IT-Sicherheitsmanagement ISO 27001 & TISAX

Im Folgenden haben wir Ihnen eine Vielzahl an Informationen rund um das Thema des IT-Sicherheitsmanagements und der dazu entsprechenden Managementnorm ISO 27001:2017 zusammengefasst. Zusätzlich wurden die Anforderungen der TISAX integriert.


Passend zu diesem Themengebiet bieten wir folgende Webinare an.

IT-Sicherheit - TISAX

Sie sind Zulieferer der Automobilindustrie und müssen sich einer TISAX Zertifizierung unterziehen - dann erfahren Sie in diesem individuellen Online-Seminar die Anforderungen und notwendigen Umsetzungsmaßnahmen gemäß des ISA-VDA Bewertungskatalogs

Seminardauer: 8 Stunden (nach jeweils 1,5 Stunden wird eine kurze Pause durchgeführt / mehrere Termine möglich)

Inhalte:

  • Einführung in das Thema IT-Sicherheit für Automobilzulieferer gemäß TISAX
  • Sicherheitslevel
  • ISA-VDA Fragen- und Bewertungskatalog
  • Notwendige Maßnahmen der Umsetzung
  • Implementierung in das bestehende Managementsystem
  • Der Weg zur TISAX Zertifizierung
  • Auditierung

Kosten:

  • 720,00 € netto zuzüglich 19% MwSt. als Online-Seminar (bis 12 Teilnehmer eines Unternehmens inklusive)

Kontakt

IT-Sicherheitsmanagement

ISO 27001:2017

In diesem individuellen Online-Seminar geben wir Ihnen Einblicke in die Normforderungen des IT-Sicherheitsmanagementsystems gemäß der DIN ISO/IEC 27001:2017, sowie deren praxisorientierter Umsetzung in Ihrem Unternehmen. Die Industrie Branche stellt bereits heute zahlreiche Anforderungen an die Umsetzung der IT Sicherheit. Des Weiteren wird damit die Grundlage für Industrie 4.0 geschaffen

Seminardauer: 6 Stunden (nach jeweils 1,5 Stunden wird eine kurze Pause durchgeführt / mehrere Termine möglich)

Inhalte:

  • Einführung in die Thematik des IT-Sicherheitsmanagements
  • Rechtliche Anforderungen / Kundenvorgaben
  • Spezifische Anforderungen der Automotive Branche
  • Forderungen der Norm DIN ISO/IEC 27001:2017
  • Praxisorientierte Umsetzung der Forderungen
  • Schutzmaßnahmen im IT-Sicherheitsmanagement gemäß Anhang A der Norm
  • Prozesse unter dem Risikoaspekt

Kosten:

  • 720,00 € netto zuzüglich 19% MwSt. als Online-Seminar (bis 12 Teilnehmer eines Unternehmens inklusive)

Kontakt

IT-Sicherheitsmanagement Audit

Sie sind ein ISO 27001 zertifiziertes Unternehmen, so ist hierbei die Durchführung eines eigenen Systemaudits regelmäßig nachzuweisen

Im Rahmen dieses individuellen Online-Seminars zum internen Auditor im Kontext des IT-Sicherheitsmanagements gemäß ISO 19011 erfahren Sie wie Sie Ihre internen Audits planen, durchführen und dokumentieren müssen.

Seminardauer: 4 Stunden (nach jeweils 1,5 Stunden wird eine kurze Pause durchgeführt / mehrere Termine möglich)

Inhalte:

  • Einführung in den Themenkomplex der Auditierung
  • Forderungen der DIN EN ISO 19011 
    • (Anforderungsnorm für die Durchführung von Audits)
  • Prozessorientierte bzw. systemorientierte 
  • Auditierung
  • Auditarten und Auditkriterien
  • Gesprächs- und Fragetechniken
  • Auditvorbereitung
  • Planung
  • Auditdurchführung
  • Nachweisführung und Dokumentation
  • Auditfeststellungen
  • Auditnachbereitung
  • Auditbericht
  • Maßnahmenmanagement / Wirksamkeitsbewertung der Maßnahmen

Kosten:

  • 450,00 € netto zuzüglich 19% MwSt. als Online-Seminar (bis 12 Teilnehmer eines Unternehmens inklusive)

Kontakt

 

 

Ziel des IT-Sicherheitsmanagements

  • Vertraulichkeit der Daten gewährleisten
  • Datenverfügbarkeit garantieren
  • Integrität der Daten sicherstellen (Richtigkeit, Vollständigkeit)
  • Sicherung aller Geschäftsprozesse durch eine etablierte Sicherheitsorganisation
  • Höhere Sicherheit und Transparenz der IT-Geschäftsprozesse
  • Service Level Agreements und Business Continuity Management
  • Sicherheitsnachweis der Organisation gegenüber dem Gesetzgeber, Kunden, Partnern, Versicherungen und Lieferanten

IT-Risikomanagement

Mögliche Risiken:

  • Gezielte Angriffe von Personen (Hacker, Spione)
  • Elementarereignisse ( Feuer, Erdbeben, Wasserschäden, Blitzschlag
    Fahrlässige Handhabung u. Fehlbedienungen
  • Verstöße gegen Gesetze oder Verträge (Vertraulichkeitserklärung)
  • Schädigung von Personen (Ansehen, ...)

