Einsatz von Archer für ISMS, IT-Risikomanagement und Business Continuity Management

Größe: px
Ab Seite anzeigen:

Download "Einsatz von Archer für ISMS, IT-Risikomanagement und Business Continuity Management"

Transkript

1 RSA Archer egrc-lösungen Einsatz von Archer für ISMS, IT-Risikomanagement und Business Continuity Management

2 Die Dynamik der wirtschaftlichen Rahmenparameter und damit einhergehend die ständige Weiterentwicklung und der Wandel des regulatorischen Rahmens stellen für Unternehmen aller Branchen im Hinblick auf Risiko- und Compliance-Management eine große Herausforderung dar. Prominente und sichtbare Ereignisse für diese Entwicklung sind zum Beispiel die Bankenkrise, die Korruptionsfälle namhafter Unternehmen oder auch die Datenverluste großer Firmen in den letzten Jahren. Durch eine gemeinsame und integrierte Herangehensweise an die drei zentralen Kontrollelemente in Unternehmen Governance, Risiko und Compliance lassen sich erhebliche Kosteneffekte realisieren und deutliche Verbesserungen erzielen. Gesetzliche Vorgaben, z. B. das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), fordern die Einführung eines unternehmensweiten Systems zur Früherkennung bestandgefährdender Entwicklungen (Risikomanagementsystem), sowie die Veröffentlichung von Aussagen zu Risiken und Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft. Diese Entwicklungen müssen dabei auf verschiedenen Ebenen und in unterschiedlichen Bereichen eines Unternehmens erkannt und gehandhabt werden. Neben einem Information Security Management System (ISMS) ergeben sich für IT-Abteilungen Anforderungen an eine konkrete Identifikation, Bewertung und Steuerung von Risiken (Risikomanagement) und die Vorbereitung auf schwerwiegende Ereignisse (Business Continuity Management). Teilaspekte von GRC-Prozessen in Unternehmen werden heutzutage mit sogenannten Managementsystemen gesteuert, vereinfacht und automatisiert. Grundlage eines jeden Managementsystems sind dabei verlässliche Informationen über die aktuelle Situation, getreu dem Motto You can t manage what you can t measure. In Zeiten knapper Budgets und Ressourcen ist dabei jedoch die Erhebung und Auswertung dieser Informationen eine echte Herausforderung, insbesondere in großen und verteilten Umgebungen. Der Erfolg der genannten Managementsysteme kann aus den verschiedensten Gründen gefährdet sein. Dazu zählen unter anderem: die Komplexität und damit ein Verzetteln, ohne sich auf das Wesentliche zu konzentrieren fehlende Transparenz im Unternehmen Bildung von Silos und mangelhafte Kommunikation Daher setzen viele Unternehmen Tools ein, die die konkrete Umsetzung dieser Managementsysteme so effizient und effektiv wie möglich gestalten. Darüber hinaus geht der Trend hin zur Integration und gemeinsamen Steuerung verschiedenster Managementsysteme als Teil einer in vielen Unternehmen angestrebten oder bereits umgesetzten Governance-Strategie. seite 2

3 1. ÜBERBLICK RSA ARCHER egrc-lösungen Mit dem RSA Archer egrc-lösungsangebot lassen sich die Umsetzung und der Betrieb eines effizienten und integrierten GRC-Programms unternehmensweit vereinheitlichen und automatisieren. Dies erfolgt unter Berücksichtigung und Einbindung von Mitarbeitern, Prozessen und Technologien. RSA Archer-Lösungen unterstützen bei der Steuerung von Risiken, beim Nachweis der Konformität zu internen und externen Vorgaben, bei der Automatisierung von Geschäftsprozessen sowie bei der Steigerung der Akzeptanz von Sicherheitsvorgaben. Am Ende steht eine umfassende Transparenz in Bezug auf Unternehmensrisiken und die Einhaltung von Compliance. Die RSA Archer egrc-lösungen werden über alle Branchen hinweg für die unterschiedlichsten GRC-Anforderungen sowohl im Business, als auch im IT-Bereich eingesetzt. Viele Großunternehmen, darunter die Hälfte der Fortune 100, nutzen RSA Archer egrc- Lösungen, um: Richtlinien und deren Ausnahmen über den gesamten Lebenszyklus zu verwalten Risiken auf allen Ebenen des Unternehmens darzustellen und entsprechende Berichte zu erstellen gesetzliche und regulatorische Anforderungen zu erfüllen Vorfälle in unterschiedlichen Bereichen zu erfassen und zu handhaben Business Continuity- und Disaster Recovery-Pläne zentral zu erstellen und zu verwalten und risikoorientierte und an den Geschäftsprozessen ausgerichtete interne Audits durchzuführen. Durch den Ansatz, verschiedene Lösungen auf einer Plattform zusammenzufassen, ist RSA Archer die erste Wahl bei der Umsetzung sowohl einzelner Managementsysteme als auch einer umfassenden Goverance-Strategie. In enger Zusammenarbeit mit Kunden hat Archer über die verschiedenen GRC-Domänen hinweg Kernprozesse definiert und hierfür folgende Standardlösungen entwickelt: Policy Management: Unternehmensweite Verwaltung von Regeln und Ausnahmen zu diesen Regeln Risikomanagement: Visualisierung und Kommunikation von Risiken auf allen Geschäftsebenen Compliance Management: Effiziente Einhaltung vorgegebener Regeln Vendor Management: Management von Third Party-Beziehungen, auch im Falle von Outsourcing; Bewertung von Risiko- und Compliance -Aspekten Threat Management: Erfassung von Bedrohungen und Gefährdungspotenzialen; Aufzeigen der Relevanz für Geschäftsprozesse Incident Management: Untersuchung von Vorfällen und Definition von Lösungswegen Business Continuity Management: Zentralisierung von Business Continuity-Planung und -Verwaltung Audit Management: Prozess für interne Audits in Bezug auf Risikobetrachtung und Geschäftsprozesse RSA Archer Standard-Lösungen RSA Archer-Plattform seite 3

