Berater für Informationssicherheit und Datenschutz

Ich mache Ihre Organisation sicher und compliant!

Organisationen benötigen heutzutage einen zuverlässigen Partner, der sie in Fragen der Informationssicherheit kompetent berät und mit Hilfe pragmatischer Maßnahmen bei der Umsetzung nationaler und internationaler Compliance – Anforderungen unterstützt. Gemeinsam mit meinem Team helfe ich Unternehmen dabei, den individuellen Anforderungen aus Governance, Risk und Compliance gerecht zu werden.

Meine Kernkompetenzen und aktuellen Personenzertifikate:

TÜV-Nord geprüfter Datenschutzbeauftragter

TÜV-cert: 44-02-DSB-25.01.2018-DE02-976931

DGI Zertifizierter IT-Sicherheitsbeauftragter (ITSiBe)

Gemäß ISO/IEC 27001 & BSI IT-Grundschutz

DGI Zertifizierter BSI IT-Grundschutz-Experte

BSI Standard 200-1, 200-2, 200-3, 200-4

DGI Zertifizierter IT-Risk Manager

Gemäß ISO 31000 und ONR 49003

DGI Zertifizierter Business Continuity Manager

Gemäß ISO 22301 und BSI IT-Grundschutz

Vom BISG e.V. zertifizierter IT-Sachverständiger und Gutachter

für die Informatikbereiche: Informationssicherheit & technische und organisatorische Maßnahmen

ISACA Cybersecurity Expert (CSE)

Vorfallbehandlung & Cyber-Sicherheits-Check

Business Continuity gem. BSI Standard 200-4

Die Kosten durch den Ausfalls eines wichtigen Geschäftsprozesses können verheerende finanzielle Auswirkungen auf ein Unternehmen haben.  BCM-Management identifiziert Schwachstellen in Prozessen und entwickelt Strategien zur Vermeidung, oder Reduzierung von Risiken. Die Business Impact Analyse liefert zum Schluss wertvolle Informationen über den aktuellen Zustand der Organisation.

Weitere Informationen

IT-Sicherheit gem. ITSiG, ISO27001, KRITIS, KAS-51, BSI IT-Grundschutz

Die wirksame Umsetzung einer Informationssicherheits-Strategie und einer resilienten IT-Sicherheit sind heutzutage nicht nur Schutz vor Bedrohungen wie Cyberkriminellen oder dem Wettbewerb, sondern auch Wettbewerbsvorteil im internationalen Markt. Als Berater für IT-Sicherheit aus dem KRITIS nahen Umfeld kenne ich zahlreiche Sub-Anforderungen anderer Sicherheitsgebiete, zum Beispiel der Anlagensicherheit.

Weitere Informationen

IT-Risk Management nach BSI Standard 200-3

Das (IT-)Risikomanagement ist nach der Norm ISO 31000 eine wichtige Führungsaufgabe, bei der die IT-Risiken einer Organisation methodisch identifiziert, analysiert und bewertet werden. Es werden übergeordnete Ziele und Strategien durch alle Stakeholder festgelegt und konkret zur Umsetzung gebracht. Buchen Sie mich z.B. als IT-Risk Manager für Ihr Infrastrukturprojekt, oder für die Bewertung Ihres aktuellen IT-Risikos.

Weitere Informationen

BSI / ISACA Cyber-Sicherheits-Check (CSC)

Ziel des Cyber-Sicherheits-Check ist es, eine Organisation mittels methodischer Maßnahmen auf Cyberresillienz zu prüfen und geeignete Maßnahmen anzubieten, um individuelle Ziele oder bestimmte Compliance Anforderungen zu erfüllen. Der Cyber-Sicherheits-Check wurde in der ersten Fassung im Rahmen der Allianz für Cyber-Sicherheit durch die Fachgruppe Informationssicherheit im ISACA Germany Chapter e.V. gemeinsam mit Experten des BSI entwickelt.

Anfrage CSC

Datenschutz-Management

Ich prüfe Ihre Organisation auf DSGVO-Konformität und entwickle Strategien zur individuellen Umsetzung der Compliance Anforderungen. Als TÜV-Nord zertifizierter Datenschutzbeauftragter und IT-Sachverständiger für technische und organisatorische Maßnahmen, kann ich beide Wissensgebiete in meiner Beratung optimal kombinieren. Ihr Mehrwert ist eine optimal abgestimmte Beratung im Bereich Datenschutz und Datensicherheit. Lassen Sie uns mit einem kurzen Kennenlernen beginnen.

Weitere Informationen

Sachverständigen Dienstleistungen

Damit sich Ihre Projektrisiken in Grenzen halten unterstütze ich Sie als IT-Sachverständiger und Gutachter bei der Ausarbeitung und Realisierung Ihres IT-Projekts. Im Rahmen des Audit-28 des BISG e.V. auditiere ich Ihre Auftragsverarbeiter mit Prüfsiegel. Dieses Siegel erhalten Sie auch im Falle einer Beauftragung über eine Bestandsaufnahme Ihrer technischen und organisatorischen Maßnahmen zur Erfüllung der Anforderungen aus Artikel 32 der DSGVO.

