Post on 02-Nov-2019
im-ps.de
„ISO 27001 & DS-GVO in Projekten“Aspekte der Informationssicherheit und des Datenschutzes im Projektmanagement
- Stefanie Eilhardt -
2 im-ps.de
Stefanie Eilhardt
Diplom-Informationswirtin - Seit 1997 inder Informationswirtschaft tätig
PRINCE2-zertifizierte Projektmanagerin /Aufgaben und Rollen im Bereich deszumeist IT-nahen Projektmanagement
Trainerin für die TÜV SÜD Akademie imBereich Information ManagementSecurity Systeme (ISMS) nach ISO/IEC27001
Mitglied des Vorstands des Best PracticeUser Group Deutschland e.V. (BPUG)
www.im-ps.de
Stefanie Eilhardt
Dipl. Inf.-Wirtin & Projektberaterin
Fachfrau für das Information Management
PRINCE2 PractitionerISO/IEC 27001 TrainerISO/IEC 27001 Auditor ISMS ISO/IEC 27001 Information Security Officer
st.eilhardt@im-ps.de
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
3 im-ps.de
Agenda
1. Projekte: Informationssicherheit und Datenschutz– Abgrenzung
– Sicherheitsvorfälle in Projekten
– Auswirkungen von Sicherheitsvorfällen
2. IS & DS im Projektlebenszyklus -Fallbeispiele zur Integration
3. Integration Managementsysteme
4. Projektmanagementrollen und –Verantwortlichkeiten & Die Rolle des PMO
5. Fazit
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
4 im-ps.de
1.1 Projekte & Informationssicherheit
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
• ISO 27001 baut eine Brücke zum Projektmanagement
• Anforderung: DIN ISO/IEC 27001:2015-03 Anhang A
• A.6.1.5: Sicherheit von Informationen im Projektmanagement
• Im Projektmanagement wird die Sicherheit von Informationen berücksichtigt
• Unabhängig von Art oder Branche des Projekts
• Geistiges Eigentum
– Schutzrechte wie Patente, technische Verfahren, Marken oder Gebrauchsmuster
– Software-Entwicklungen und Lizenzen
– Unternehmens-Know-how, Betriebs- und Geschäftsgeheimnisse
• Informationsträger
– Datenbanken, Speichermedien, IT
5 im-ps.de
1.2 Sicherheitsaspekte - ISO 27001
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
6 im-ps.de
1.3 Aspekte des Datenschutz
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
• am 25. Mai 2016 in Kraft getreten• ab dem 25. Mai 2018 wird auf Einhaltung geprüft
(Datenschutzaufsichtsbehörden)• Es drohen Bußgelder, sowie ein Reputationsverlust
• „Daten Anderer“
• Namen
• Geburtsdaten
• Adressdaten
• Nutzerverhalten
• Vorlieben
• …
7 im-ps.de
1.4 Aspekte des Datenschutz
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
Art der Daten Beispiele
Mitarbeiterdaten • Lebensläufe
Data-Science-Projekte mit Maschinendaten
• Projekte mit nicht-anonymisierten Personendaten für Verfahren zur Analyse und Prognose
• „Big Data“, „Data Intelligence“, „Data Mining“ oder „Profiling“
Softwareprojekte • Pflicht zur Anonymisierung von Daten bei der Verwendung für Testzwecke
Projekte verwenden personenbezogene Daten
8 im-ps.de
1.5 Sicherheitsvorfälle in Projekten
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
http://winfuture.de/news,95715.html, Abruf 23.12.2017
9 im-ps.de
1.6 Sicherheitsvorfälle in Projekten
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
http://www.gulli.com/news/28144-schriftrollen-von-qumran-viele-dokumente-offenbar-gestohlen-2017-02-10#
10 im-ps.de
1.7 Sicherheitsvorfälle in Projekten
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
https://boerse.ard.de/marktberichte/dax-mieses-timing100.html
11 im-ps.de
1.8 Motivation der „Täter“
• Industrie- und Wirtschaftsspionage• Produktpiraterie• Korruption• Mangelnde Sorgfaltspflicht• Unwissenheit• Kurze Produkt- und Projektzyklen• Einsparungen bei Sach- und Personalmitteln• Unzufriedene Mitarbeiter• Experimentierfreudige Mitarbeiter• Projektgäste mit anderem
Sicherheitsstandard
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
12 im-ps.de
1.9 Projektinformationen
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
13 im-ps.de
1.10 Auswirkungen von Vorfällen
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
Vor-fälle
Doppel-arbeit & Zusatz-kosten Wiederbe
schaffungsaufwand
Ineffzt. Ressourceneinsatz
Termin-verschie-bungen
Planungs-verzugVerlust
Wettbe-werbsvor-
sprung
Reputationsschaden
Beendig. Geschäfts-beziehung
Vertrags-verletzung
Schaden-ersatzfor-derungen
Informationssicherheits-und Datenschutz-verletzungen in Projekten können schwere Folgen für ein Projekt, das Unternehmen und die angeschlossenen Dienstleister und Kunden haben.