4 Obwohl sich die GRC-Problemstellungen von Unternehmen weitgehend ähneln, bestehen in jeder Organisation bereits Prozesse und Best Practices. Eine zentrale Komponente der RSA Archer-Plattform bildet daher die Rapid Development-Funktionalität, die es erlaubt, Lösungskomponenten ohne Programmieraufwand an bestehende Prozesse anzupassen oder neue Funktionen in das System zu integrieren. Die RSA Archer egrc-plattform bietet einen umfassenden Funktionsumfang, um Kontrollstrukturen in Unternehmen einheitlich aufzubauen und zu verwalten. Das Ergebnis ist eine durchgängige Struktur, die es ermöglicht Risiken im Geschäftskontext zu betrachten, den Compliance-Status zu überschauen sowie zugehörige Prozesse zu verschlanken und zu automatisieren. Die Leistungsmerkmale der Plattform im Überblick: Zentrale Instanz zur Verwaltung von Richtlinien, Kontrollstandards, Risikoindikatoren, Bewertungen und Schwachstellen Unterschiedliche Funktionalitäten, z. B. Risikomanagement, Compliance Management, Privacy Management, Informationssicherheit und Business Continuity, arbeiten auf der gleichen Kontroll- und Datenstruktur unter Verwendung standardisierter Prozesse Umfangreiche Bibliothek von Richtlinien, Kontrollstandards, Kontrollverfahren und Standards, die auf gesetzliche Vorschriften abgestimmt sind Flexible und umfangreiche Prozesse zur Integration mit Daten führenden Systemen Visualisierung ( Dashboards ) von Risikoprofil und Compliance-Status des Unternehmens in Echtzeit sowie Prozesse zur Priorisierung und Steuerung von Aufgaben 2. INFORMATION SECURITY MANAGEMENT SYSTEM Ein Information Security Management System (ISMS) nach ISO orientiert sich am sogenannten PDCA-Zyklus zur kontinuierlichen Verbesserung. Er besteht aus den Phasen 1. Plan 2. Do 3. Check und 4. Act Nachfolgend wird beschrieben, wie RSA Archer ein ISMS nach ISO in den jeweiligen Phasen unterstützen kann. seite 4

5 2.1 Phase Plan : Design und Planung Eine wesentliche Aufgabe in der Planungsphase eines ISMS ist die Erstellung, Abstimmung und Inkraftsetzung von Vorgaben. Diese Vorgaben werden dabei üblicherweise auf verschiedenen Ebenen erstellt. In der Policy Management-Lösung von RSA Archer sind dabei die folgenden Ebenen vorgesehen: Unternehmensziele (Ziele des ISMS) Richtlinien (technologieunabhängige, grundlegende Prinzipien) Kontrollstandards (konkretere Vorgaben, die aber immer noch produktunabhängig sind) Kontrollverfahren (technologiespezifische Verfahren zur Prüfung der Kontrollstandards) Auf allen Ebenen bringt RSA Archer eine Vielzahl von Beispielen mit, die entweder direkt in das eigene Regelwerk übernommen werden oder einen wertvollen Beitrag bei dessen Erstellung liefern können. Darüber hinaus beinhaltet die Policy Management-Lösung eine Vielzahl an internationalen Standards und Gesetzen (z. B. ISO oder das Bundesdatenschutzgesetz), deren einzelne Abschnitte jeweils auf Richtlinien, Kontrollstandards und Kontrollverfahren abgestimmt sind. Dadurch ist lückenlos nachvollziehbar, aus welcher externen Anforderung eine interne Anforderung abgeleitet ist. Auch die Erstellung, Abstimmung und Inkraftsetzung dieser Vorgaben kann mit RSA Archer entscheidend vereinfacht und transparenter gestaltet werden. Mit der Funktion Content Review können Phasen beim Erstellen einer Vorgabe definiert werden. In jeder Phase können unterschiedliche Verantwortliche festgelegt werden, die jeweils mit unterschiedlichen Berechtigungen ausgestattet sind. Alle Änderungen von der initialen Erstellung bis hin zur Freigabe sind dabei lückenlos nachvollziehbar. Die folgende Abbildung zeigt ein Unternehmensziel, das sich gerade im Content Review-Prozess befindet: seite 5

6 2.2 Phase Do : Umsetzung und Betrieb Auch beim Betrieb eines ISMS bietet RSA Archer konkrete Lösungen für eine Vielzahl an Prozessen. Die folgende Tabelle bietet einen groben Überblick: ISMS-Prozess Behandlung von Ausnahmen zu Vorgaben mit Workflows für deren Genehmigung und Prüfung Handhabung von Sicherheitsvorfällen Maßnahmen zur Schärfung des Bewusstseins und Trainings Umsetzung mit RSA Archer Applikation " Ausnahmeanträge " der Policy Management-Lösung Incident Managment-Lösung von RSA Archer Präsentationen und Quizze, siehe auch Kapitel 4.6 Als kleiner Ausschnitt der vielfältigen Möglichkeiten zeigt die folgende Abbildung eine Übersicht über Ausnahmeanträge mit deren Status, Beschreibung, dem betroffenen Kontrollstandard und dem Einrichtungsdatum: 2.3 Phase Check : Überwachung und Überprüfung In dieser Phase werden die einzelnen Aspekte eines ISMS auf deren Wirksamkeit hin überprüft. Dies beinhaltet beispielsweise: Prüfung des Umsetzungsgrades von Vorgaben Prüfung von Vorgaben Ermittlung von Kennzahlen zu Prozessen des ISMS Erstellen von Berichten für die Geschäftsführung Mit der Compliance Management-Lösung von RSA Archer kann der Umsetzungsgrad von Vorgaben überprüft werden. Dies kann dabei entweder manuell im Rahmen von Prüfungen oder automatisiert über die Anbindung externer Datenquellen (z. B. einer System- Management-Lösung) erfolgen. Eventuell identifizierte Abweichungen werden als Findings (Ergebnisse) erfasst und können zentral ausgewertet werden. Mit Hilfe von Workflows kann der Prozess zur Prüfung von Vorgaben stark vereinfacht und transparent gestaltet werden. Benachrichtigungen informieren Verantwortliche automatisch über eine anstehende Prüfung. Kennzahlen zu Prozessen, die mit Unterstützung von RSA Archer durchgeführt werden, können sehr einfach ausgewertet und grafisch aufbereitet werden. Damit ist die Erstellung von Berichten für die Führungsebene auf Knopfdruck möglich. seite 6

