Veröffentlichungen aus den Fachgruppen

2017

Positionspapier zum Cyber-Sicherheits-Check in industriellen Anlagen

Das von der Fachgruppe Cyber Security veröffentlichte Positionspaper "Cyber-Sicherheits-Check in industriellen Anlagen" beschreibt das Vorgehensmodell und den Stand der Entwicklung des Leitfadens "Cyber-Sicherheits-Check in industriellen Anlagen" (CSC ICS), der zukünftig dazu beitragen soll, die Lücke bei der Betrachtung von Sicherheitsrisiken zwischen der Operational Technology (OT) in Produktionsumgebungen und der klassischen Informationstechnik (IT) zu schließen.

2016

Leitfaden zu Grundlagen der IT-Revision

Der Leitfaden zu Grundlagen der IT-Revision für den Einstieg in die Praxis der Fachgruppe IT-Revision ist ein Wegweiser für Einsteiger in die IT-Revision und schließt damit eine Lücke im deutschsprachigen Raum. Der Leitfaden bietet einen praxisnahen und kompakten Überblick sowohl über die Begriffe und Definitionen der IT-Revision als auch über den IT-Revisionsprozess mit seinen Teilschritten und Werkzeugen. Beispiele aus der Praxis sollen das Dargestellte verdeutlichen und Anleitungen sowie Templates bei Prüfungen unterstützen. Ergänzt wird der Text durch Handlungsempfehlungen und Hinweise auf weiterführende Informationen und Literatur von der ISACA und anderen Verbänden und Organisationen.

Leitfaden zur Implementierung eines ISMS nach ISO/IEC 27001:2013

Der  Implementierungsleitfaden ISO/IEC 27001:2013 der Fachgruppe Informationssicherheit enthält praxisnahe Empfehlungen und Hinweise für Organisationen, die entweder bereits ein Informationssicherheits-Managementsystem (ISMS) nach der internationalen ISO/ IEC-Norm 27001:2013 betreiben oder ein solches aufbauen wollen, unabhängig von vorhandenen oder etwaig angestrebten Zertifizierungen. Der Leitfaden bietet allen, die mit dem Aufbau und/oder Betrieb eines ISMS betraut sind, pragmatische Hilfestellungen und Herangehensweisen. Die Vorteile eines individuell angepassten und, sofern notwendig, gleichzeitig normkonformen ISMS werden klar herausgestellt. Insbesondere werden Praxisempfehlungen zur Etablierung bzw. Erhöhung des Reifegrads bestehender ISMS-Prozesse und typische Umsetzungsbeispiele verschiedener Anforderungen aufgezeigt.

2015

Studie zum Status von Cloud Governance in deutschen Unternehmen (in Kooperation mit PwC)

Eine Studie zum Status von Cloud Governance wurde von der Fachgruppe Cloud Computing in Zusammenarbeit mit PwC erstellt und gibt einen Überblick über Chancen und Herausforderungen in diesem ThemenfeldCloud Computing ist in den Unternehmen angekommen. Erste Erfahrungen damit liegen bei den meisten Unternehmen bereits vor. Neben Euphorie und Skepsis beherrscht vielfach aber immer noch eine ausgeprägte Unsicherheit die Diskussion um die Nutzung von IT-Ressourcen aus dem Internet. Das Spannungsfeld ist klar: Zwischen den Chancen – primär Kosteneinsparungen – auf der einen Seite und den Compliance- und Datenschutzbedenken auf der anderen Seite wird nach Wegen gesucht, vom Cloud Computing zu profitieren, ohne dabei unwägbare Risiken einzugehen. Grund genug, eine Zwischenbilanz zu ziehen, wie die Chancen und Risiken aktuell bewertet werden.

Als Verband von IT-Revisoren, IT-Sicherheitsmanagern und IT-Governance-Experten beschäftigt uns vor allem die Frage, wie die IT-Landschaft methodisch gesteuert und kontrolliert werden kann, um zuverlässig zum Erfolg der Unternehmen beizutragen. Deshalb interessierte uns, ob und gegebenenfalls wie sich die neue Technologie auf die IT-Steuerung auswirkt. Welche Standards werden genutzt, um Anbieter auszuwählen oder den Betrieb zu steuern und wie hilfreich sind sie? Nicht zuletzt wollten wir wissen, wie Unternehmen in Deutschland ihre bisherigen Erfahrungen bewerten und ob auch der Rückzug aus Cloud-basierten Verfahren funktioniert.

2014

Leitfaden zur Anwendung der ISO 31000 in der IT (in Kooperation mit der RMA)

Der von RMA und der Fachgruppe IT-Risikomanagement des ISACA Germany Chapters in Kooperation veröffentlichte "Leitfaden ISO 31000 in der IT mit Vergleich zu anderen Standards" bietet eine Hilfestellung bei der Integration des Risikomanagement-Standards ISO 31000 in der IT-Welt.