Anfrage IT-Sachverständiger

Blog und News

Informationen rund um das Thema Datenschutz & Datensicherheit.

11/2022 Erfolgreiche Re-Zertifizierung als Business Continuity Manager (BCM)20221111173500

11/2022 Erfolgreiche Re-Zertifizierung als Business Continuity Manager (BCM)

11. November 2022Datenschutz
Im November 2022 war es mal wieder soweit und die Re-Zertifizierung meiner Perso...
Read more
08/2022 Erfolgreiche Re-Zertifizierung als Informationssicherheitsbeauftragter (ITSibe)20220906155500

08/2022 Erfolgreiche Re-Zertifizierung als Informationssicherheitsbeauftragter (ITSibe)

6. September 2022Datenschutz, Datensicherheit, TBCS interne News
Erfolgreiche Re-Zertifizierung zum Informationssicherheitsbeauftragten in Berlin...
Read more
Welchen Wert haben meine Daten und Informationen?20230112153755

Welchen Wert haben meine Daten und Informationen?

12. Januar 2023Datenschutz, Datensicherheit
Es ist unbestritten, dass Daten wertvolle Informationen liefern und damit einen ...
Read more
Awareness Teil 12:“Richtiges Verhalten im Schadens- oder Notfall“20221219050000

Awareness Teil 12:“Richtiges Verhalten im Schadens- oder Notfall“

19. Dezember 2022Awareness Kampagne "Schwachstelle Mensch", Datenschutz, Datensicherheit
Erst kürzlich berichtete das BSI über eine Sicherheitslücke im Exchange Mailserv...
Read more
Awareness Teil 3:“Makros – aktive Inhalte in Texten & Tabellen“20221213050000

Awareness Teil 3:“Makros – aktive Inhalte in Texten & Tabellen“

13. Dezember 2022Awareness Kampagne "Schwachstelle Mensch", Datenschutz, Datensicherheit
Wir arbeiten tägliche mit Texten, Tabellen und anderen Dateien. In vielen Word- ...
Read more
Security Awareness – Schwachstelle Mensch20221209115207

Security Awareness – Schwachstelle Mensch

9. Dezember 2022Awareness Kampagne "Schwachstelle Mensch", Datensicherheit
Viele Menschen denken: „Mit einem sicheren IT-System kann meinem Unternehmen nic...
Read more
Awareness Teil 8:“Persönliche Informationen in sozialen Netzwerken“20221208050000

Awareness Teil 8:“Persönliche Informationen in sozialen Netzwerken“

8. Dezember 2022Awareness Kampagne "Schwachstelle Mensch", Datenschutz, Datensicherheit
Schon beim aufstehen werden Fotos und Selfies bereitwillig mit tausenden Mensche...
Read more
Awareness Teil 7:“Gefährliche USB-Sticks“20221206050000

Awareness Teil 7:“Gefährliche USB-Sticks“

6. Dezember 2022Awareness Kampagne "Schwachstelle Mensch", Datenschutz, Datensicherheit
„Jeder hat mindestens einen, die meisten nutzen sie regelmäßig und selten ...
Read more
Awareness Teil 11:“Hintergründe – Passwortsicherheit“20221206042900

Awareness Teil 11:“Hintergründe – Passwortsicherheit“

6. Dezember 2022Awareness Kampagne "Schwachstelle Mensch", Datenschutz, Datensicherheit
Die Rechenkapazität moderner Smartphones reicht bereits aus um mehrstellige, wen...
Read more
Awareness Teil 2:“Gefährliche E-Mails mit Anhängen und Links“20221128233242

Awareness Teil 2:“Gefährliche E-Mails mit Anhängen und Links“

28. November 2022Awareness Kampagne "Schwachstelle Mensch", Datenschutz, Datensicherheit
Wir verarbeiten tägliche hunderte E-Mails und werden häufig durch manipulierte A...
Read more

RSS BSI Warn- und Informationsdienst (WID): Schwachstellen-Informationen (Security Advisories)

Kontakt

Das Büro befindet sich in Hannover Mitte in der Calenberger Neustadt.

Termine nach Vereinbarung.

Anfragen Agenturen für Projektmanagement

E-Mail: Projektmanagement@tbcs.it

Buchhaltung

E-Mail: Buchhaltung@tbcs.it

TerminvereinbarungÜber nachfolgenden Button können Sie ganz einfach einen Termin vereinbaren. Schauen Sie gerne nach Ihrem passenden Wunschtermin. Die Buchung erfolgt umgehend und Sie werden vorab erneut über den Termin informiert.Freie Termine

Der Experte für Ihre zeitkritischen Geschäftsprozesse

Der Business Continuity Manager

Business Continuity Management (BCM) bezeichnet zusammenfassend eine Managementmethode, die anhand eines Lebenszyklus-Modells die Fortführung der Geschäftstätigkeit unter Krisenbedingungen oder zumindest unvorhersehbar erschwerten Bedingungen absichert. Darunter fallen auch Angriffe auf die Informationssicherheit, denn die meisten unternehmenskritischen Prozesse sind digitalisiert oder beruhen auf automatisierten Prozessen. Gemeinsam mit meinem Team helfe ich Unternehmen dabei Strategien zu entwickeln, die Ihre Geschäftsprozesse schützen und somit ein Höchstmaß an Verfügbarkeit zu erreichen.

