Update, Stand August 2023
Liebe Leserin, lieber Leser,
ein Unternehmen ohne bewertete IT-Risiken ist wie ein Tanker im Nebel ohne Radar... Mit diesem Update geben wir Ihnen ein einfaches Excel-basiertes Risikobewertungssystem an die Hand, das Sie bei der Bewertung nach anerkannten Standards unterstützt.
Herzlichen Gruß, Ihr
Uwe Lingscheid
Produktmanager IT und Datenschutz
Mit diesem Update erhalten Sie folgende neue Beiträge:
Der Information Security Management Process
IT-Risikobewertung nach ISO/IEC 31000 leicht gemacht von Markus Lindinger- Excel-basiertes Risikobewertungssystem – einfach aufgebaut – leicht anpassbar
- basiert auf dem operativen Steuerungsprozess der ISO/IEC 31000
- an den Umsetzungsempfehlungen des BSI-Grundschutzes orientiert
- inkl. Excel-Tool „Risikobewertungssystem für IT-Risiken“
- Robuste Sicherheitsinfrastrukturen auch für kleine und mittlere Organisationen
- Sichern Sie sich Schlüsselvorteile durch den Austausch im CERT-Verbund
- inkl. Vorlage „CERT Mission Statement nach RFC 2350“
- inkl. Vorlage „SOC Charter“
Personenbezogene Daten schützen
Cookie Popups und das TTDSG von Klaus Meffert- Das sollten Sie über Cookies und die Grenzen von Cookie-Blockern wissen
- Gängige Missverständnisse über Cookies und die Zustimmungspflicht
- inkl. Checkliste „Einwilligungsabfragen auf Webseiten“
- Anleitung zur Benachrichtigungs-, Dokumentations- und Meldepflicht
- So kommen Sie Ihren Pflichten nach und verankern geeignete Maßnahmen
- Diese Arbeitsilfen unterstützen Sie dabei:
Update, Stand Mai 2023
Der Information Security Management Process
Managementreview zur ISO/IEC 27001 von Wolfgang Kallmeyer- So führen Sie eine Managementbewertung zur ISO/IEC 27001 durch
- Normenkonform und übersichtlich für einen größtmöglichen Nutzen
- Alle erforderliche Schritte, Methoden und Dokumente für die Praxis
- Diese Arbeitsilfen unterstützen Sie dabei:
- Kritische Prozesse und Services durch BCM absichern
- Das sind die Anforderungen an ein System nach ISO 22301
- inkl. Checkliste „Einführung eines BCM-Systems nach ISO 22301“
- inkl. Muster „Jahresübungsplan – Notfallübung“
Konzepte und Technologien von A–Z
Erkennen und Behandeln von Sicherheitslücken – CVE, CVSS, CAPEC, ATT&CK und CWE von Christian Alexander Graf- Bedrohungen Ihrer Assets identifizieren, analysieren und bewerten
- So setzen Sie die Verfahren gezielt ein
Organisatorische Maßnahmen
Arbeitsorganisation und Datenschutz von Sascha Fackeldey- Datenschutz-Compliance durch gute Arbeitsorganisation sinnvoll unterstützen
- Beispiel Lohn- und Gehaltsbuchhaltung
Update, Stand Februar 2023
Der Information Security Management Process
ISO/IEC 27001 auditieren – die richtigen Fragen finden und einsetzen von Wolfgang Kallmeyer- Alle Änderungen und Unterschiede zur Version 2015 im Überblick
- Fragenkatalog für das interne Audit vollständig auf die Revision 2022 angepasst!
- Über 300 Fragen und Nachweisbeispiele entlang des Auditverlaufs
- Diese Arbeitsilfen unterstützen Sie dabei:
- Verweismatrix „Änderungen der Normkapitel in ISO/IEC 27001, 2015–2022“
- Verweismatrix „Änderungen Anhang A in ISO/IEC 27001, 2015–2022“
- Auditfragenkatalog „Internes Systemaudit nach ISO/IEC 27001:2022“
- Vorlage „Auditfragen generieren mit Turtle-Analyse“
- Änderungen und Auswirkung der neuen ISO/IEC 27001:2022 und ISO/IEC 27002:2022
- Was ist wichtig, was kommt auf uns zu?