Dieser Leitfaden richtet sich an Fachkräfte aus dem Umfeld von Prüfung und Beratung, u.a. für die Berufsgruppen: Interne IT-Revision, IT-Prüfer im Rahmen der Abschlussprüfung, IT-Sicherheitskräfte, IT-Compliance-Manager, IT-Governance-Spezialisten und IT-Risikomanager. Er beleuchtet die Vorgaben der ISO 31000 ff. aus einem IT-bezogenen Blickwinkel stärker als bisher dokumentiert und gibt insbesondere Hinweise zur praktischen Umsetzung im Bereich der IT.

Leitfaden Cyber-Sicherheits-Check

Der von BSI und ISACA Germany Chapter e.V. in Kooperation veröffentlichte "Leitfaden zur Durchführung von "Cyber-Sicherheits-Checks" hilft dabei, den Status der Cyber-Sicherheit auf Basis der Cyber-Sicherheits-Exposition zu bestimmen und somit aktuellen Bedrohungen aus dem Cyber-Raum wirksam zu begegnen. Grundlage eines jeden Cyber-Sicherheits-Checks sind die vom BSI veröffentlichten Basismaßnahmen der Cyber-Sicherheit.

IT-Sicherheitsverantwortlichen, Revisoren und Beratern wird damit ein praxisnaher Handlungsleitfaden zur Verfügung gestellt, der konkrete Vorgaben und Hinweise für die Durchführung eines Cyber-Sicherheits-Checks und die Berichtserstellung enthält. Als besonders interessanten Mehrwert stellen BSI und ISACA darüber hinaus eine Zuordnung der zu beurteilenden Maßnahmenziele zu bekannten Standards der Informationssicherheit (IT-Grundschutz, ISO/IEC 27001, COBIT, PCI DSS) zur Verfügung.

Ein Cyber-Sicherheits-Check kann sowohl durch qualifiziertes, eigenes Personal, als auch durch externe Dienstleister, die ihre Kompetenz zur Durchführung von Cyber-Sicherheits-Checks durch eine Personenzertifizierung zum "Cyber-Security-Practitioner" (www.cyber-security-practitioner.de) nachgewiesen haben, durchgeführt werden.

2013

Stellungnahme zum Entwurf des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme

Die Gewährleistung von Cyber-Sicherheit gehört zu den zentralen Herausforderungen unserer Zeit. Übereinstimmend werden national und international größere IT-Ausfälle als reale Gefahr und globale Bedrohung angesehen. Bundesinnenminister Dr. Friedrich hat daher die Initiative ergriffen und einen Gesetzentwurf zur Verbesserung der IT-Sicherheit kritischer Infrastrukturen vorgelegt.

Der Entwurf befindet sich in der Abstimmung zwischen den Ministerien und wurde am 5. März 2013 den betroffenen Verbänden zur Stellungnahme zugeleitet.

Entwurf des Gesetzgebers

Der ISACA Germany Chapter e.V. hat sich vor diesem Hintergrund erlaubt, den Gesetzesentwurf zu kommentieren und seinen Beitrag zu leisten, um dieses wichtige Vorhaben zu unterstützen.

Kommentierung des ISACA Germany Chapter e.V.

2012

Leitfaden zum IT-Risikomanagement mit COBIT

Die Fachgruppe IT-Risikomanagement beschäftigt sich seit etwa 2010 mit dem Thema Risikomanagement und COBIT.

IT-Risikomanagement – leicht gemacht mit COBIT" ist ein Praxisleitfaden für IT-Verantwortliche, Risikomanager, aber auch Linienverantwortliche und kann als Instrument der IT-Governance herangezogen werden. Unabhängig, ob COBIT-Kenntnisse vorhanden sind oder nicht, bietet der Leitfaden einen schnellen Einstieg in die Thematik.

Starthilfen zur Aus- und Weiterbildung

Die Fachgruppe Aus- und Weiterbildung unterstützt die Entwicklung von einschlägigen Ausbildungsprogrammen durch die Bereitstellung von Muster-Modulen und durch die Kommentierung akkreditierender Module durch Mentoren.

Für weitere Informationen nehmen Sie bitte mit der Fachgruppenleitung Kontakt auf.