Risikoeinschätzung

  • Risikoanalyse + Risikobewertung

Mögliche Schadenskategorien

  • Verstoß gegen Gesetze, Vorschriften oder Verträge
  • Beeinträchtigung des Lebens
  • Beeinträchtigung der Aufgabenerfüllung
  • Andere negative Auswirkungen
  • Finanzielle Folgen

Mögliches Schadensausmaß und Schutzbedarf

  • Sehr hoch → katastrophal
  • Hoch → beträchtliches Ausmaß
  • Klein → tolerabel – geringfügig

Mögliche Maßnahmen nach Standard

  • Leitlinien u. Regelwerke
  • Vertragliche Gestaltung
  • Prozeduren / Praktiken
  • Organisationsstrukturen
  • Administration / infrastrukturelle technische Anforderungen

 

Handhabung von Risiken

  • Akzeptieren der Risiken
  • Verlagerung der Geschäftsbereiche
  • Outsourcing der risikoreichen Bereiche
  • Versicherung gegen Risiken
  • Maßnahmen ergreifen, um das Risiko zu minimieren

Im folgenden Video erhalten Sie umfangreiche Informationen zum vorliegenden Themenkomplex

Placeholder image

Gefährdungen

  • Physischer Angriff bzw. Beeintrachtigung von Daten
  • Cyberangriffe / Viren
  • Bruch von Verschwiegenheitsklauseln
  • Umgang mit sensiblen Unternehmensdaten und Bereichen
  • Umgang mit persönlichen Daten und Mitarbeiterdaten
  • Überwachungseinrichtungen im Unternehmen
  • Datensammlung / Archivierung
  • IT-Systeme (Hardware & Software)
  • Datenschutzgrundverordnung

Physischer Angriff bzw. Beeintrachtigung von Daten

  • Brand
  • Hochwasser
  • Einbruch
  • Zerstörung
  • Technische Defekte

Cyberangriffe / Viren

  • Welche Webseiten dürfen Ihre Mitarbeiter besuchen?
  • E-Mail von unbekannten Absendern bzw. von Absendern, die sich als eine Person ausgeben, welche Sie eventuell kennen (Absendername)
  • E-Mails mit merkwürdigen Anhängen oder enthaltenen Links

Bruch von Verschwiegenheitsklauseln

  • Wie wird die EInhaltung der Verwiegenheitsklauseln kontrolliert?
  • Kann durch die Verschwiegenheitsklausel überhaupt die Arbeit verichtet werden?

Umgang mit sensiblen Unternehmensdaten und Bereichen

  • Inwieweit sind Ihre Unternehmensdaten vor unbefugten Zugriff geschützt?
  • Gibt es eine bauliche Trennung des Entwicklungsbereichs Ihres Unternehmens vom normalen Besucherverkehr oder operativen Bereich?
  • Werden sensible Unternehmensdaten eventuell vom Mitarbeiter weitergeleitet bzw. mitgenommen? (Mobile PCs)

Umgang mit persönlichen Daten und Mitarbeiterdaten

  • An welcher Stelle werden Daten erhoben, verarbeitet, gespeichert und weitergegeben?

Überwachungseinrichtungen im Unternehmen

  • Welche Überwachungseinrichtungen gibt es?
    • Zugangskontrollen
    • Kameraüberwachung

Datensammlung / Archivierung

  • Ist die Archivierung von sennsiblen Daten oder Beweismitteln revisionssicher? (D/TLD Teile, FMEA)

IT-Systeme (Hardware & Software)

  • Inwieweit sind Ihre EDV System zueinander kompatibel?
  • Werden Cloud-Dienste verwendet?

Datenschutzgrundverordnung

  • Welche Vorkehrungen haben Sie im Hinblick der Datenschutzgrundverordnung vorgenommen
    • Anpassung der Datenschutzerklärung auf Ihrer Unternehmenswebseite (sehr kleinteilige Darstellung des Datenverkehrs erforderlich)
      • Server Log-Files
      • Cookies
      • Statistiken (z. B. Google Analytics)
      • Kundendatenerfassung
      • Erfassung des Nutzerverhaltens
      • SSL Zertifikate
    • wurde das Risikopotential ermittelt?