IT-Notfallplanung

Business Impact Analyse (BIA)

Schadensanalyse und Schadensklassen

Risikomanagement

Notfallvorsorge und Notfallbewältigung

Kontinuierliche Verbesserung des BCM

Geschäftsleitung

Management / Führungskreise

Leitung IT / Administratoren

IT-Sicherheitsbeauftragte / Chief Information Security Officer (CISO)

Chief Information Security Officer

Datenschutzbeauftragte

datenschutz goslar it-sicherheitsbeauftragter torben bues dsgvo rugby team

Projektmanagement

Handwerk kein Buzzword

Ein befreundeter PMM-Coach hat mir mal folgenden Satz gesagt:“ Wenn Du 20% von dem umsetzt, was Du in Deiner Ausbildung als Projektmanager gelernt hast, bekommen Deine Kunden 80% mehr Leistung, als Sie bisher von den meisten „Projektmanagern“ da draußen bekommen.“

Kontakt

Die goldenen PMM-Regeln

Ein Projekt kann wirklich leicht und einfach ausschauen und sich hinterher als absolutes Horrorszenario entwickeln. Woran liegt das? Warum verlaufen die meisten Projekte katastrophal, oder zumindest weit ab von dem, was geplant war?

Ich bin kein Projektmanagement-Guru, aber in meinen bisherigen Projektsituationen scheiterte es wenn, dann immer am selben Thema: Der Ehrlichkeit. Dies gilt für beide Seiten, den Projektmanager (PM) und den Auftraggeber (AG). Wer nicht von Anfang an bereit ist, klar und schonungslos über die Weakpoints eines Projektes zu sprechen, muss sich hinterher meist auf Diskussionen über Verzögerungen und höhere Kosten einstellen. Der AG muss daher in den erforderlichen Bereichen „die Hosen runterlassen“, nur dann kann ein Projekt gelingen.

Wichtig ist:

  • Ehrlichkeit in Bezug auf verfügbare Budgets
  • Ehrlichkeit in Bezug auf verfügbare Ressourcen
  • Konkrete und realistische Zielvereinbarungen

Ergibt sich später ein Diskussionsspielraum, ist die Zielvereinbarung suboptimal verhandelt.

 

 

Die drei festen Größen

Zeit

Man benötigt Zeit, um ein Projekt ordentlich zu planen und das vereinbarte Ziel zu erreichen. Ein wenig mehr Zeit in die Planungsphase zu investieren, zahlt sich in jedem Fall aus. Die ISO 69901 sieht in dieser Phase konkrete Pläne vor, zum Beispiel einen Projektstrukturplan, einen Termin- und Ressourcenplan und Dokumenten zum Umgang mit Risiken. Ein Faktor für ein erfolgreiches Projekt, ist der sorgfältige Umgang mit diesen Dokumenten.

Budget

Ohne Moos nix los. Leider werden die meisten Projekte ausschließlich über diesen Punkt geplant, was von Anfang an zu Schwierigkeiten führt, denn logischerweise haben Billigpreise Auswirkungen auf die Qualität. Legen Sie realistische Budgets fest und berücksichtigen Sie zusätzliche Umstände wie Cyberrisiken, Naturkatastrophen, Pandemien, Lieferengpässe und Planetenexplosionen in Ihrer Finanzplanung. Auch hier gilt es ehrlich zu bleiben.

Qualität

Haben Sie Ihre Qualitätsziele definiert und mit Ihren zeitlichen Wünschen und dem verfübaren Budgetrahmen abgeglichen? Falls ja, dann ist die Wahrscheinlichkeit hoch, nur wenige Überraschungen zu erleben. Sollten Sie keine Qualitätsziele definiert und nicht mit dem Budget und dem Zeitplan abgeglichen haben, steuern Sie Ihr Projekt in unruhige Zeiten.

Der Experte für Ihre IT-Sicherheit

Der IT-Sicherheitsbeauftragte

Die Hauptaufgabe eines IT-Sicherheitsbeauftragten (ITSiBe) bzw. Chief Information Security Officer (CISO) ist die Unterstützung der Unternehmensführung zur Erreichung eines angemessenen Informationssicherheitsniveaus. Dazu gehört die Koordination der Sicherheitsziele, die Aufarbeitung des Berichtswesens für die Unternehmensleitung sowie die stetige Kontrolle der Realisierung der Sicherheitsmaßnahmen durch das Erreichen der drei Schutzziele: Vertraulichkeit, Verfügbarkeit und Integrität.