Starthilfen - Projektplan:

Der Projektplan gibt ihnen erste Anregungen für den Aufbau oder die Erweiterung eines Programms.
Starthilfen - Curricula / Module:

ISACA Mustercurriculum IT-Prüfung und IT-Kontrolle (EN)

ISACA Mustercurriculum IT-Sicherheitsmanagement (EN)

2011

Leitfaden zur Auftragsdatenverarbeitung unter Berücksichtigung von Standards

Die Fachgruppe Datenschutz veröffentlichte im Mai den Leitfaden zur Prüfung Auftragsdatenverarbeitung:

Im Rahmen der Änderung des Bundesdatenschutzgesetzes vom 14.08.2009 wurde §11 BDSG sowohl umfangreich um eine detaillierte Aufstellung der vertraglich festzulegenden Fakten als auch um eine (wiederkehrende) Prüfpflicht für den Auftraggeber/die verantwortliche Stelle (Text des §11 BDSG siehe Anlage A) erweitert.

Ob und welche Prüfungen im Detail durchzuführen sind, hängt davon ab, ob es sich bei den durchgeführten ausgelagerten Tätigkeiten um Auftragsdatenverarbeitung (ADV) handelt.

Dieser Leitfaden wurde als Praxishilfe durch die Fachgruppe Datenschutz erstellt und soll Unternehmen, öffentlichen Stellen und Dienstleistern sowie speziell auch den Mitarbeitern aus den Bereichen Interne Revision, ITSicherheit und Datenschutz eine Übersicht über die relevanten Themengebiete und die Abgrenzungen der datenschutzrechtlich erforderlichen Prüfung geben. Die fallweise Ausgestaltung der Prüfung ist dabei natürlich risikoorientiert anzulegen und richtet sich nach den jeweils vorgefundenen Gegebenheiten in Bezug auf das Kontrollumfeld, die betroffenen Arten von Daten, Art und Orte der Verarbeitung sowie die konkreten Vertragsbeziehungen.

Neben der Darstellung der vom BDSG geforderten Prüfkriterien wird auch ein Mapping auf etablierte Standards zur Verfügung gestellt, das es dem Prüfer erleichtert, redundante Prüfungen zu minimieren, sofern er bereits unabhängig zum Datenschutz eine Prüfung gegen COBIT, BSI IT-Grundschutz oder ISO 27xxx durchführt.

Leitfaden zur Referenztabelle IDW PS 330 - ISO/IEC 27001

Die Fachgruppe Informationsicherheit veröffentlichte im Mai den Leitfaden zum IDW PS 330 - ISO/IEC 27001 Mapping.

Der Praxis-Leitfaden wurde in erster Linie unter dem Gesichtspunkt „aus der Praxis, für die Praxis" erstellt. Er soll Anwendern eine Hilfestellung bieten und sie in die Lage ver­setz­en, eine Übersicht über die Anforderungen zu bekommen, die sowohl aus der ISO/IEC 27001 als auch aus dem IDW PS 330 an eine Organisation gestellt werden.

Unternehmen, die ihre IT an den Vorgaben der ISO/IEC 27001 ausrichten oder ein entsprechendes Informationssicherheits-Managementsystem (ISMS) aufgebaut haben, bekommen mit diesem Leitfaden eine wertvolle Hilfestellung an die Hand, die sie dabei unterstützt festzustellen, welche IDW-Grundsätze durch die Umsetzung der für ihre Organisation zutreffende Vorgaben aus der ISO/IEC 27001 bereits erfüllt werden. Sie erhalten damit einen Überblick, inwieweit die umgesetzten Maßnahmen der ISO/IEC 27001 den Anforderungen des IDW PS 330 genügen.

Vorträge zum 25. Jubiläum des ISACA Germany Chapters

Im Rahmen der Jubiläumsveranstaltung zum 25. jährigen Jubiläum des ISACA Germany Chapter am 10. und 11.März 2011 wurden die nachfolgenden Beiträge durch Mitglieder der Fachgruppen vorgetragen

FG SAP

Prüfung von Software in Cloud-Umgebungen - ein COBIT-basierter Ansatz

FG ISO2700x

Tätigkeitsbericht & Zusammenarbeit mit dem ISO JDC1

FG COBIT-CMMI

Bietet CMMI einen Mehrwert zu COBIT? 

FG Aus- und Weiterbildung

Akademische Aus- und Weiterbildung für IT Assurance und IT Governance

2009

PRev-Beiträge der Fachgruppe COBIT/Datenschutz

Das Modell des normativen Prismas

Die Einordnung von nationalen Normen in das COSO II ERM und deren Auswirkungen auf Prüfungshandlungen im Rahmen des COBIT-Frameworks – am Beispiel des Bundesdatenschutzgesetzes (BDSG)

Sind Ihre Vereinbarungen zur Auftragsdatenverarbeitung noch rechtskonform?

Zur Änderung des § 11 Abs. 2 Satz 2 BDSG bzgl. Vereinbarungen zur Auftragsdatenverarbeitung aufgrund der Novelle II des Bundesdatenschutzgesetzes vom 14. 08. 2009