IT-Revision als Chance für das IT- Management

Größe: px

Ab Seite anzeigen:

Download "IT-Revision als Chance für das IT- Management"

Friedrich Geisler
vor 8 Jahren
Abrufe

1 IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum /5. November 2008 Referat Stand 2.07

3 Die Frage lautet Wenn die IT revidier- respektive auditierbar sein muss, dann warum nicht aus der Not eine Tugend machen? Die folgenden Ausführungen illustrieren den Zusammenhang zwischen den Aufgaben in den Bereichen Informationssicherheit IT-Revisionsvorbereitung IT-Management und zeigen, wie mit einem adäquaten Vorgehen und minimalem Aufwand allen Bereichen Rechnung getragen werden kann.

Die folgenden Ausführungen illustrieren den Zusammenhang zwischen den Aufgaben in den Bereichen

4 Ist Ihre Informationssicherheit gewährleistet? Ziele des Informationssicherheitsmanagement: Ordnungsmässigkeit und Rechtsverbindlichkeit Vertraulichkeit Integrität Verfügbarkeit Vermeiden von: Haftung durch Manager und Aufsichtsratsmitgliedern Unternehmensverluste / Insolvenz durch Ausfall der Systeme bei sehr hohen Schäden Ggf. Verlust von Versicherungsschutz des Unternehmens Verteuerung der Unternehmenskredite (Basel II) Imageschäden nach Verlust von personenbezogenen Daten auf Grund von Sicherheitslücken

Verfügbarkeit Vermeiden von: Haftung durch Manager und Aufsichtsratsmitgliedern Unternehmensverluste / Insolvenz durch Ausfall

5 Vorgehen zum Basis-Sicherheitscheck nach BSI IT-Grundschutz 100 Das IT-Grundschutzvorgehen schlägt einen kontinuierlichen Verbesserungsprozess vor Das Resultat ist das Sicherheitskonzept

6 Das Sicherheitskonzept nach BSI IT-Grundschutz 100

7 Sind Sie auf die IT-Revision vorbereitet? Die IT-Revision benötigt Informationen über organisatorische und technische Infrastruktur des zu prüfenden Gebietes interne und externe Anforderungen und deren Bedeutung für die unternehmerischen Ziele Risiken und mögliche Schäden (Konsequenzen), Bewertung Wesentlichkeit Kontrollziele und Massnahmenauswahl Soll-Ist-Vergleich und Kontrollen Überwachung der Massnahmen und Kontrollen

Gebietes interne und externe Anforderungen und deren Bedeutung für die unternehmerischen Ziele Risiken und

8 Das Sicherheitskonzept für die IT-Revision IT-Strukturanalyse liefert organisatorische und technische Infrastruktur des zu prüfenden Gebietes interne und externe Anforderungen und deren Bedeutung für die unternehmerischen Ziele Schutzbedarfsanalyse liefert Risiken und mögliche Schäden (Konsequenzen), Bewertung Wesentlichkeit IT-Verbundmodell liefert Kontrollziele und Massnahmenauswahl Basis-Sicherheitscheck liefert Soll-Ist-Vergleich und Kontrollen Massnahmen-Management liefert Überwachung der Massnahmen und Kontrollen

liefert Risiken und mögliche Schäden (Konsequenzen), Bewertung Wesentlichkeit IT-Verbundmodell liefert Kontrollziele und

9 Haben Sie die nötigen Informationen fürs IT-Management? Das IT-Management kennt die Abhängigkeiten zwischen Geschäftsprozessen und IT- Infrastrukur hat die operativen Risiken identifiziert und bewertet und überwacht eingeleitete Massnahmen systematisch kennt die geschäftskritischen Infrastrukturelemente und hat für den Notfall vorgesorgt weiss, welche Geschäftsprozesse bei technisch/organisatorischen Änderungen vom Ausfall eines Systems betroffen wären weiss, wer was weiss und kann dieses Wissen effizient transferieren, damit das Know-how nicht im falschen Moment in Rente geht kann die Einhaltung von relevanten Standards nachweisen ist immer aktuell dokumentiert und revisionsbereit

Massnahmen systematisch kennt die geschäftskritischen Infrastrukturelemente und hat für den Notfall vorgesorgt weiss, welche Geschäftsprozesse bei