14 im-ps.de
2.1 IS & DS im Projektlebenszyklus I
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
Vorbereiten eines Projekts
• Aktivitäten die vor dem Beginn des Projekts durchzuführen sind
• Mitarbeiterauswahl: Sicherheitsüberprüfung
• Verträge müssen die IS-Anforderungen berücksichtigen
• Erfahrungen im Umgang mit IS&DS für den Lösungsansatz & Planung berücksichtigen
• Mandat und Business Case: IS&DS als Projektziel oder implizit (über das PMS)
• Projektbeschreibung: Toleranzen für IS
Lenken eines Projekts
• Leit- und Richtlinien der Informationssicherheit
• Freigabe von Ressourcen für IS&DS
• Freigabe von BC & Plänen unter Berücksichtigung der Anforderungen an IS&DS
• Berichte an LA beinhalten Status IS & DS
• Vermittelt bei Problemen mit IS & DS bzgl. Lieferanten
Initiieren eines Projekts
• Entscheidung über Start des Projekts, Freigabe Plan & Business Case
• Niveau der Informationssicherheit bestimmen
• Projektplan: Skalierung für das ISMS im Projekt
• Genehmigung Sonderregelungen für IS & DS
• Risikoregister für IS & DS-Risiken
• Kommunikationsplan: Wer darf welche Informationen einsehen?
• Mitarbeiterauswahl: Sicherheitsüberprüfung
15 im-ps.de
2.2 IS & DS im Projektlebenszyklus II
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
Steuern einer Phase
• Tägliche Arbeit eines Projektmanagers
• Erfassen und Prüfen offener Punkte / Risiken zu IS & DS
• Toleranzen: Prüfen & Korrekturmaßnahmen
• Freigabe und Prüfen von Arbeitspaketen bzgl. IS & DS
• Erstellen von Statusberichten auch bzgl. IS & DS
Managen der Produktlieferung
• Verträge enthalten IS-Anforderungen
• Arbeitspakete enthalten IS-Anforderungen
• Eignung von Dienstleistern prüfen (z.B. durch eine ISO 27001-Zertifizierung)
• Prüfen von Arbeitspaketen bzgl. Einhaltung IS & DS
Managen des Phasenübergangs
• Einhaltung des Business Case prüfen
• Phasenabschlussberichte: Einhaltung IS & DS
• Pläne prüfen und anpassen
• IS-Vorfälle, IS-Verfahren neue IS-Anforder-ungen?
• Business Case aktualisieren
• Projektsteuerungsmittel anpassen
• Nächste Phase planen
Abschließen eines Projektes
• Gesteuerter Projektabschluss
• Unter Berücksichtigung der IS & DS-Anforderungen
• Projektendprodukt auf IS & DS prüfen
• Rückgabe Informations-werte (Laptops, Akten)
• Rechte entziehen (Ausweise, Accounts)
• Löschen/“Rück-gabe“ von Daten
16 im-ps.de
3.1 Managementsysteme
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
Konfig. Mgmt.
Organisation
Risiko
Organisation
Risiko
Qualität
Änderungs-mgmt.