- inkl. Muster „Auditplan“
Konzepte und Technologien von A–Z
WLAN- und LAN-Zugang für Dritte – Teil 2: Haftung des Anbieters von Markus Lang- Haftungsrisiken und Maßnahmen für vier Fallgruppen
- So minimieren Sie die Risiken durch Informationen und Nutzungsbedingungen inkl.
- Vorlage „Nutzungsbedingungen und Informationen zur Datenverarbeitung (Kostenloser Internetzugang ohne Registrierung)“
- Vorlage „Nutzungsbedingungen und Informationen zur Datenverarbeitung (Kostenloser Internetzugang mit Registrierung)“
- Vorlage „Nutzungsbedingungen und Informationen zur Datenverarbeitung (Kostenloser Internetzugang via WLAN mit Registrierung)“
Gesetze, Normen und andere Regelwerke
Kurzhinweise: ISO/IEC TS 27100 von Gerald SpyraUpdate, Stand November 2022
Der Information Security Management Process
Wie Sie ein integriertes Managementsystem auf eine erfolgreiche Zertifizierung vorbereiten von Elke Meurer- So bauen Sie das System auf
- Einblicke in das Vorgehen eines Projekts im Mittelstand
- Vom Projektstart bis zur erfolgreichen Zertifizierung inkl.
- Präsentation „Roadmap eines Integrationsprojekts“
- Präsentation „Schulung der Prozessverantwortlichen“
- Präsentation „Teamschulungen vorbereiten“
- Präsentation „Prozesserfassung inkl. Risiken“
Konzepte und Technologien von A–Z
WLAN- und LAN-Zugang für Dritte – Teil 1: Rechtliche Vorgaben und Pflichten von Markus Lang- Wie Sie einen Internetzugang rechtskonform überlassen
- Hilfestellung für vier verschiedene Fallgruppen inkl.
- Vorlage „Nutzungsbedingungen und Informationen zur Datenverarbeitung (Kostenloser Internetzugang ohne Registrierung)“
- Vorlage „Nutzungsbedingungen und Informationen zur Datenverarbeitung (Kostenloser Internetzugang mit Registrierung)“
- Vorlage „Nutzungsbedingungen und Informationen zur Datenverarbeitung (Kostenloser Internetzugang via WLAN mit Registrierung)“
Gesetze, Normen und andere Regelwerke
Interview: ISO/IEC 27001/27002 mit Bruno TenhagenKurzhinweise: ISO 22301 – Business Continuity Management System – Anforderungen (aktualisiert) von Christian Aust
Kurzhinweise: ISO/IEC TR 20000-5 – Umsetzungsplan für ISO/IEC 20000-1 von Christian Aust
Kurzhinweise: ISO/IEC TR 20000-11 – Beziehung zwischen ISO/IEC 20000-1 und ITIL von Christian Aust
Update, Stand August 2022
Der Information Security Management Process
Einführungspräsentation zum Informationssicherheitsmanagement (aktualisiert) von Bruno Tenhagen- Sensibilisierung und Motivation der beteiligten Personen
- inkl. Präsentation „Informationssicherheitsmanagement“
- Methoden, Einführung, Einsatz
- WKD, eEPK und BPMN als Beispiel
- Die wesentlichen Fallstricke bei der App-Entwicklung
- Potentielle Auswirkungen im Betrieb
- Wie Sie rechtliche Implikationen ermitteln und im Design berücksichtigen
- inkl. Checkliste „Sachverhaltsermittlung zur App-Entwicklung“
Konzepte und Technologien von A–Z
Klassifizierung von IT-Security-Risiken – Blick über den Tellerrand (aktualisiert) von Hans Christian Wenner- Potentielle Schäden bemessen und nachvollziehbar dokumentieren
- Das Bewertungssystem Common Vulnerability Scoring System (CVSS)
- inkl. Rechentool „Basis-Metrik-Rechner CVSS 3.1“
- Messenger: universell einsetzbar, schnell und unkompliziert?
- Sanktionen und Haftungsrisiken können schnell zum Hemmnis werden.
- Das sollten Sie über die Rechtslage wissen.
