1. Payment Card Industry Data Security Standard
Workshop: Sicherheitsrichtlinie
Fachveranstaltung Datensicherheit
Bern
7. September 2011
© 2011 Acertigo AG

2. SICHERHEITSRICHTLINIE
BEGRIFFLICHKEITEN SECURITY DOKUMENTATION
 Policy
Festlegung der IT Sicherheitsziele des
Unternehmens
 Standards
Welche Einstellungen werden für Systeme
und Applikationen standardmässig benutzt
 Procedures
detaillierte Beschreibungen als Step-by-
step Anweisungen
© 2011 Acertigo AG

3. SICHERHEITSRICHTLINIE
SCHRITTE ZU EINER SICHERHEITSRICHTLINIE
1. Verantwortung
es wird festgehalten, das die Unternehmensleitung die Gesamtverantwortung für die
Informationssicherheit hat und im vollem Umfang hinter der Leitlinie und deren Umsetzung steht.
2. Geltungsbereich und Inhalt
 Stellenwert der Informationssicherheit im Unternehmen
 Bedeutung von Informationen und IT
 Zusammenhang Geschäfts- und Sicherheitsziele
 Sicherheitsziele und Kernelemente der Sicherheitsstrategie
 Organisatorische Strukturen für die Informationssicherheit
 Einzuhaltende gesetzliche Regelungen
 Aufgaben und Zuständigkeiten
 Schulungs- und Sensiblisierungsmassnahmen
3. Einsetzung der Mitarbeiter für die Umsetzung
4. Bekanntgabe der Richtlinie
5. Regelmässige Überprüfung und Aktualisierung der Richtlinie
© 2011 Acertigo AG

4. SICHERHEITSRICHTLINIE
ANFORDERUNG UND UMSETZUNG
 Beispiel einer PCI-Anforderung und entsprechendes Policy-Statement
© 2011 Acertigo AG

5. SICHERHEITSRICHTLINIE
Woran erkenne ich im PCI DSS Standard das eine Dokumentation verlangt wird?
Richtlinie
Standards
Procedure
Process
Soll-Ist Abgleich
© 2011 Acertigo AG

6. SICHERHEITSRICHTLINIE
STRUKTUR EINER SICHERHEITSRICHTLINIE
© 2011 Acertigo AG

7. Danke für Ihre Aufmerksamkeit !
Ralph Wörn
Vorstand
Acertigo AG
Wilhelmsplatz 8, 70182 Stuttgart, Germany
phone + 49 711 620 30 232
fax + 49 711 620 30 200
email ralph.woern@acertigo.com
© 2011 Acertigo AG

8. COPYRIGHT
Acertigo AG – Stuttgart and its companies (“Acertigo”) retain all ownership rights to this document (the "Document“). Use of
the Document is governed by applicable copyright law. Acertigo may revise this Document from time to time without notice.
This document is provided “as is” without warranty of any kind. In no event shall Acertigo be liable for indirect, special,
incidental, or consequential damages of any kind arising from any error in this document, including without limitation any loss
or interruption of business, profits, use or data.
All contents provided in this document are protected by copyright. None of the material may be reproduced, copied or
distributed in any form without the prior written permission of Acertigo AG. All rights are reserved including those in the
translation.
Trademarks: Most of the names and trade names, including hardware and software terms, mentioned in this document are
either registered trademarks or should be considered as such. All information contained on this document has been
published without regard to a possible patent protection. All names of goods are used without the guarantee of usability. All
rights are reserved.
Acertigo is a registered Trademark in Germany and other countries.
© 2011 Acertigo AG