Planung, Umsetzung und Kontrolle der IT-Compliance

IT-Sicherheitsgesetz, kritische Infrastrukturen (KRITIS)

ISMS-Zertifizierung, Auditvorbereitung

Nach ISO 27001 (Native) oder gem. BSI IT-Grundschutz

Sicherheitsstrategie / -ziele

Projektmanagement

Bankenaufsichtliche Anforderungen an die IT (BAIT)

Risikomanagement

Telekommunikationsprovider & Hoster

§109 Abs. 4 1.Satz Telekommunikationsgesetz (TKG)

Krankenhäuser, Energieversorger, Banken

Entwicklung und Koordination

Auditvorbereitung bis zur Zertifizierungsreife

Projektmanagement, Begleitung, Schulung

Geschäftsführung & Controlling

Entwicklung individueller Leitlinien und innovativer Workflows

(Privat-) Banken und Versicherer

IT-Risk Management nach BSI IT-Grundschutz und ISO 31000 / ONR 4900x,

Internet- und Telekommunikationsprovider

ISO 27001 und ISMS-Umsetzungen

Wenn Daten unser heutiges Öl sind, dann ist Datenschutz der neue Umweltschutz.

Jan-Philipp Albrecht

Kontakt

Mein Büro befindet sich in Hannover Mitte in der Calenberger Neustadt.

Termine nach Vereinbarung.

Anfragen Agenturen für Projektmanagement

E-Mail: Projektmanagement@tbcs.it

Buchhaltung

E-Mail: Buchhaltung@tbcs.it

TerminvereinbarungÜber nachfolgenden Button können Sie ganz einfach mit uns einen Termin vereinbaren. Schauen Sie gerne nach Ihrem passenden Wunschtermin. Die Buchung erfolgt umgehend und Sie werden vorab über den Termin informiert.Freie Termine

Externer Datenschutz mit
TÜV-zertifizierter Expertise

Analysen und Methoden mit Hilfe des BSI IT-Grundschutz

Um die ersten Anforderungen der DSGVO umzusetzen, bedarf es einer sorgfältigen Planung und der nach Art. 32 DSGVO geforderten „Verhältnismäßigkeit“ in der Umsetzung der technischen und organisatorischen Maßnahmen.

Häufig können bereits mit einfachsten Mitteln erste wichtige Schritte umgesetzt werden, darunter die Identifikation der Auftragsdatenverarbeiter und die Dokumentation der Verfahren, mit denen Sie personenbezogene Daten erheben, verarbeiten und ggf. weitergeben. Die Dokumentation dieser Schritte kann die Basis für ein Informationssicherheits-Managament (ISMS) werden.

Eine IT-Strukturanalyse schafft mehr Klarheit, identifiziert die Schutzbedarfe Ihrer Organisation in Bezug auf die infrastrukturellen Anforderungen (Zutritt, Zugang, Zugriff) und schafft somit die Basis zur Erfüllung der Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität.

Zum Buchungsformular
datenschutz goslar it-sicherheitsbeauftragter torben bues dsgvo sicherheit
Befragung & Prüfung

In der Prüfungsphase werden die konkreten Anforderungen an Ihre Organisation aufgenommen. Interviews mit relevanten Personen helfen dabei, die Kernprozesse zu identifizieren. Zudem ergeben sich folgende Fragestellungen:

Planung & Umsetzung

Gemeinsam mit den Verantwortlichen Ihrer Organisation übernehmen wir zuverlässig die Planung und Umsetzung der entsprechenden Maßnahmen wie:

Betreuung & Entwicklung

Die anschließende Betreuung und Entwicklung eines Datenschutz-Reifegrads wird durch mich und mein Team in regelmäßigen Abständen geprüft und beinhaltet diese Schritte:

  • Welche Anforderungen stellt die DSGVO an meine Organisation?
  • Welchen Datenschutzreifegrad hat meine Organisation aktuell?
  • Welche konkreten Maßnahmen zur Umsetzung entstehen daraus?
  • Planung der technischen und organisatorischen Maßnahmen
  • Umsetzung der Maßnahmen im Betrieb
  • Prüfung und Überwachung der Prozesse
  • Aufrechterhaltung und Verbesserung der Abläufe
  • Überwachung der Maßnahmen
  • Aufrechterhaltung und Verbesserung
  • Schulung der Mitarbeiter
  • Führen von Quartalsgesprächen mit der Geschäftsleitung

Externer Datenschutz oder Koordination Ihres Datenschutzes?

Sie entscheiden welche Rolle wir übernehmen sollen

Lassen Sie uns gemeinsam darüber nachdenken, welche Rolle wir für Sie übernehmen sollen und was die strategisch beste Option für Ihr Unternehmen ist.

Gerne beraten wir Sie auch in speziellen Themengebieten wie:

  • Datenschutz-Management
  • Microsoft 365 Services
  • Technische und organisatorische Maßnahmen
  • Auftragsverarbeitung und Auditierung Ihrer Auftragsverarbeiter
Jetzt Termin vereinbaren!

Basis Leistungen:

Die folgenden Leistungen erhalten Sie durch unsere Beauftragung als externen Datenschutzbeauftragten.