7 Mit der Audit Management-Lösung von RSA Archer kann darüber hinaus ein ganzes Audit-Programm abgebildet werden. Dabei können beispielsweise: Audit-Projekte mit deren Mitarbeitern geplant Unterlagen archiviert Findings und Pläne zu deren Behebung erfasst oder Feedback zu den Audits eingeholt werden. Die folgende Abbildung zeigt einen Fragebogen, mit dem ein Feedback zum Audit eingeholt werden kann: 2.4 Phase Act : Instandhaltung und Verbesserung In dieser Phase wird das ISMS weiterentwickelt. Typischerweise werden dabei Maßnahmen aus der vorhergehenden Phase auf den Weg gebracht und nachverfolgt. In RSA Archer werden Maßnahmen zur Verbesserung als sogenannte Remediation Plans erfasst. Auch hier kann die Nachverfolgung mittels -Benachrichtigungen weitgehend automatisiert werden. Die folgende Abbildung zeigt ein Beispiel eines solchen Plans: seite 7

8 3. RISIKOMANAGEMENT-SYSTEM Nachdem Rahmenbedingungen wie Bewertungsschemata für Risiken oder der Umfang für Analysen festgelegt wurden, erfolgt das Management von Risiken nach dem international anerkannten Standard ISO in folgenden Schritten: 1. Risiko-Identifikation 2. Risiko-Abschätzung 3. Risiko-Bewertung 4. Risiko-Behandlung Nachdem die Bewertung und Behandlung der Risiken abgestimmt und akzeptiert wurde (Risiko-Übernahme), müssen diese Risiken einerseits an die entsprechenden Verantwortlichen kommuniziert und anderseits kontinuierlich überwacht und überprüft werden. Risiko-Kommunikation Rahmenbedingungen Risiko-Identifikation Risiko-Abschätzung Risiko-Bewertung Risiko-Behandlung Risiko-Übernahme Im Folgenden wird beschrieben, wie diese Schritte in einem Risikomanagement-Prozess nach ISO durch RSA Archer unterstützt werden. Risiko-Überwachung und -Überprüfung 3.1 Rahmenbedingungen Die Rahmenbedingungen eines Risikomanagement-Systems bilden die Basis für eine vergleichbare und nachvollziehbare Bewertung der Risiken. Die Bewertungsschemata für Risiken werden direkt in RSA Archer hinterlegt. Die Risk Management-Lösung bringt dabei eine Reihe gängiger Schemata mit, die bei Bedarf flexibel an individuelle Anforderungen angepasst werden können. Die folgende Abbildung zeigt das im Lieferumfang enthaltene Bewertungsschema für Risiken der Risk Management-Lösung: seite 8

9 3.2 Risiko-Identifikation, -Abschätzung und -Bewertung Für die Risiko-Identifikation, -Abschätzung und -Bewertung mit RSA Archer gibt es zwei unterschiedliche Optionen: 1. Risikoregister 2. Fragebögen Das Risikoregister ist eine Applikation der RSA Archer-Plattform, in der einzelne Risiken dokumentiert und bewertet werden. Dies kann dabei entweder bei Bedarf (z. B. im Nachgang eines Vorfalls oder nach einem Audit) oder im Rahmen von Workshops geschehen. Bei den Fragebögen hingegen werden Risikobewertungen gezielt für einzelne Untersuchungsgegenstände durchgeführt. Aufgrund der standardisierten Vorgehensweise kann dies auch sehr effizient im Rahmen von Eigenbeurteilungen erfolgen. Die folgende Abbildung zeigt ein Risiko, das im Risikoregister von RSA Archer erfasst und dokumentiert wurde. In der Phase der Risiko-Identifikation werden Fragebögen für den betrachteten Bereich (z. B. ein Standort oder eine IT-Anwendung) ausgefüllt. Die Risk Management-Lösung von RSA Archer bringt bereits eine Fülle integrierter Fragebögen mit, die wertvolle Hilfestellung beim Aufbau eines Risikomanagement-Systems liefern. Auch für das Risikoregister beinhaltet die Lösung bereits zahlreiche Beispiel-Risiken, die bei der ersten Identifikation in einem Unternehmen ebenfalls wertvolle Unterstützung leisten. seite 9