Risiko
Qualität
Änderungsmgmt.
Financial Mgmt.
Project Mgmt.
Qualität
Financial Mgmt.
Project Mgmt.
Risiko
Konfig. Mgmt.
Organisation
Isolierte Managementsysteme Integrierte Managementsysteme
17 im-ps.de
3.2 Integration Managementsysteme
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
18 im-ps.de
4.1 Rollen & Verantwortlichkeiten
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
PMO
PMSEinrich-
tung
Betrieb
Schnittstellen
Strate-gien
Lösungen
Beschaffung
Bera-tung
Projekt-lauf-werk
Analyse
Audit
Schu-lung „Security by Default“
• Grundstein wird im PMS gelegt
• PMO verantwortet Integration, Betrieb, Verbesserung des PMS unter Berücksichtigung der Anforderungen aus ISMS & DSMS
19 im-ps.de
4.2 Rollen & Verantwortlichkeiten
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
Lenkungsausschuss
• Verbindung zur Geschäftsführung
• Kommunikation der IS&DS-Politik und –Ziele
• Gibt Projektmanagement-System vor
• Informiert über Kritikalitätsstufe des Projekts
• Definiert akzept. IS&DS-Risikoniveau
• Security- / Datenschutz-Manager-Rolle ist im LA vertreten
Projektmanager
• berücksichtigt Vorgaben zum IS im Projekt
• Definition der Kundenanforderungen
• Erkennt und behandelt IS & DS -Risiken
• Informiert das Projektteam
Teammanager
• berücksichtigt IS&DS bei der Erstellung der Produkte
• Informiert sein Team
• Stellt Vertraulichkeit sicher
• Kommuniziert Abweichungen
• Identifiziert Risiken & Maßnahmen
Projektsicherung
• Überprüfung der Einhaltung von IS-Anforderungen
• Stellt Nachbesserungsbedarf fest
• Projektmanagementaudits
• beurteilt die Angemessenheit und Umsetzung von Maßnahmen
20 im-ps.de
4.3 Rollen & Verantwortlichkeiten
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
Security Manager
• Unabhängig vom Projekt
• Sicherheitsanforderungen definieren
• Über Risiken informieren
• Freigabe von Bedrohungsanalysen
• Neue Erkenntnisse zu Schwachstellen, Bedrohungen und Lösungen berichten
• Review von Projektkonzepten im Hinblick auf IS-Anforderungen
• Beratung des Projekts
• Abstimmung und Interessensausgleich zwischen Datenschutz und IT-Sicherheit
Datenschutzbeauftragter
• Unabhängig vom Projekt
• Datenschutzanforderungen definieren
• Über Risiken informieren
• Freigabe von Bedrohungsanalysen
• Neue Erkenntnisse zu Schwachstellen, Bedrohungen und Lösungen berichten
• Review von Projektkonzepten im Hinblick auf DS-Anforderungen
• Beratung des Projekts
• Abstimmung und Interessensausgleich zwischen Datenschutz und IT-Sicherheit
Technische Architekten / Hersteller
• Berücksichtigt Sicherheits- und DS-Anforderungen
• Sicherheitsarchitektur definieren
• Technische Bedrohungsanalyse
21 im-ps.de
5. Fazit: Integrieren Sie IS & DS in Ihr Projektmanagementsystem!
1. Kennen Sie Ihren Wert!
2. Ein Projekt ist so sicher, wie Sie es machen!
3. Schaffen Sie eine solide Basis!
4. Skalieren Sie!
5. Keiner ist allein!
6. Seien Sie konsequent!
7. Profitieren Sie von Ihren bestehenden Managementsystemen!
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
22 im-ps.de
Literaturhinweis
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.
Ankündigung
„Informationssicherheit im Projekt nach ISO 27001 am Beispiel PRINCE2©“von Stefanie Eilhardt
Ausgabe 8 oder 9 (18.4. oder 2.5.)www.projektmagazin.de
23 im-ps.de
Danke schön!
ISO 27001 & DS-GVO in Projekten. Stefanie Eilhardt © im&ps - Ihr Projektpartner im Information Management.