Multiscope ISMSISO 27001 für Konzerne

Thomas Grote, 19.06.2018, Köln

Wir sind die xiv-consult GmbH

• Wir sind spezialisiert auf den Schutz von Informationswerteninnerhalb von Unternehmen und Unternehmensgruppen.• Dabei wird die gesamte Kette, von der strategischen Planung, über

das Risikomanagement und die Bemessung von Informationssicherheit bis hin zur Auswahl geeigneter Schutzmaßnahmen betrachtet. • Einen besonderen Fokus legen wir auf die Orientierung an

international akzeptierten Standards und Methoden und folgen so den Best-Practice-Ansätzen.

19.06.18 Einführung in Notfallmanagement 2

Unser Portfolio

19.06.18 Einführung in Notfallmanagement 3

Consulting

Externes

Fachpersonal

Cyber Security

Information Security &

Data Privacy

Cloud Security

Strategy, Governance,

Risk & Compliance

Business Continuity

Management

Mitwirkung in der Standardisierung

Seit über 15 Jahren wirken wir aktiv als ISO-Editoren an der Gestaltung folgender internationaler Standards für Informationssicherheit (ISO-Normen) mit:

ISO/IEC 15946–1:1999 Information Technology – Security Techniques –Cryptographic Techniques Based on Elliptic Curves – Part 1: General

ISO/IEC 27002:2005 Information Technology – Security Techniques –Code of Practice for Information Security Management

ISO/IEC 27000:2009 Information Technology – Security Techniques –Information Security Management Systems – Overview and Vocabulary

ISO/IEC 27003:2010 Information Technology – Security Techniques –Information Security Management System Implementation Guidance

ISO/IEC 27002:2013 Information Technology – Security Techniques –Code of Practice for Information Security Controls

ISO/IEC 27021 Information Technology – Security Techniques –Information Security Professionals

19.06.18 Einführung in Notfallmanagement 4

Tätigkeiten als Lehrkräfte & Gutachter

19.06.18 Einführung in Notfallmanagement 5

Agenda

1. ISO 27001 – eine kurze Auffrischung

2. Klassische ISMS Ansätze3. Multiscope ISMS Ansatz

19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 6

ISO 27001 – eine kurze Auffrischung

• Schutz der Unternehmensinformationen• Informations Sicherheits Management System (ISMS)• Etablierter kontinuierlicher Prozess• Klar definierter Satz von Regeln und Rollen

• Risikobasierter Ansatz• Klar definierter Scope

19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 7

1. klassischer Ansatz

• Ein Unternehmen / Konzern

• Ein ISMS

• Ein Scope

19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 8

Globaler Scope

1. klassischer Ansatz

Cologne Energy

Cologne Power

Cologne Gas

Cologne Water

19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 9

1. klassischer Ansatz

• Vorteile

• homogenes ISMS

• gute Einfluss- und Einblickmöglichkeitenfür „globales Management“

• Ein Zertifikat

• Nachteile

• Hoher Aufwand für das ISMS

• Akzeptanz schwer zu schaffen

• Die Regeln gelten, egal ob passend oder nicht

19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 10

2. Klassischer Ansatz

• Mehrere Unternehmen

• Mehrere ISMS

• Mehrere Scopes

19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 11

Scope 3Scope 2Scope 1

2. klassischer Ansatz

Cologne Energy

Cologne Power

Cologne Gas

Cologne Water

19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 12

2. klassischer Ansatz

• Vorteile

• Auf Bedürfnisse zugeschnitten

• Nachteile

• Mehrere Sätze von Regeln

• Holding hat nur bedingt Einfluss- bzw. Einblickmöglichkeiten (heterogenes ISMS)

• Mehrere einzelne Zertifikate

19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 13

Jeder macht was er will!

Multiscope Ansatz

• Ein Konzern

• Ein globaler Scope mit Subscopes

• Ein ISMS

19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 14

Globaler Scope

Multiscope Ansatz

19.06.18

Subscope 1

Multiscope ISMS - ISO 27001 für Konzerne 15

Subscope 2 Subscope 3

Cologne Energy

Cologne Power

Cologne Gas

Cologne Water

Multiscope Ansatz

• Vorteile

• Homogenes ISMS

• ISMS auf Bedürfnisse zugeschnitten

• Ein Zertifikat

• Nachteile

• Geringfügig erweiterte bzw. ergänzende Prozesse notwendig (zB. Reporting, Kooperation, Scope-Management)

19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 16

Resümee

Multiscope ISMS vereint die Vorteile der klassischen Ansätze und minimiert die Nachteile.

19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 17

Thomas Grote

xiv-consult GmbHWintermühlenhof 653639 Königswinter

E-Mail: tgr@xiv-consult.comTelefon: +49 2223 907 66 40Mobil: +49 175 9692060

Senior Security Consultant

Kontakt

19.06.18 Multiscope ISMS - ISO 27001 für Konzerne 18

Haben wir Ihr Interesse geweckt?

Kontaktieren Sie uns:xiv-consult GmbHWintermühlenhof 653639 Königswinter

Web: www.xiv-consult.deE-Mail: office@xiv-consult.deTelefon: +49 2223 9076640Telefax: +49 2223 9076642

19.06.18 Einführung in Notfallmanagement 19