10 3.3 Risiko-Behandlung Wie die folgende Abbildung zeigt, gibt es bei der Behandlung von Risiken verschiedene Möglichkeiten: Maßnahmen zur Minimierung, Vermeidung oder zur Übertragung von Risiken werden in RSA Archer als sogenannte Remediation Plans angegeben. Dabei können neben den erwarteten und tatsächlichen Kosten auch die Daten für dessen Umsetzung hinterlegt werden. Mit Hilfe definierbarer Workflows kann damit die Umsetzung dieser Pläne nachhaltig überwacht werden. Risiko-Behandlung Risiken minimieren Risiken akzeptieren Risiken vermeiden Risiken übertragen 3.4 Risiko-Übernahme Nachdem nun die Risiken identifiziert, bewertet und ein Plan für deren Handhabung erstellt wurde, werden alle Ergebnisse im Rahmen einer Risiko-Übernahme von der Führungsriege des Unternehmens abgenommen. Diese Risiko-Übernahme wird in RSA Archer entweder direkt im Risikoregister oder als Teil des jeweiligen Fragebogens hinterlegt. Die Verantwortlichen aus dem Management können die Risiko-Übernahmen direkt in RSA Archer vornehmen. 3.5 Kommunikation Alle Risiken, die in RSA Archer erfasst und dokumentiert sind, können sehr flexibel ausgewertet und direkt dargestellt werden, z. B. im sogenannten Executive Dashboard. Damit lassen sich die Risiken zielgruppengerecht und ohne zusätzlichen Aufwand darstellen. Die folgende Abbildung veranschaulicht dies beispeilhaft: seite 10

11 3.6 Überwachung und Überprüfung Für eine nachhaltige Steuerung von Risiken ist es darüber hinaus notwendig, bestehende Risiken kontinuierlich zu überwachen, regelmäßig zu überprüfen und neu zu bewerten. Diese Punkte können auch wiederum mit RSA Archer durchgeführt werden: 1. Die Überwachung von Risiken erfolgt in RSA Archer über sogenannte Metrics (Kennzahlen). Damit können sogenannte Key Risk-Indikatoren (wichtige Risikoindikatoren) erfasst und ausgewertet werden. 2. Die Bewertung von Risiken erfolgt quartalsweise über die Quarterly Risk Reviews. Damit kann der geforderte Prüfprozess nachvollziehbar dokumentiert werden. Die folgende Abbildung zeigt, wie im Risikoregister die dazugehörigen Risk Reviews verwaltet werden. Die Risk Management-Lösung von RSA Archer beinhaltet bereits viele mögliche Key Risk-Indikatoren, die beim Aufbau einer Risikoüberwachung ebenfalls eine wertvolle Unterstützung darstellen. seite 11

12 4. BUSINESS CONTINUITY MANAGEMENT-SYSTEM Ein Business Continuity Management- System nach dem international anerkanntem Standard BS wird von einem zentralen BCM-Programm- Management gesteuert. Es sorgt sowohl für die initiale Etablierung des Managementsystems als auch für dessen kontinuierliche Weiterentwicklung. Der eigentliche Regelkreislauf beinhaltet die folgenden Schritte: Übung, Pflege und Review BCM Programm Management Verstehen der Organisation 1. Verstehen der Organisation 2. Definition einer BCM-Strategie 3. Entwicklung um Umsetzung der BCM- Antwort 4. Übung, Pflege und Review Entwicklung und Umsetzung der BCM- " Antwort " Definition einer BCM-Strategie Nicht zuletzt muss das Business Continuity Management in der Unternehmenskultur verankert werden. Das ist z. B. über Maßnahmen zur Bewusstseinsschärfung oder Trainings möglich. Verankern des BCM in der Kultur der Organisation Nachfolgend wird beschrieben, wie diese Schritte in einem Business Continuity Management-Prozess nach BS durch RSA Archer unterstützt werden. 4.1 BCM-Programm-Management Ähnlich wie im Bereich der Informationssicherheit bieten die RSA Archer-Lösungen auch für das BCM-Programm-Management wertvolle Unterstützung: 1. Durch die zentrale Verwaltung aller Informationen aus dem Business Continuity Management-System erhalten die Verantwortlichen jederzeit auf Knopfdruck einen Überblick über die aktuelle Situation - vom Stand der Bewertungen der Geschäftsprozesse über die Aktualität der Notfallpläne bis hin zu den Ergebnissen der letzten Notfalltests. 2. Erinnerungen an Termine für Prüfungen oder den nächsten Notfalltest werden durch RSA Archer automatisch per verschickt, sodass eine nachhaltige Steuerung des BCM ohne großen Aufwand möglich wird. 3. Alle Dokumente zum Business Continuity Management werden zusammen mit deren Status zentral in Archer abgelegt. seite 12

13 Die folgende Abbildung zeigt einen Überblick über die vielfältigen Auswertungsmöglichkeiten von einem Überblick über die Pläne zu den Ergebnissen von Business Impact- Analysen bis hin zu Auswertungen vergangener Notfälle. 4.2 Verstehen der Organisation Mit der Business Impact Analysis-Applikation von RSA Archer können Geschäftsprozesse hinsichtlich ihrer Kritikalität und bestehender Abhängigkeiten bewertet werden. Darüber hinaus können analog zu einem Risiko Management-System auch hier Risikoanalysen durchgeführt und Maßnahmen zur Behandlung dieser Risiken definiert und dauerhaft durchgesetzt werden. Die folgende Abbildung zeigt einen Ausschnitt einer Business Impact-Analyse mit der RSA Archer Business Continuity Management-Lösung: seite 13

14 4.3 Definition einer BCM-Strategie Unterschiedliche BCM-Strategien können in RSA Archer in der Recovery Strategies- Applikation verwaltet werden. Sie werden einmal erfasst und können je nach Art des Ausfalls in unterschiedlichen Notfallplänen wiederverwendet werden. Zu jeder Strategie können dabei mehrere Phasen und darin wiederum mehrere Aufgaben beschrieben werden. Die folgende Abbildung zeigt eine in RSA Archer definierte Recovery Strategie: 4.4 Entwicklung um Umsetzung der BCM- Antwort Mit RSA Archer können sowohl Business Continuity-Pläne als auch Disaster Recovery- Pläne verwaltet werden. Über -Benachrichtigungen und Workflows kann sowohl deren Erstellung als auch deren Pflege und Weiterentwicklung erheblich vereinfacht werden. Die Pläne lassen sich mit bestehenden Business Impact-Analysen, Recovery- Strategien oder vergangenen Ausfällen verknüpfen. Die folgende Abbildung zeigt die Verwaltung eines Business Continuity-Plans in RSA Archer : seite 14