- SSI als Lösung für selbstbestimmte Identitäten im digitalen Raum
- Anforderungen an das System: Architektur, Standards und Technologien
Gesetze, Normen und andere Regelwerke
Kurzhinweise: Telekommunikationsgesetz (TKG) von Diane AngerhausenKurzhinweise: Telemediengesetz (TMG) von Diane Angerhausen
Update, Stand Mai 2022
Der Information Security Management Process
Zertifizierung nach ISO/IEC 27001 von Bruno Tenhagen- Auswirkung der neuen ISO/IEC 27001:2022 auf die ISO/IEC 27001:2013
- Was ist wichtig, was kommt auf uns zu?
- inkl. Vorlage „Auditplan“
Personenbezogene Daten schützen
Videoüberwachung – Datenschutzrechtliche Zulässigkeit und Pflichten von Markus Lang- Rechtliche Zulässigkeit und die Datenschutzpflichten
- Was darf ich aufzeichnen und was nicht?
- Szenarien und Gestaltung, inkl. praxiserprobter Arbeitshilfen
- Checkliste „Vorbereitung der rechtlichen Bewertung von Videoüberwachung“
- Checkliste „Technische und organisatorische Maßnahmen – Kernpunkte nach EDSA"“
- Vorlage „Vorgelagertes Hinweisschild zur Videoüberwachung“
- Vorlage „Aushang – Vollständiges Informationsblatt zur Videoüberwachung“
- Vorlage „Piktogramme zur Videoüberwachung“
Gesetze, Normen und andere Regelwerke
Kurzhinweise: ISO/IEC 27002 von Oliver WeissmannKurzhinweise: ISO/IEC 27013 von Christian Aust Kurzhinweise: ISO/TS 22317 von Christian Aust
Kurzhinweise: ISO/TS 22318 von Christian Aust
Update, Stand Februar 2022
Konzepte und Technologien von A–Z
Künstliche Intelligenz und Cyber-Sicherheit von Norbert Pohlmann- Wichtige Grundlagen zu den Algorithmen und Methoden des maschinellen Lernens
- Beispiele für Anwendungsszenarien in der Cyber-Sicherheit
- Manipulation von KI-Systemen durch Angreifer und Fragen der Ethik
Der Information Security Management Process
Business Continuity Management von Markus a Campo- Kritische Prozesse und IT Services durch BCM absichern
- BCM schrittweise etablieren und verbessern
- inkl.Basistabelle „Notfallmonitor“
- Vorlage „Servicesteckbrief zur IT-Notfallvorsorge“
Personenbezogene Daten schützen
Der richtige Umgang mit Bewerberdaten: Datenschutz im Recruiting von Sascha Fackeldey- Welche Rechtsgrundlage ist in welchem Recruiting-Prozess heranzuziehen?
- Wie sind die gewonnenen Daten zu behandeln und wo ist Vorsicht geboten?
Das betriebliche Löschkonzept für personenbezogene und buchhalterische Daten (aktualisiert) von Arndt Fackeldey und Sascha Fackeldey
Gesetze, Normen und andere Regelwerke
Kurzhinweise: Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) von Diane AngerhausenKurzhinweise: ISO/IEC 27021 – Anforderungen an die Kompetenz von Sachkundigen für ISMS von Gerald Spyra
Kurzhinweise: ISO 37000 – Anleitung zur Leitung von Organisationen von Jens Harmeier
Update November 2021
Der Information Security Management Process
ISO/IEC 27001 auditieren – die richtigen Fragen finden und einsetzen von Wolfgang Kallmeyer- Text- und Turtleanalyse einfach anwenden
- Im Audit korrekt kommunizieren und die Fragen richtig stellen
- inkl. Fragenkatalog für das interne Systemaudit
- Rechtliche Rahmenbedingungen
- Ihre Rechte und Ihre konkreten Pflichten
- Arbeitsstruktur zum Schutz Ihrer Geschäftsgeheimnisse
- inkl. Geheimhaltungsvereinbarung und Risikorechner
- Vorlage „Geheimhaltungsvereinbarung“
- Rechentool „Risikobewertungsrechner Geschäftsgeheimnis“
Gesetze, Normen und andere Regelwerke
Kurzhinweise: ISO 37002 – Hinweismanagementsysteme – Leitlinien von Jens HarmeierKurzhinweise: DIN ISO 37301 – Compliance-Managementsysteme – Anforderungen mit Anleitung zur Anwendung von Jens Harmeier
Aktualisierte/überarbeitete Kurzhinweise:
Sozialgesetzbuch (SGB)
Abgabenordnung (AO)
Datenerfassungs- und -übermittlungsverordnung (DEÜV)
Sicherheitsüberprüfungsgesetz (SÜG)
Urheberrechtsgesetz (UrhG)
Rechtsdienstleistungsgesetz (RDG)
Kunsturheberrechtsgesetz (KunstUrhG)
Strafgesetzbuch (StGB)
Update August 2021
Der Information Security Management Process
Digitaler Ersthelfer – Organisatorische und rechtliche Aspekte von Gerald Spyra
- Lernen Sie die unterschiedlichen Arten von digitaler Erste Hilfe kennen.