  • Professionelle Bestandsaufnahme durch ein TÜV Nord geprüften Datenschutzbeauftragten
  • Übernahme der Aufgaben aus Art.39 DSGVO (Haftung, Vorabprüfung, Unterweisungen, etc.)
  • Vertretung bei Datenschutzbelangen intern und extern
  • Vertretung der Datenschutzbelange des Auftraggebers
  • Vertretung bei Kontrollen durch die Datenschutzaufsichtsbehörde
  • Unterweisung von Mitarbeitern, die personenbezogene Daten verarbeiten durch Präsenzschulungen und weitere geeignete Maßnahmen
  • Prüfung des Verzeichnisses der Verarbeitungstätigkeiten gem. Art 30 DSGVO
  • Unterstützung bei Datenschutzfolgen-Abschätzungen gemäß Art.35/36 DSGVO sofern notwendig
  • Prüfung der Zulässigkeit der Verarbeitung personenbezogener Daten (Erhebung, Speicherung, Übermittlung, Sperrung, Löschung)
  • Prüfung der Benachrichtigungspflichten gegenüber Betroffenen
  • Kontakte zu Behörden und Verbänden zur Klärung datenschutzrechtlicher Problemstellungen mit Einverständnis des Auftraggebers
  • Umfassende Dokumentensammlung inklusive aller relevanten Verträge und Vereinbarungen

Informationsmanagement:

Informationsvermittlung an den Auftraggeber z.B. über Gesetzesnovellen, EU-Richtlinien, Persönlichkeitsrecht und Rechtsprechung zu datenschutzrechtlich relevanten Themen.

Datensicherheit:

Der Auftraggeber kann den Auftragnehmer auch zu Fragen der allgemeinen Daten- und IT-Sicherheit in Anspruch nehmen. Das betrifft insbesondere die Gestaltung der innerbetrieblichen Organisation im Sinne des Art.32 DSGVO, um den besonderen Anforderungen des Datenschutzes gerecht zu werden, z.B.

  • Zugriffskontrolle
  • Zutrittskontrolle
  • Zugangskontrolle
  • Weitergabekontrolle
  • Eingabekontrolle
  • Verfügbarkeitskontrolle

 

Erste Schritte:

  • Erstaufnahme Datenschutzkonzept
  • Erstellung und Pflege des Verzeichnisses der Verfahren
  • Datenschutz-Dokumentation inkl. Abbildung technisch-organisatorischer Maßnahmen

Korrespondierende Themengebiete:

  • Beratung in der Informationssicherheit mit Hilfe der ISO/IEC 27001 und dem BSI IT-Grundschutz
  • Beratung im Bereich internationale IT-Compliance (ISO, SOX, TISAX)
  • Business Continuity und IT-Governance

Obwohl die Rolle eines Datenschutz-Koordinators nicht den Datenschutzbeauftragten ersetzt, so erlangt sie mehr und mehr Popularität, wenn es um die Verteilung von internen und externen Kompetenzen im Datenschutz-Team geht. Häufig verfügen bereits bestellte (interne) Datenschutzbeauftragte nicht über die vollen Kompetenzen aus technischer, organisatorischer, strategischer und rechtlicher Sicht. Sie verfügen jedoch über Expertenwissen über die internen Prozesse des Unternehmens. In diesem Fall ist der Einsatz eines Datenschutz-Koordinators ggf. sinnvoll. Er kann das Datenschutz-Projekt führen und gezielt Konzepte zur Umsetzung entwickeln.

Diese Themen können in der Koordination des Datenschutzes für Sie relevant sein:

  • Unterstützung bei der Organisation technischer und organisatorischer Maßnahmen
  • Überwachung und Organisation der Schulungsmaßnahmen
  • Organisation der Kommunikation zwischen internem Datenschutz und externem IT-Dienstleister
  • Organisation der Kommunikation zwischen externem Datenschutz und der internen IT-Abteilung

Datenschutzrechtliche Bestandsaufnahme

Ziel einer datenschutzrechtlichen Bestandsaufnahme ist es, einen möglichst aktuellen Überblick über den Datenschutzreifegrad der Organisation zu erhalten und eine Risikoeinschätzung vorzunehmen. Dabei geht es auch um die Umsetzungsqualität und Wirksamkeit bereits umgesetzter Maßnahmen, aus vergangenen Prüfungen und Audits.

Sollten Sie bisher noch keine qualifizierte Aufnahme Ihres Datenschutzreifegrads umgesetzt haben, sollten Sie dies aus den folgenden Gründen unverzüglich nachholen:

  1. Sie kennen Ihr aktuelles Verarbeitungsrisiko nicht
  2. Sie haben ggf. keinen oder eingeschränkten Versicherungsschutz
  3. Sie setzen sich ggf. dem Risiko erheblicher Bußgeldzahlungen aus

Bestehende Dokumente und Unterlagen prüfen

Gerade wenn die Stelle des Datenschutzbeauftragten bereits vergeben war, können ggf. bereits bestehende Materialien eine wertvolle Unterstützung für die Bewertung des Ist-Zustands sein. Eine Sichtung des Materials kann auch eine spätere „Doppelarbeit“ vermeiden und somit kostbare Zeit sparen.