15 4.5 Übung, Pflege und Prüfung Für die Dokumentation von Übung, Pflege und Überprüfung beinhaltet die Business Continuity Management-Lösung von RSA Archer die Applikation BC/DR-Tests. Diese Tests werden entweder für einen Business Continuity- oder einen Disaster Recovery-Plan durchgeführt. Neben den Testergebnissen können hier vor allem auch Maßnahmen zur Verbesserung des Business Continuity Management-Systems dokumentiert werden. Zur Einhaltung der vorgesehenen Test- und Prüfzyklen für die Pläne können auch hier wieder -Benachrichtigungen genutzt werden. Die folgende Abbildung zeigt die Dokumentation eines Notfalltests für ein Rechenzentrum: 4.6 Verankern des BCM in der Unternehmenskultur Auch im Bereich Bewusstseinsförderung und Trainings bietet RSA Archer eine Vielzahl an Möglichkeiten. So kann beispielsweise ein Quiz veranstaltet werden, um Mitarbeiter mit dem Thema BCM vertraut zu machen. Darüber hinaus können auch Informationen in Form von Präsentationen zusammengestellt und den Mitarbeitern zur Verfügung gestellt werden. Alle diese sogenannten Events können zu Kampagnen zusammengefasst und über umfassende Auswertungen jederzeit nachverfolgt werden. Die folgende Abbildung zeigt ein einfaches Quiz zum Thema BCM: seite 15

16 5. VON DER EINZELLÖSUNG ZUM INTEGRIERTEN MANAGEMENTSYSTEM Die folgende Abbildung zeigt beispielhaft ein Modell, in dem die Managementsysteme Information Security Management-System Risikomanagement-System und Business Continuity Management-System zu einem gemeinsamen und integrierten Managementsystem zusammenwachsen: Gesamtsteuerung (Governance) Überwachung und Berichterstellung Risiko- und Compliance-Management Integriertes Regelwerk Klassifikation Priorisierung Fachliche Prozesse* Audit *Prozesse rund um Information Security, Risk und Business Continuity Management Dieses integrierte Managementsystem verfügt über zentrale Steuerung bestehend aus 1. einer zentralen Überwachung und einer gemeinsamen Berichterstellung, in der alle Informationen aus den einzelnen Bereichen zusammengeführt und die als Basis für fundierte Entscheidungen zur Weiterentwicklung des Systems dient. 2. einem zentralen Risiko- und Compliance-Management, in dem bestehende Risiken ganzheitlich betrachtet und die Konformität des integrierten Managementsystems zu internen und externen Vorgaben sichergestellt wird. 3. einem integrierten Regelwerk mit zentralen Prozessen zu dessen Pflege zur Behandlung von Ausnahmen, in dem Vorgaben zu allen beteiligten Managementsystemen festgeschrieben sind. RSA Archer ist für diesen Zweck das ideale Werkzeug. Verschiedenste Informationen laufen dort zusammen und können zentral ausgewertet werden. Die Risiko-, Compliance- und Policy Management-Lösungen ergänzen diesen Ansatz um die technische Unterstützung für die genannten Prozesse zur Steuerung des integrierten Managementsystems. seite 16

17 Die folgende Abbildung zeigt, wie Informationen aus verschiedensten Unternehmensbereichen im " Executive Dashboard " von RSA Archer zusammenlaufen: Üblicherweise werden gerade in großen und verteilten Unternehmen Geschäftsprozesse, IT-Systeme, Standorte oder Lieferanten ( " Assets " ) nach Kritikalität klassifiziert. Ziel dabei ist es, eine Priorisierung vorzunehmen und die bestehenden Ressourcen beispielsweise bei der Umsetzung von Maßnahmen zur Informationssicherheit, bei der Analyse von Risiken oder bei der Wiederherstellung von IT-Systemen nach einem Ausfall möglichst effizient einsetzen zu können. Auch diese Klassifizierungsprozesse können in einem integrierten Managementsystem zentralisiert werden. Darüber hinaus kann auch ein Audit-Programm als Basis für einen kontinuierlichen Verbesserungsprozess im Bereich der Informationssicherheit, des Risikomanagements und des Business Continuity Managements zentralisiert werden. Dabei können im Rahmen eines Audits verschiedene Aspekte geprüft werden, um alle Bereiche zu verschlanken. Es gibt aber auch fachliche Aspekte, die nicht zentralisiert werden können. Dazu zählen neben vielen weiteren Prozesse zur Verankerung der Informationssicherheit in IT-Projekten beispielsweise Prozesse zur Behandlung von Schwachstellen und Sicherheitsvorfällen, Prozesse zur Erstellung von Notfallplänen oder Prozesse zur Benachrichtigung von Verantwortlichen in einem Notfall. Die RSA Archer-Lösungen bieten in allen Bereichen wertvolle technische Unterstützung sei es bei der Klassifizierung, bei konkreten fachlichen Prozessen oder bei Audits. seite 17