- Dos and Don‘ts – Was sollte ein Ersthelfer tun und was sollte er besser lassen.
- Wofür haftet so ein „Retter in der Not“ gegebenenfalls und wofür nicht?
- Das sollten Sie über den neuen Compliance-Management-Systemstandard wissen.
- Alle Anforderungen stichwortartig aufgelistet und praxisorientiert interpretiert.
- Hinweise und Beispiele zur Umsetzung, Erfüllung und Dokumentation.
- Übersicht „Beispiele für Sicherheitsziele“
- Checkliste „Kriterientabelle zur Einstufung in Schutzkategorien“
- Mustergliederung „Informationssicherheitsleitlinie“
- Mustergliederung „Leitlinie für Informationssicherheit“ nach BSI 200-1
Kurzhinweise: ISO/IEC 27043 – Sicherheitsvorfälle von Gerald Spyra
Update Mai 2021
Personenbezogene Daten schützen
Datenschutz-Informations-Managementsystem – Wie geht das zusammen? von Gerald Sypra
- Lassen sich die unterschiedlichen Ökosysteme wirklich zusammenführen?
- Was ist rechtlich relevanter?
- Das sind die Möglichkeiten zur Umsetzung in einem Managementsystem.
- So können Sie Regelungen des Datenschutzes in ein ISMS implementieren.
- ISO/IEC 27701 – die Hilfestellung zur Umsetzung
Outsourcing von IT-Leistungen – Verträge richtig gestalten von Peter Huppertz
- Rechtliche Rahmenbedingungen und Grenzen
- Praxisbewährte Lösungen für klassisches Outsourcing und Cloud Computing
- Gestaltungsmöglichkeiten im modularen Baukastenprinzip
- Rahmenwerk speziell für kleine und mittlere Organisationen
- Vorgehen in zwölf Schritten zur ISIS12-Zertifizierung
Kurzhinweise: ISO/IEC 27036-1 – Information security for supplier relationships – Part 1: Overview and concepts von Ralf Röhrig
Update Februar 2021
Gebäude und Arbeitsumfeld sichern
Videoüberwachung richtig planen und erfolgreich einsetzen von Markus Lang
- Alles zur Bedarfsermittlung und Auswahl der Systemkomponenten
- Die wichtigsten Hinweise zur Einrichtung, zum Betrieb und zur Instandhaltung
- Das sind die häufig gemachten Fehler
- Checkliste „Planung einer Videoüberwachung
- Checkliste „Auswahl von Videoüberwachungstechnik
- Übersicht über Ziele, Einsatzformen und Anwendungsbereiche
- Grundlegende Funktionsweisen und Auswahlkriterien
- Zusammenhänge der Systemkomponenten
Cookies und Tracking rechtskonform nutzen von Gerald Sypra
- Urteile des EuGH und des BGH und deren Konsequenzen
- Neuerungen und abgeleitete Empfehlungen
- So setzen Sie die Anforderungen sachgerecht in der Praxis um
Kurzhinweise: ISO/IEC 27014 – Governance von Informationssicherheit von Ralf Röhrig
Kurzhinweise: DIN 77006 – Managementsystem für geistiges Eigentum – Intellectual Property von Jens Harmeier, inkl.
- Übersicht „Schutzrechte für geistiges Eigentum“
- Vorlage „Umgang mit interessierten Parteien“
