Security Outsourcing
Erarbeitung von Lösungen zur Thematik der 6. Berner Tagung für Informationssicherheit vom November 2003
Keynotes: Security Outsourcing / MSS
Leistungsbeschreibung und Vertragsgestaltung
Verantwortung von Leistungserbringer und Leistungsbezüger: Peter Trachsel, ISB Projektleiter, Nove IT
Anforderungen aus juristischer Sicht, Peter W. Römer, Managing Director, TIK Systems (Schweiz) AG
Messung, Kontrolle und Reporting: Thomas Lack, Senior Consultant, Genesis Communication

Anschliessend drei parallele Diskussionsforen:

Einladung (PDF)
Anmeldung online
Unterlagen als Links im Programm
Forum 1: Management Aspekte beim Security-Outsourcing
Forum 2: Risk Control beim Outsourcing von Sicherheitsaufgaben
Forum 3: Vertragsgestaltung beim Security-Outsourcing
Veranstalter:
Datum:
Ort: 		information security society of switzerland
Dienstag, 23. März 2004, 13:15 - 18:00 Uhr
HSW Gebäude Bahnhof Luzern
Organisation:

information security society of switzerland HOCHSCHULE TECHNIK + ARCHITEKTUR LUZERN

Luzerner Praxisforum - Security Outsourcing / MSS
Leitidee des Praxisforums Security Outsourcing / Managed Security Services (MSS)
Die technischen, organisatorischen und rechtlichen Anforderungen der Informationssicherheit werden zunehmend komplexer. Daher wollen oder können immer mehr Unternehmen es sich nicht mehr leisten, die entsprechende Kompetenz intern aufzubauen. Einen Ausweg aus diesem Dilemma bieten Sicherheitslösungen spezialisierter Unternehmen. Diese Veranstaltung bietet den Teilnehmern die Gelegenheit, sich zusammen mit Experten aus verschiedenen Fachgebieten mit den praktischen Aspekten des Outsourcing von Sicherheitsaufgaben – insbesondere mittels Managed Security Services (MSS) auseinander zu setzen.

Gegenwärtige und potentielle Anwender von MSS berichten in Forum 1 über ihre praktischen Erfahrungen bei Planung und Durchführung des Outsourcing von Sicherheitsaufgaben. Dabei werden u. a. die besonderen Anforderungen von Wirtschaft und Verwaltung bezüglich MSS durch in- und ausländische Lösungsanbieter diskutiert.
Die Risikobeurteilung ist der entscheidende Faktor beim Entscheid über «make or buy» bei der Erfüllung von Sicherheitsaufgaben. Aus professioneller Sicht werden in Forum 2 Vorgehensweisen zur Beurteilung von MSS aufgezeigt, die sich in das corporate Risk Management einfügen. Dabei wird besonderen Wert auf die Übertragung der vorgestellten Ergebnisse auf weitere Branchen und Unternehmen gelegt.
Beim Outsourcing von Sicherheitsaufgaben mittels MSS ist eine präzise Beschreibung der zu erbringenden Leistungen erforderlich: Nur was definiert wurde kann gemessen und bewertet werden. Im Forum 3 werden die praktischen Möglichkeiten der Leistungsdefinition und Vertragsgestaltung aufgezeigt.

Die in den Foren erarbeiteten Einsichten und Lösungsvorschläge werden am Ende der Tagung allen Teilnehmern vorgestellt.
Später ist eine Zusammenfassung der Ergebnisse zur Publikation auf www.fgsec.ch vorgesehen.
Ablauf der Tagung
13:15 Eröffnung durch Prof. Dr. Bernhard M. Hämmerli, HTA Luzern
13:30 Keynotes: Peter Trachsel, Peter W. Römer, Thomas Lack
14:30 Parallele Diskussionsforen (Inhalt vgl. unten)
16:15 Pause
16:45 Präsentation und Diskussion der Resultate aus den Praxisforen im Plenum
17:30 Abschluss und Apéro

Anmeldung mit Antwortkarte (PDF), per E-Mail oder Online, Berücksichtigung nach Eingangsdatum

Diskussionsforen
 Moderation: Prof. Dr. Bernhard M. Hämmerli, Hochschule Technik + Architektur Luzern