18 6. FAZIT UND AUSBLICK Mit der RSA Archer egrc-plattform und Lösungen von RSA Archer steht Unternehmen ein leistungsstarkes und zugleich flexibles Werkzeug zur Verfügung, das die Umsetzung einzelner Managementsysteme zu unterstützt. Darüber hinaus können mit RSA Archer aber auch die Vorteile und Synergieeffekte eines integrierten Managementsystems optimal genutzt werden. Mit der Flexibilität der RSA Archer egrc-plattform ist sogar eine Integration weiterer Managementsysteme denkbar, z. B. Qualitätsmanagement (ISO 9001), IT-Service-Management (ISO 20000) oder Umweltmanagement (ISO 14001). Genau diese Flexibilität ist die große Stärke der RSA Archer egrc-lösungen. Selbst wenn die zu Grunde liegenden Standards oftmals dieselben sind, ist die konkrete Umsetzung in einem Unternehmen doch oft sehr individuell. Infolgedessen ist es für den Erfolg eines einzelnen oder eines integrierten Managementsystems entscheidend, dass sich das eingesetzte Tool optimal an die konkreten Anforderungen anpassen lässt. Für weitere Informationen besuchen Sie uns im Internet unter seite 18

19 seite 19

20 Kurzprofil RSA RSA, The Security Division of EMC, ist ein führender Anbieter von Sicherheits-, Risiko-und Compliancemanagement-Lösungen. RSA unterstützt Unternehmen bei der Bewältigung von sicherheitsspezifischen Herausforderungen. Dazu gehören das organisatorische Risikomanagement, die Absicherung des Zugangs zu mobilen Anwendungen, den Nachweis der Einhaltung von Sicherheitsanforderungen sowie die Absicherung von virtuellen Infrastrukturen und Cloud-Umgebungen. Mit Identitätsprüfung, Kryptographie, Schlüsselmanagement, Security Information und Event Management (SIEM), Data Loss Prevention und Betrugsbekämpfung bis hin zu Enterprise Governance, Risk & Compliance (egrc) sowie umfassenden Beratungsleistungen sorgt RSA für Transparenz und Vertrauen in digitale Identitäten, Transaktionen und Daten von Millionen von Anwendern. Mehr Informationen erhalten Sie unter und RSA, das RSA-Logo, EMC2, EMC und where information lives sind eingetragene Marken oder Marken von EMC Corporation in den USA und anderen Ländern. Andere in diesem Dokument erwähnte Marken sind Eigentum ihrer jeweiligen Inhaber EMC Corporation. Alle Rechte vorbehalten. egrc SEC SB 0511 DE

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

secunet SwissIT AG ISMS in der öffentlichen Verwaltung

secunet SwissIT AG ISMS in der öffentlichen Verwaltung secunet SwissIT AG ISMS in der öffentlichen Verwaltung Berlin, 22. November 2010 Agenda 1 Einleitung 2 ISO/IEC 27000er-Normenfamilie 3 ISO 27001 auf der Basis von IT-Grundschutz 4 Einsatz von ISMS in der

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen?

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? e:digital media GmbH software distribution White Paper Information Security Management System Inhalt: 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? 2. Was sind die QSEC-Suiten? 3. Warum ein Information

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

......... http://www.r-tec.net

......... http://www.r-tec.net Digital unterschrieben von Marek Stiefenhofer Date: 2014.09.09 09:18:41 MESZ Reason: (c) 2014, r-tec IT Systeme GmbH.......... r-tec IT Systeme GmbH 09.09.2014 Bedrohungslage 2014 SEITE 3 2010: Stuxnet

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

SECURITY, COMPLIANCE & TRUST IN DER CLOUD

SECURITY, COMPLIANCE & TRUST IN DER CLOUD SECURITY, COMPLIANCE & TRUST IN DER CLOUD See More, Act Faster, Spend Less Dr. Michael Teschner, RSA Deutschland Herausforderungen Security & Compliance Informationen Datenwachstum Bedeutung und Wert Infrastruktur

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen 1 Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen Führungskräfte Forum Berlin, den 18.10.2011 Thomas Köhler Leiter Public Sector, RSA Thomas.Koehler@rsa.com

Mehr

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF

BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006. Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF BMF-Zertifizierung: Kennzahlen & Erfolgsmessung mit ISO 27001-27006 Ing. Johann Pleskac, Leiter IT-Sicherheit, BMF Mai 2009 > Vorstellung des BMF / IT-Sektion Gründe für die Einführung des Standards Projektumfang

Mehr

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting

Mehr

IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe

IT Security @ EGGER. ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe IT Security @ EGGER ISMS- und IKS-Implementierung: Informationssicherheit im produzierenden Gewerbe Michael Danzl, IT Security Officer, Fritz Egger GmbH und Co.OG Inhalt Die EGGER Gruppe Die EGGER OrgIT

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008

esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 esec der sichere Weg zum ganzheitlichen Information-Security-Management-System (ISMS) nach ISO 27001 Version: 2.9 / 29.09.2008 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

S-ITsec: strategisches IT-Security-Managementsystem

S-ITsec: strategisches IT-Security-Managementsystem S-ITsec: strategisches IT-Security-Managementsystem IT-Sicherheit: Risiken erkennen, bewerten und vermeiden Ein etabliertes IT-Security-Managementsystem (ISMS) ist ein kritischer Erfolgsfaktor für ein

Mehr

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin

Software EMEA Performance Tour 2013. 17.-19 Juni, Berlin Software EMEA Performance Tour 2013 17.-19 Juni, Berlin In 12 Schritten zur ISo27001 Tipps & Tricks zur ISO/IEC 27001:27005 Gudula Küsters Juni 2013 Das ISO Rennen und wie Sie den Halt nicht verlieren

Mehr

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1

Ulrich Heun, CARMAO GmbH. CARMAO GmbH 2013 1 Ulrich Heun, CARMAO GmbH CARMAO GmbH 2013 1 Roter Faden Mit wem haben Sie es heute zu tun? Was ist Informationssicherheit? ISMS nach ISO 27001 ISMS und ITIL CARMAO GmbH 2013 2 CARMAO Das Unternehmen Gegründet

