sorgsam mit bestimmten Daten, wie personenbezogenen oder rechnungslegungsrelevanten Daten, umzugehen, besteht das Interesse, Unternehmensdaten und KnowHow gegen unerlaubten Zugriff, Manipulation oder Verlust zu schützen. Wie vorgegangen und welche Maßnahmen getroffen werden sollten, ist in Standards und best-practice Guidelines beschrieben. Einige davon sind ’zertifizierbar’. D.h. von einer unabhängigen Stelle wird überprüft, ob und wie die im Standard geforderten Kriterien erfüllt sind. Wer braucht einen solchen Nachweis? Wem nutzt ein Zertifikat und was muss man tun, um eines zu bekommen?
In der Veranstaltung werden Standards zur Informationssicherheit für Organisationen vorgestellt. In Praxisberichten wird über den Aufwand und den Nutzen von Zertifizierungen berichtet. Außerdem wird die Aussagekraft von Audits und von Zertifikaten zum Management von Informationssicherheit kritisch beleuchtet.
Die Teilnahme am Workshop ist kostenlos und ist auch für Nicht-Mitglieder offen.
Wir bitten allerdings bis spätestens zum 31. Mai 2013 um formlose Anmeldung der Teilnahme via Email mit Ihren Kontaktdaten an anmeldung(at)secmgt.de, damit die Raumplanung entsprechend vorgenommen werden kann. Vielen Dank!
Hinweis auf GI-Sonderkonditionen bei Anreise mit der Bahn
In Kooperation mit der Deutschen Bahn bietet die Gesellschaft für Informatik ab sofort unter dem Stichwort "GI" einen bundesweit einheitlichen Festpreis für die Anreise zu GI-Veranstaltungen. Dieses Angebot gilt übrigens für alle GI SECMGT-Besucher, d.h. auch für Nicht-GI-Mitglieder.
Details siehe separate Info-Seite der GI-Angebote.
Hinweis auf Continuing Professional Education (CPE)
Der Besuch der GI SECMGT-Workshops berechtigt zu CPE-Punkten.
Details siehe separate Info-Seite zum CPE-Programm.
Programm
10:15-10:30h | Claus Stark (Citigroup, Mitglied des Leitungsgremiums der Fachgruppe GI SECMGT): Begrüßung & Vorstellung der FG SECMGT |
10:30-11:20 | Prof. Dr. Alexander Roßnagel (Universität Kassel): Möglichkeiten und Grenzen von Datenschutz-Audits und Zertifizierungen Datenschutzaudit und Datenschutz-Zertifizierung sind neue marktorientierte Steuerungsinstrumente für einen verbesserten Datenschutz, auf die nicht verzichtet werden kann. Für Datenschutzbeauftragte kann das Datenschutzaudit hilfreich sein. Datenschutzaudit ist auf Datenschutzbeauftragte angewiesen. Der Vorschlag der Europäischen Kommission zur Regelung der Zertifizierung ist unterkomplex und enttäuschend. Die Chance, künftig geeignete Datenschutz-Konzepte zu finden und diese in spezifischen Regelungen zu konkretisieren, würden durch den Regelungsvorschlag der Europäischen Kommission erheblich verschlechtert. |
11:20-11:35h | Kommunikationspause, Zeit zum Wissensaustausch |
11:35-12:25h
| Ingrid Dubois (dubois it-consulting gmbh): Unser Alltag ist geprägt durch den Einsatz von unterschiedlichster Informations- und Kommunikationstechnik und wir vertrauen darauf, dass dies verlässlich funktioniert und sicher ist. Für jede Organisation ist wichtig, Störungen der Funktionsfähigkeit und Missbrauch der Systeme und Informationen zu verhindern. Standards bieten dazu eine Menge von erprobten Verfahren und Maßnahmen an. Zertifizierungen dienen als Nachweis der Umsetzung der in den Standards spezifizierten Anforderungen. Zu Beginn werden kurz Motivation für und Bedeutung von IT-/Informationssicherheit skizziert. Anschließend wird ein Überblick über Standards zu IT-/Informationssicherheit gegeben und über die zu erfüllenden Anforderungen gegeben. Abschließend werden der Ablauf von Audits und von Zertifizierungsverfahren vorgestellt. |
12:25-13:55h | Kommunikationspause, Zeit zum Wissensaustausch |
13:55-14:45h
| Dr. Oliver Weissmann (Editor der ISO/IEC 27002): 1999 wurde die BS 7799 Part two als Internationaler Standard 27002 übernommen. Bereits zu dieser Zeit war er als Code of Practice sehr weit verbreitet. Eine Forderung für die Akzeptanz als internationaler Standard war die sofortige Überarbeitung innerhalb der ISO. Das Ergebnis war die ISO/IEC 27002:2005 Norm, die jedoch noch viele Altlasten beibehielt, aber bereits deutlich an Struktur und Präzision gewonnen hatte. In diesem Jahr kam dann auch die ISO 27001 als Definition für ein Managementsystem hinzu. Auch sie unterschied sich erheblich von den bereits existierenden Managementsysteme Standards, was eine Integration in bestehende Managementsysteme komplizierter als nötig machte. So wurde 2008 eine neue Überarbeitung beider Standards beschlossen. Ziel für die ISO 27001 war die Angleichung an die bestehenden Managementsysteme. Die ISO 27002 hatte als Ziel, zum einen unabhängig von einem ISMS einen Code of Practice bereitzustellen und zudem moderner zu werden. Insgesamt wurden über 4000 technische Kommentare in den neuen Standard ISO/IEC 27002:2013 eingearbeitet. Beide Standards werden, wenn nicht noch ein "Defect" auftritt, Ende 2013 veröffentlicht und sind derzeit im Status DIS. Im Rahmen der Präsentation werden einige, ausgewählte Neuerungen dieser neuen Varianten, der wohl am weitesten verbreiteten Sicherheitsstandards, vorgestellt. |
14:45-15:00h | Kommunikationspause, Zeit zum Wissensaustausch |
15:00-15:50h
| Holger Heimann (it.sec GmbH & Co. KG): Zulieferer und Outsourcingpartner von Unternehmen sind in der unternehmerischen IT- Risikobetrachtung ebenso zu berücksichtigen, wie die Abläufe und Sachverhalte im eigenen Unternehmen – denn am Ende ist es i.d.R. egal, wo eine Kompromittierung von Informationen oder Prozessflüssen stattgefunden hat, bzw. gesetzliche Auflagen, wie z.B. diejenigen des Datenschutzes, gerissen wurden. Daher ist es wichtig, dass die Informationssicherheit bei Partnern auf definiertem Niveau etabliert ist. Diesen Nachweis versucht man zunehmend pauschal zu erbringen, indem sich die Zulieferer nach beispielsweise ISO/IEC 27001 ein funktionierendes Informationssicherheits-Managementsystem per international anerkanntem Zertifikat attestieren lassen. Wie viel Sicherheit gewährleistet aber ein solches Zertifikat am Ende des Tages? |
15:50-16:05h | Kommunikationspause, Zeit zum Wissensaustausch |
16:05- | Klaus Foitzick (activeMind Technologie und Management Beratung AG):
|
16:55h | Verabschiedung |