Die folgenden Fragen können helfen, bestehende Dokumente schneller zu identifizieren:

  • Existiert bereits ein Verzeichnis der Verarbeitungstätigkeiten
  • Wurden alle relevanten Verfahren identifiziert?
  • Existiert eine Übersicht der Auftragsdatenverarbeiter?
  • Welche technischen und organisatorischen Maßnahmen wurden bereits getroffen?
  • Wurden die Mitarbeiter sensibilisiert?

Prüfung der Basis-TOMs und Interviews mit den Fachabteilungen

Die Dauer einer Prüfung hängt von der Größe der Organisation ab, liegt aber im Durchschnitt bei ca.3 Tagen. In dieser Zeit prüfe ich Ihr Unternehmen unter Zuhilfenahme der BSI IT-Grundschutzmaßnahmen und den Empfehlungen der jeweiligen Landesdatenschutzbehörde in den folgenden Bereichen:

– Technisch und organisatorische Maßnahmen gem. Art.32 DSGVO
– Auftragsdatenverarbeitung gem. Art.28 DSGVO
– Verfahren zur Verarbeitung pb Daten gem. Art.30 DSGVO
– Übermittlung pb Daten gem. Art.44 DSGVO

Zudem führe ich Interviews und dokumentiere jedes Gespräch mit den Verantwortlichen der wichtigsten Abteilungen, darunter:

  • Personalwesen
  • Betriebsrat
  • IT
  • Marketing

Auswertung und Einschätzung

Die Ergebnisse des Audits werden in einer individuellen Präsentation gemeinsam mit den Verantwortlichen besprochen und die fünf wichtigsten Handlungsempfehlungen geplant.

Die wichtigsten Handlungsempfehlungen beziehen sich auf die Gewährleistung der Schutzziele:

  • Verfügbarkeit
  • Vertraulichkeit
  • Integrität
  • Revisionsfähigkeit
  • Transparenz

Die Ergebnisse, sowie eine Übersicht der Handlungsempfehlungen erhalten Sie in einer umfangreichen Dokumentation in digitaler oder ausgedruckter Form.

Inhalte sind zur Zeit in Überarbeitung.

Zutrittskontrolle

90%

Zugangskontrolle

80%

Zugriffskontrolle

70%

Weitergabekontrolle

35%

EIngabekontrolle

66%

Auftragskontrolle

80%

Verfügbarkeitskontrolle

25%

Trennungsgebot

15%

Vertraulichkeitsprüfung

56%

M365-Services

0%

Verschlüsselung

0%

Pseudonymisierung

0%

Ransomware

0%

Awarenessprüfung

0%

Regelungen und Richtlinien

0%

Wiederherstellbarkeit

0%

Benutzerkontrolle

0%

Datenintegrität

0%

Übertragungskontrolle

0%

Der Experte für IT-Risikomanagement

Der IT Risk Manager

IT-Risk Manager unterstützen die rechtskonforme Umsetzung geeigneter Maßnahmen im Bereich der Informationssicherheit, um die Bedrohungen für den IT-Betrieb erkennen und lenken zu können.

Als dritte Einwirkgröße neben Compliance und Governance schafft das Riskmanagement mittels KPI’s (Key Performance Indicator)  wichtige Kennzahlen zur Bewertung von Risiken und organisiert notwendige Maßnahmen zur Sicherstellung der Schutzziele Verfügbarkeit, Vertraulichkeit, Authentizität und Integrität. Die ganzheitliche Betrachtung der eigenen Risikosituation ist ein wichtiger Bestandteil der Umsetzung eines IT-Risikomanagements.

Aufbau, Aufrechterhaltung und Umsetzung eines Risikomanagementsystems (RMS)

Softwaregestützte Organisation Ihres Risikomanagements
Auswertung und Analysen

Unterstützende Managementsysteme

Informationssicherheitsmanagementsystem (ISMS) und Business Continuity Management System (BCMS)

Risikostrategie

Reduzierung, Vermeidung, Übernahme oder Transfer?

Business Impact Analyse

Analyse besonders zeitkritischer Schadensvorfälle

Risiko-Analyse, -Identifikation, -Abschätzung, -Bewertung und -Bewältigung

Der Risikomanagementprozess

Organisationen mit zeitkritischen Geschäftsprozessen

Kritische Infrastrukturen (KRITIS)

Banken und Versicherungen

Öffentliche Einrichtungen

Produktionsbetriebe für die Lebensmittelwirtschaft

Rüstung und Militär

Telekommunikationsprovider und Rechenzentren

IT-Grundschutz - der Wegweiser für Ihre Informationssicherheit!

Für Unternehmen und Behörden ist es heutzutage unerlässlich, dass Informationen korrekt vorliegen und vertraulich behandelt werden. Entsprechend wichtig ist auch, dass die technischen Systeme, auf denen Informationen gespeichert, verarbeitet oder übertragen werden, reibungslos funktionieren und wirksam gegen vielfältige, immer wieder neuartige Gefährdungen geschützt sind.

datenschutz goslar it-sicherheitsbeauftragter torben bues dsgvo email

Wüssten Sie gerne, ob die bei Ihnen umgesetzten Maßnahmen für Informations-sicherheit ausreichen, um schwere Schäden zu verhindern und auf Sicherheits-vorfälle angemessen reagieren zu können?
Benötigen Sie Hilfe bei der Entwicklung eines Sicherheitskonzepts?
Suchen Sie Unterstützung für die systematische Überprüfung der in Ihrem Zuständigkeitsbereich vorhandenen oder geplanten Sicherheitsmaßnahmen?
Möchten Sie, dass diese Maßnahmen allgemein anerkannten Standards genügen?