Mehr

Prüfkatalog nach ISO/IEC 27001

Prüfkatalog nach ISO/IEC 27001 Seite 1 Prüfkatalog nach ISO/IEC 27001 Zum Inhalt Konzeption, Implementierung und Aufrechterhaltung eines Informationssicherheits Managementsystems sollten sich an einem Prüfkatalog orientieren, der sowohl

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Informationssicherheits-, Risiko- und Compliance-Management

Informationssicherheits-, Risiko- und Compliance-Management Informationssicherheits-, Risiko- und Compliance-Management Professionelles Informationssicherheits-, Risiko- und Compliance-Management ISO 27001, Risiko- und Compliance-Management, Prozesse, Policies,

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

der sichere Weg zum ganzheitlichen Information-Security- nach ISO 27001

der sichere Weg zum ganzheitlichen Information-Security- nach ISO 27001 der sichere Weg zum ganzheitlichen Information-Security- Management-System (ISMS) nach ISO 27001 Version: 1.2 / 02.03.2009 WMC Wüpper Management Consulting GmbH Vertriebs-/Projektbüros Unternehmenssitz

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit. Ein Unternehmen der

Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit. Ein Unternehmen der Informationen zur Datensicherheit gemäß ISO 27001. Daten- & Informationssicherheit abs Fondsplattform schafft Informationssicherheit Die Sicherheit sensitiver Daten gehört zu den grundlegenden Anforderungen

Mehr

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012

4. PQM-Dialog: Qualitätszertifizierungen Vorgehen und Erfahrungen FH Kufstein Tirol 16. November 2012 ZUVERLÄSSIGE UND EFFIZIENTE ZERTIFIZIERUNGEN: TOOLUNTERSTÜTZES, INTEGRIERTES MANAGEMENTSYSTEM ZUR COMPLIANCE MIT REGULARIEN IM QUALITÄTS- UND RISIKOMANAGEMENT 4. PQM-Dialog: Qualitätszertifizierungen Vorgehen

Mehr

Neue Produkte 2010. Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 www.p-und-z.de

Neue Produkte 2010. Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 www.p-und-z.de Neue Produkte 2010 Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 Ploetz + Zeller GmbH. Symbio ist eine eingetragene Marke der Ploetz + Zeller GmbH. Alle anderen Marken

Mehr

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz

ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz ISMS und Sicherheitskonzepte ISO 27001 und IT-Grundschutz Aufbau eines ISMS, Erstellung von Sicherheitskonzepten Bei jedem Unternehmen mit IT-basierenden Geschäftsprozessen kommt der Informationssicherheit

Mehr

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit.

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit. www.actgruppe.de ACT Gruppe Effizienz. Innovation. Sicherheit. ACT Gruppe, Rudolf-Diesel-Straße 18, 53859 Niederkassel Telefon: +49 228 97125-0, Fax: +49 228 97125-40 E-Mail: info@actgruppe.de, Internet:

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

TeleTrusT-interner Workshop 2011. München, 30.06./01.07.2011

TeleTrusT-interner Workshop 2011. München, 30.06./01.07.2011 TeleTrusT-interner Workshop 2011 München, 30.06./01.07.2011 Werner Wüpper Wüpper Management Consulting GmbH Einführung eines Information Security Management Systems inklusive IT-Risikomanagement nach ISO/IEC

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Scan Resolve Analyse Report Transparenz in Windows-Dateisystemen Rechte- und Risiko-Analysen in gewachsenen Windows-Dateisystemen Revision, Wirtschaftsprüfer und Aufsichtsbehörden fordern verstärkt detaillierte

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

IT-Risiko- Management mit System

IT-Risiko- Management mit System Hans-Peter Königs 2008 AGI-Information Management Consultants May be used for personal purporses only or by libraries associated to dandelon.com network. IT-Risiko- Management mit System Von den Grundlagen

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Security Governance - Juli 2015 Agenda 1 2 3 Herausforderungen Unser Angebot Ihr Nutzen 2 Information Security Governance muss vielen Herausforderungen begegnen

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2

Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität. datenschutz cert GmbH Version 1.2 Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO 24762-Konformität datenschutz cert GmbH Version 1.2 Inhaltsverzeichnis Kriterienkatalog und Vorgehensweise für eine Begutachtung zur ISO

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule

Verankerung und Umsetzung der IT-Sicherheit in der Hochschule Verankerung und Umsetzung der IT-Sicherheit in der Hochschule 3. Arbeitstreffen der G-WiN Kommission des ZKI Berlin, den 27.10.2003 Dipl.-Inform. W. Moll Institut für Informatik IV der Universität Bonn

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Aufbau eines Information Security Management Systems in der Praxis 14.01.2010, München Dipl. Inform. Marc Heinzmann, ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein reines Beratungsunternehmen

Mehr

Compliance Monitoring mit PROTECHT.ERM

Compliance Monitoring mit PROTECHT.ERM covalgo consulting GmbH Operngasse 17-21 1040 Wien, Austria www.covalgo.at Compliance Monitoring mit PROTECHT.ERM Autor: DI Mag. Martin Lachkovics, Dr. Gerd Nanz Datum: 20. Oktober 2014, 29. April 2015

Mehr

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen

WHITEPAPER. ISO 27001 Assessment. Security-Schwachstellen und -Defizite erkennen WHITEPAPER ISO 27001 Assessment Security-Schwachstellen und -Defizite erkennen Standortbestimmung Ihrer Informationssicherheit basierend auf dem internationalen Standard ISO 27001:2013 ISO 27001 Assessment

Mehr

CA Cross-Enterprise Application Performance Management r2.0

CA Cross-Enterprise Application Performance Management r2.0 PRODUKTBLATT CA Cross-Enterprise Application Performance Management r2.0 Ganz neue Einblicke in kritische Messdaten für die Datenbank- und Netzwerkperformance sowie die Möglichkeit einer 360-Grad- Ansicht

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

IT-Risikomanagement. IT-Risikomanagement: Ballast oder Wertschöpfung? .verursacht nur Kosten und bringt nichts ein!