Betriebsgelände

  • Absicherung durch Pforte
  • Dokumentation der Besucher in eine Liste (hier darf natürlich nicht für den Besucher ersichtlich sein, welche Personen vor Ihm das Unternehmen besucht haben)
  • Kameraüberwachung (hier darf ausschließlich das eigene Gelände abgefilmt werden)

Zusammenarbeit mit externen Gesellschaften oder Einzelpersonen

  • Definition einer Verschwiegenheitsklausel (Verfassen Sie diese themenspezifisch für die Durchführung von Audits, Entwicklungen, IT / EDV und Instandhaltung)
  • Klare Reglen definieren für exteren bei Zugriff auf interne EDV Systeme
  • Regeln für die W-Lan Benutzung vorsehen

Datenaustausch

  • Dürfen alle Endgeräte Ihres Unternehmens mit dem Internet kommunizieren?
  • Inwieweit ist ein externer Zugriff auf Ihre Unternehmensdaten möglich (VPN Klient, Dongel)

 


Führung

Erfahren Sie mehr über die Anforderungen und erforderlichen Umsetzung gemäß der Norm DIN ISO 27001:2017

Betrieb

Erfahren Sie mehr über die Anforderungen und erforderlichen Umsetzung gemäß der Norm DIN ISO 27001:2017

Bewertung der Leistung

Erfahren Sie mehr über die Anforderungen und erforderlichen Umsetzung gemäß der Norm DIN ISO 27001:2017

Verbesserung

Erfahren Sie mehr über die Anforderungen und erforderlichen Umsetzung gemäß der Norm DIN ISO 27001:2017


Notwendige Dokumente nach ISO 27001:2017

Im Rahmen der IT-Sicherheit gemäß TISAX können folgende Dokumente als Anhaltspunkt genommen werden, die Dokumentation aufzubauen. Sofern Sie ein integriertes Managementsystem anstreben, haben Sie bereits zahlreiche Dokumente (z. B. im Rahmen der ISO 9001 und IATF 16949) erstellt, welche nur noch um die Aspekte der IT-Sicherheit ergänzt werden müssen.

  • 4.3 Geltungsbereich des ISMS
  • 5.2 Informationssicherheit-Politik
  • 6.1.2 Informationssicherheit-Risikobewertung
  • 6.1.3 Informationen Sicherheitsrisiko - Behandlungsprozess
  • 6.1.3 d) Erklärung zur Anwendbarkeit
  • 6.2 Informationssicherheitsziele
  • 7.2 d) Kompetenznachweise
  • 7.5.1 b) Dokumentierte Angaben der Organisation, welche für die Effektivität des ISMS notwendig sind
  • 8.1 Die operative Planung und Steuerung
  • 8.2 Ergebnisse der Risikobewertungen für Informationssicherheit
  • 8.3 Ergebnisse der Informationssicherheit Risikobehandlung
  • 9.1 Beweise für die Überwachung und Messergebnisse
  • 9.2 g) Nachweis der Auditprogramm (e) und der Prüfungsergebnisse
  • 9.3 Nachweis über die Ergebnisse der Managementbewertung
  • 10.1 f) Hinweise auf die Art der Abweichungen und die daraufhin ergriffenen Maßnahmen
  • 10.1 g) Nachweis der Ergebnisse einer jeden Korrekturmaßnahme

 


Sicherheitsaspekt

Placeholder image

TISAX - Automotive

Placeholder image

Praxisorientierte Umsetzung

Placeholder image



Sicherheitsaspekt

Placeholder image

TISAX - Automotive

Placeholder image

Praxisorientierte Umsetzung

Placeholder image

Sicherheitsaspekt

Placeholder image

TISAX - Automotive

Placeholder image

Praxisorientierte Umsetzung

Placeholder image

Sicherheitsaspekt

Placeholder image

TISAX - Automotive

Placeholder image

Praxisorientierte Umsetzung

Placeholder image


Sicherheitsaspekt

Placeholder image

TISAX - Automotive

Placeholder image

Praxisorientierte Umsetzung

Placeholder image







Sicherheitsaspekt

Placeholder image

TISAX - Automotive

Placeholder image

Praxisorientierte Umsetzung

Placeholder image

Sicherheitsaspekt

Placeholder image

TISAX - Automotive

Placeholder image

Praxisorientierte Umsetzung

Placeholder image

Informationen

FAQ

Unter der Rubrik FAQ klären wir häufig gestellte Fragen im Zusammenhang mit dieser Plattform

Copyright

Braun ProzessPerformance GmbH & Co. KG