10 IT-Revisionsvorbereitung als roter Faden fürs IT-Management Sicherheitskonzept IT-Revisionsunterlagen IT-Managementinfos Strukturanalyse Schutzbedarfsfeststellung IT-Verbundmodell Basissicherheitscheck Massnahmen organisatorische und technische Infrastruktur des zu prüfenden Gebietes interne und externe Anforderungen und deren Bedeutung für die unternehmerischen Ziele Risiken und mögliche Schäden (Konsequenzen), Bewertung Wesentlichkeit Kontrollziele und Massnahmenauswahl Soll-Ist-Vergleich und Kontrollen Überwachung der Massnahmen und Kontrollen kennt die Abhängigkeiten zwischen Geschäftsprozessen und IT-Infrastrukur weiss, wer was weiss 1 weiss, welche Geschäftsprozesse bei technisch/organisatorischen Änderungen vom Ausfall eines Systems betroffen wären kann die Einhaltung von relevanten Standards nachweisen hat die operativen Risiken identifiziert 2 kennt die geschäftskritischen Infrastrukturelemente 3 2 und bewertet und überwacht eingeleitete Massnahmen systematisch 3 und hat für den Notfall vorgesorgt 1 und kann dieses Wissen effizient transferieren ist immer aktuell dokumentiert und revisionsbereit

und mögliche Schäden (Konsequenzen), Bewertung Wesentlichkeit Kontrollziele und Massnahmenauswahl Soll-Ist-Vergleich und Kontrollen Überwachung der Massnahmen und Kontrollen kennt die Abhängigkeiten

11 Die zentrale Informationsplattform für maximale Effizienz

12 Die zentrale Informationsplattform als universelle Plattform

13 ISMS-off-the-shelf

14 ISMS-off-the-shelf Business Process Management (TopEase ): Modellierung und Steuerung der Organisation Informationssicherheitsmanagementsystem (ISMS): Basis- Sicherheitscheck, Definition von Prozessen und Massnahmen des ISMS. Informationssicherheitsbausteine (Library): Fertige Bausteine mit Massnahmen nach BSI-IT-Grundschutz 100 und Massnahmenzielen nach ISO Dokumente: Automatisch generierte Dokumentationen für die IT- Revision, Risikomanagement, etc. Portale: Automatisch generierte Webportale für Weisungen, Cockpits, etc. Kommunikationsmanagement & Schulung (Adobe Connect ): Validierbare Sensibilisierung, online-meetings/-classrooms, etc.

Informationssicherheitsbausteine (Library): Fertige Bausteine mit Massnahmen nach BSI-IT-Grundschutz 100 und Massnahmenzielen nach ISO 27001.

15 Beispiel Abhängigkeitskaskade in der Strukturanalyse Automatisch generierte Erfassungstabellen Modellierung der Organisation - Abhängigkeitskaskade

16 Beispiel Auswirkungsanalyse in der Schutzbedarfsanalyse Automatisch generierte Risiko-Cockpits im Portal Automatisch generierte Risiko-Erfassungstabellen Risiko-Auswirkungsanalyse -> betroffene Geschäftsprozesse oder Für Geschäftsprozesse benötigte Infrastruktur

generierte Risiko-Erfassungstabellen Risiko-Auswirkungsanalyse ->

17 Beispiel Massnahmenmanagement im IT-Verbundmodell Automatischer Überblick über die der IT-Infrastruktur zugeordneten Massnahmen

18 Beispiel Massnahmenbegleitende kontrollierte Sensibilisierung Rapid Trainings auf Basis PowerPoint und Adobe Presenter Schnell erstellt Beziehen sich auf vorhandene Inhalte (generierte Dokumente, Weisungsportale, etc.) Lernzielkontrolle ist integriert über Quizzes und SCORM- / AICC-Kompatibilität

Beziehen sich auf vorhandene Inhalte (generierte Dokumente,

19 Beispiel Sicherheitskonzept Automatisch Automatisch aus aus den den Informationen Informationen der der zentralen Plattform generiert! zentralen Plattform generiert! Enthält Enthält die die benötigten benötigten Informationen Informationen für: für: Nachweis Nachweis des des ISMS ISMS Dokumentation für die IT-Revision Dokumentation für die IT-Revision Information Information für für IT-Management IT-Management

Enthält Enthält die die benötigten benötigten Informationen Informationen für: für: Nachweis Nachweis

20 Fazit: IT-Revisionsvorbereitung führt zu sicherem Informationsmanagement Beginnen Sie Ihr IT-Management mit der IT-Revisionsvorbereitung Nutzen sie die Vorteile von auf dem Markt schon verfügbaren Komponenten für Informationssicherheitsmanagement

IT-Revisionsvorbereitung Nutzen sie die Vorteile von auf dem

21 Vielen Dank für Ihre Aufmerksamkeit Gerne beantworten wir Ihre Fragen. Aus Gründen Ihrer Sicherheit

Ähnliche Dokumente

Informationssicherheitsmanagement und Compliance

IT-Revision als Chance für das IT-Management Informationssicherheitsmanagement und Compliance Frühstück Rechtsgültige Archivierung Finance Forum 2008 4. November 2008 Stand 2.07 Fragen im Zusammenhang