Wenn Sie eine dieser Fragen mit „Ja“ beantworten, dann sollten Sie sich mit dem IT-Grundschutz beschäftigen. Dort wird detailliert beschrieben, welche Anforderungen erfüllt sein müssen, um kostengünstig ein für übliche Einsatzbereiche und Schutzanforderungen angemessenes und bei höherem Schutzbedarf leicht ausbaufähiges Sicherheitsniveau zu erlangen. Er bietet zudem eine weithin anerkannte Methodik, mit der Sie auf effiziente Weise ein zu den Gegebenheiten Ihrer Einrichtung passendes Sicherheitskonzept entwickeln und überprüfen können.

Der IT-Grundschutz des BSI bietet eine gute Grundlage dafür, nachfolgende Herausforderungen auf professionelle Weise gerecht zu werden und die Bemühungen für Informationssicherheit zu strukturieren. Er ermöglicht es Unternehmen und Behörden, systematisch nach Schwachstellen zu suchen, die Angemessenheit umgesetzter Schutzmaßnahmen zu prüfen und Sicherheitskonzepte zu entwickeln und fortzuschreiben, die zu den Geschäftsprozessen, Fachaufgaben und Organisationsstrukturen der Institution passen und allgemein anerkannten Standards genügen.

Komplexität der Gefährdungslage:

Gefährdungen können unterschiedlichste Ursachen haben und auf mannigfaltigen Wegen die Ziele der Informationssicherheit verletzen. Angriffe von Hackern, Fahrlässigkeiten oder technische Mängel sind ebenso im Blick zu behalten wie Naturkatastrophen und andere Formen höherer Gewalt.

Ganzheitlichkeit der Sicherheitskonzepte:

Informationssicherheit erfordert Maßnahmen auf mehreren Ebenen: Betroffen sind nicht nur die IT-Systeme, sondern auch die Organisation, das Personal, die räumliche Infrastruktur, die Arbeitsplätze und die betrieblichen Abläufe.

Zusammenwirken der Sicherheitsmaßnahmen:

Damit die eingesetzten Sicherheitsmaßnahmen die komplexe Gefährdungslage hinreichend in den Griff bekommen können, müssen die organisatorischen, technischen und infrastrukturellen Schutzvorkehrungen zu der jeweiligen Institution passen, an der tatsächlich bestehenden Gefährdungslage ausgerichtet sein, sinnvoll zusammenwirken und von der Leitung und den Beschäftigten unterstützt und beherrscht werden.

Angemessenheit der Sicherheitsmaßnahmen:

Es ist auch auf die Wirtschaftlichkeit und Angemessenheit der Sicherheitsmaßnahmen zu achten. Den bestehenden Gefährdungen muss zwar wirkungsvoll begegnet werden, die eingesetzten Maßnahmen sollten aber an dem tatsächlich bestehenden Schutzbedarf ausgerichtet sein und dürfen eine Institution nicht überfordern. Unangemessen kostspielige Maßnahmen sind zu vermeiden, ebenso solche Vorkehrungen, durch die wichtige Abläufe einer Institution über Gebühr behindert werden.

Erfüllung externer Anforderungen:

Es wird heutzutage für viele Unternehmen und Behörden immer wichtiger, nachweisen zu können, dass sie in ausreichendem Maße für Informationssicherheit gesorgt haben. Dieser Nachweis fällt leichter, wenn eine Institution ihre Vorkehrungen für Informationssicherheit an allgemein anerkannten Standards ausrichtet.

Nachhaltigkeit der Sicherheitsmaßnahmen:

Und nicht zuletzt gilt: Sicherheit ist kein einmal erreichter und fortan andauernder Zustand. Unternehmen und Behörden ändern sich und damit auch die in ihnen schützenswerten Informationen, Prozesse und Güter. Neuartige Schwachstellen und Bedrohungen machen es in gleicher Weise erforderlich, die vorhandenen Sicherheitskonzepte zu überprüfen und weiterzuentwickeln.

Das Angebot des BSI zum IT-Grundschutz besteht aus einer Reihe von Einzelkomponenten. Der Kern besteht aus

• die BSI-Standards zum IT-Grundschutz mit Empfehlungen für den organisatorischen Rahmen und das methodische Vorgehen zur Gewährleistung von Informationssicherheit sowie

• dem IT-Grundschutz-Kompendium, mit dem die in den BSI-Standards formulierten allgemeinen Empfehlungen zum Management von Informationssicherheit konkretisiert und umgesetzt werden können.

In diesem Kurs werden Sie diese Veröffentlichungen genauer kennenlernen und erfahren, welche Hilfestellungen sie Ihnen bei der Steuerung der Informationssicherheit in Ihrer Institution im Einzelnen geben. Nachfolgend einige grundlegende Informationen zur Einordnung dieser und weiterer Dokumente und Hilfsmittel zum IT-Grundschutz.