Keynotes gemäss Titelseite von
Peter Trachsel, ISB; Peter W. Römer, TIK Systems (Schweiz) AG; Thomas Lack, Genesis Communications
1 Management-Aspekte beim Security-Outsourcing
Leitung: Dr. Urs E. Zurfluh, CEO, Ad Vantis AG; Marcel Frauenknecht, ISB
Podiumsteilnehmer: Daniel Eugster, Risk Management, MIGROSBANK; Harry Galli, Geschäftsleiter Checkpoint CH, Marcel Beil, Regional Director, Symantec Switzerland AG
Was sind die Vorteile beim Security-Outsourcing? Wer trägt die Verantwortung für einen Security-Outsourcing-Entscheid? Welche Randbedingungen sind zu beachten? Wie unterscheidet sich das Management in Wirtschaft und Verwaltung? Gibt es Kontrollmöglichkeiten beim Betrieb eines Security-Outsourcings? Kann ein Security-Outsourcing wieder rückgängig gemacht werden?
2 Risk Control beim Outsourcing von Sicherheitsaufgaben
Leitung: Thomas Kohler und Gerald Burri, Information Risk Control, UBS AG
Podiumsteilnehmer: Urs Brawand, Geschäftsleiter, Celeris AG; Hanspeter Tinner, Geschäftsleiter, SOLPA AG
Welchen Anforderungen muss das Netzwerk und der MSS Datentransport genügen? Gibt es Auflagen für Data Centers? Welche Anforderung sind an das Business Continuity Management zu stellen? Wer ist Data Owner und wer übernimmt die Klassifikation? Welche Anforderungen an Logging, Monitoring und Diskretion müssen gestellt werden? Wer archiviert welche Daten? Welche Anforderungen können bzw. müssen an die Trennung von Daten Netzwerken und Prozeduren von verschiedenen Firmen gestellt werden? Wie werden Vergehen sanktioniert?
3 Vertragsgestaltung beim Security-Outsourcing
Leitung: Ulrich Brügger, IBM und Dr. Wolfgang Straub, Advokaturbüro Deutsch & Wyss (Checkliste Vertragsaufbau, Checkliste Risikoanalyse)
Podiumsteilnehmer: Peter Reich, Direktor, Winterthur Versicherungen; Thomas Lack, Genesis Communication; Martin Bosshardt, CEO, Open Systems
Welche Punkte müssen bei Verträgen über das Outsourcing von Sicherheitsaufgaben geregelt werden? Was bringen Services Level Agreements und in welchem Verhältnis stehen diese zu Rahmenverträgen? Welche Kriterien sollen gemessen werden und wie sind diese zu bewerten (Tracking & Monitoring)? Welche Möglichkeiten bestehen bei Nichterreichen von Zielvorgaben? Wie kann auf veränderte Rahmenbedingungen eingegangen werden (Change Management)? Was ist im Zusammenhang mit der Kündigung einer MSS Vereinbarung und der Rücknahme von Sicherheitsaufgaben zu beachten?
Organisation
Veranstalter information security society of switzerland
E-Mail: anyffeler@hta.fhz.chwww.fgsec.ch/events/ft2004.03
Datum, Ort
Dienstag, 23. März 2004, 13:15 - 18:00 Uhr
Auditorium 124 im 1. OG
HSW Gebäude, Zentralstrasse 9, 6002 Luzern
(Der Konferenzsaal befindet sich im Westtrakt des Hauptbahnhofes und ist ca. in 5 Minuten vom Zug und vom Parkhaus Luzern Bahnhof zu erreichen)
Fahrplan
Basel ab: 11:52
Bern ab: 11:42
Zürich ab: 12:01
Luzern an: 13:05
Luzern an: 13:03
Luzern an: 12:49
Organisation HTA Luzern ISIS, Nyffeler / Hämmerli
Tel: 041 349 33 66, Fax: 041 349 39 60
Kosten Fr. 320.- (inkl. Dokumentation und Apéro)
Fr. 220.- für Mitglieder der information security society of switzerland (isss), sowie von CLUSIS und ISACA
Anmeldungen Mit Anmeldekarte(PDF) oder per Internet, Berücksichtigung nach Eingangsdatum
Organisation:

information security society of switzerland (isss) HOCHSCHULE TECHNIK + ARCHITEKTUR LUZERN


Sponsoren:
Check Point celeris GENESIS COMMUNICATION IBM Global Security Services Symantec
isss Editor (content) / isss Webmaster (technology/configuration) / 16 April 2004