BSI-Standard 200-1: Managementsysteme für Informationssicherheit (ISMS)

beschreibt, welche grundlegenden Anforderungen ein Managementsystem für Informationssicherheit erfüllen muss, welche Komponenten es enthält und welche Aufgaben zu bewältigen sind. Die Darstellung orientiert sich an den Vorgaben der Norm ISO 27001 und weiterer aktueller internationaler Standards zur Informationssicherheit.

BSI-Standard 200-2: IT-Grundschutz-Methodik

bietet methodische Hilfestellungen zur schrittweisen Einführung eines ISMS in einer Institution an und beschreibt effiziente Verfahren, um die allgemeinen Anforderungen des BSI-Standards 200-1 und der zugrunde liegenden Norm ISO/IEC 27001 zu konkretisieren.

BSI-Standard 200-3: Riskoanalyse auf der Basis von IT-Grundschutz

beschreibt gegenüber anderen Methoden ein vereinfachtes Verfahren zur Risikoanalyse. Diese Methode ist dann wichtig und hilfreich, wenn Komponenten abzusichern sind, bei denen fraglich ist, ob die Erfüllung von Basis- und Standard-Anforderungen für eine ausreichende Sicherheit genügt.

Das IT-Grundschutz-Kompendium ist ein modular aufgebautes umfangreiches Arbeitsinstrument und Nachschlagewerk zur Informationssicherheit. Es besteht aus den IT-Grundschutz-Bausteinen, die in zehn thematische Schichten eingeordnet sind und jeweils unterschiedliche Aspekte betrachten.

Jeder Baustein beginnt mit einer kurzen Einleitung, gefolgt von der Zielsetzung und Abgrenzung des betrachteten Gegenstands zu anderen Bausteinen mit thematischem Bezug. Im Anschluss daran wird pauschal die spezifische Gefährdungslage beschrieben. Danach folgen Sicherheitsanforderungen, die für den betrachteten Gegenstand relevant sind.

Der große Vorteil, den Sie als Anwender des IT-Grundschutz-Kompendiums haben: Sie müssen für die in den Bausteinen beschriebenen Sachverhalte bei normalem Schutzbedarf in der Regel keine aufwändigen Risikoanalysen mehr durchführen. Diese Arbeit wurde von erfahrenen Sicherheitsexperten vorab vorgenommen und ist in die Formulierung der Sicherheitsanforderungen eingeflossen.

Die Anforderungen in den Bausteinen beschreiben, was für eine angemessene Sicherheit getan werden sollte. Wie dies erfolgen kann oder sollte, ist in ergänzenden Umsetzungshinweisen beschrieben, die das BSI für die meisten Bausteine veröffentlicht.

RSS Unbekannter Feed

Der Experte für IT-Sicherheit gemäß BSI IT-Grundschutz

Der BSI IT-Grundschutz Experte

Vollkommen kostenlos stehen Organisationen jeder Größenordnung die Inhalte des BSI IT-Grundschutz zur Verfügung und bieten eine interessante Alternative zu einer ISO27001 Zertifizierung. IT-Grundschutz kann die Basis für Informationssicherheit in Ihrem Unternehmen sein. Der vom BSI entwickelte IT-Grundschutz hilft dabei, durch ein systematisches Vorgehen, notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Die BSI-Standards liefern hierzu bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium konkrete Anforderungen.
(Text zum Teil vom BSI übernommen)

BSI-Standard 200-1

Allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)

BSI-Standard 200-2

BSI-Methodik zum Aufbau eines soliden Informationssicherheitsmanagements (ISMS)

BSI-Standard 200-3

Alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes

BSI Basis-Absicherung

Implementierung eines kompletten Sicherheitsprozesses

BSI Kern-Absicherung

Schutz besonders sensibler Daten und Prozesse

Prozessbausteine

Z.B. Organisation und Personal, Detektion und Reaktion

Systembausteine

Z.B. Anwendungen, Infrastruktur, IT-Systeme

Grundschutz Kompendium

Elementare Gefährdungen, Bausteine, Umsetzungshinweise

Elementare Gefährdungen

Bisher 47 Gefährdungslagen von Anschlag bis Zerstörung von Geräten

Umsetzungshinweise

Z.B. zur Sensibilisierung und Schulung des Personals ORP.3

Modellierung

Entwicklung eigener Anforderungen auf Basis bestehender Bausteine

Kontakt

Mein Büro befindet sich in der Calenberger Neustadt.

Termine nach Vereinbarung.

Anfragen Agenturen für Projektmanagement

E-Mail: Projektmanagement@tbcs.it

Buchhaltung

E-Mail: Buchhaltung@tbcs.it

TerminvereinbarungÜber nachfolgenden Button können Sie ganz einfach mit uns einen Termin vereinbaren. Schauen Sie gerne nach Ihrem passenden Wunschtermin. Die Buchung erfolgt umgehend und Sie werden vorab erneut über den Termin informiert.Freie Termine