IT-Risikomanagement. IT-Risikomanagement: Ballast oder Wertschöpfung? .verursacht nur Kosten und bringt nichts ein! IT Ri ik IT-Risikomanagement: t Ballast B ll t oder d Wertschöpfung? W t hö f? IT-Risikomanagement.verursacht nur Kosten und bringt nichts ein!.macht sowieso niemand!.prüft ja sowieso keiner!.stresst nur

Mehr

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring

Mit SErviCE-lEvEl DDoS AppliCAtion SECUrity Monitoring Mit Service-Level DDoS Application Security Monitoring Die Umsetzung meiner Applikations-Security-Strategie war nicht immer einfach. AppSecMon konnte mich in wesentlichen Aufgaben entlasten. Kontakt zu

Mehr

Durchgängig IT-gestützt

Durchgängig IT-gestützt Beschaffung aktuell vom 03.09.2012 Seite: 026 Auflage: 18.100 (gedruckt) 10.253 (verkauft) 18.032 (verbreitet) Gattung: Zeitschrift Supplier Lifecycle Management Durchgängig IT-gestützt Obwohl die Identifizierung,

Mehr

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise

Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser. Umsetzungshinweise Ziele Auswirkungen des IT-Sicherheitsgesetzes für Krankenhäuser Umsetzungshinweise dubois it-consulting gmbh, Holzhofstr. 10, 55116 Mainz, +49 6131 2150691 oder +49 177 4104045, ingrid.dubois@dubois-it-consulting.de

Mehr

ITSM (BOX & CONSULTING) Christian Hager, MSc

ITSM (BOX & CONSULTING) Christian Hager, MSc ITSM (BOX & CONSULTING) Christian Hager, MSc INHALT Ausgangssituation ITSM Consulting ITSM Box Zentrales Anforderungsmanagement Beispielhafter Zeitplan Nutzen von ITSM Projekten mit R-IT Zusammenfassung

Mehr

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe -

Peter Meier. Die Umsetzung von Risikomanagement nach ISO 31000. - Leseprobe - Peter Meier Die Umsetzung von Risikomanagement nach ISO 31000 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen

Mehr

Risk Management. Überblick RIM 1.5.100

Risk Management. Überblick RIM 1.5.100 Risk Management Überblick - 1 - OMNITRACKER Risk Management im Überblick Effizientes Risikomanagement mit dem OMNITRACKER Risk Management Ein Werkzeug zur Abdeckung des gesamten Prozesses von der Risikoerfassung

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

1. Normen für Unternehmen

1. Normen für Unternehmen 1. Normen für Unternehmen Normen sind gut für ein Missverständnis und schlecht für ein Verständnis. Um diesem Wortspiel einen konkreten Inhalt zu geben, seien zwei Thesen angeführt: Das Missverständnis

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Clouds bauen, bereitstellen und managen. Die visionapp CloudFactory

Clouds bauen, bereitstellen und managen. Die visionapp CloudFactory Clouds bauen, bereitstellen und managen Die visionapp CloudFactory 2 Lösungen im Überblick Kernmodule CloudCockpit Das Frontend Der moderne IT-Arbeitsplatz, gestaltet nach aktuellen Usability-Anforderungen,

Mehr

Leitfaden zum sicheren Betrieb von Smart Meter Gateways

Leitfaden zum sicheren Betrieb von Smart Meter Gateways Leitfaden zum sicheren Betrieb von Smart Meter Gateways Wer Smart Meter Gateways verwaltet, muss die IT-Sicherheit seiner dafür eingesetzten Infrastruktur nachweisen. Diesen Nachweis erbringt ein Gateway-

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

Data Leakage ein teures Leiden

Data Leakage ein teures Leiden Data Leakage ein teures Leiden Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

WOTAN-GRC-Monitor. Governance, Risk & Compliance Governance (Betriebsführung) Risk (Risiko-Management) Compliance (Einhaltung von Regeln)

WOTAN-GRC-Monitor. Governance, Risk & Compliance Governance (Betriebsführung) Risk (Risiko-Management) Compliance (Einhaltung von Regeln) Governance, Risk & Compliance Governance (Betriebsführung) Risk (Risiko-Management) Compliance (Einhaltung von Regeln) WOTAN-GRC-Monitor Das Risiko eines Unternehmens ist zu einem beträchtlichen Teil von

Mehr

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin INFORA GmbH Martin Krause Cicerostraße 21 10709 Berlin Tel.: 030 893658-0 Fax: 030 89093326 Mail: info@infora.de www.infora.de Agenda Die Ausgangssituation

Mehr

Änderungen ISO 27001: 2013

Änderungen ISO 27001: 2013 Änderungen ISO 27001: 2013 Loomans & Matz AG August-Horch-Str. 6a, 55129 Mainz Deutschland Tel. +496131-3277 877; www.loomans-matz.de, info@loomans-matz.de Die neue Version ist seit Oktober 2013 verfügbar

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Cyber-Sicherheitscheck - Juli 2015 Inhalt 1 2 3 Einleitung und Herausforderungen Unsere Methodik Ihr Nutzen IT-Advisory 2 Cyber-Sicherheit eine Definition Cyber-Sicherheit

Mehr

BPMN2.0 Geschäftsprozesse effizient gestalten. Ganz klar persönlich.

BPMN2.0 Geschäftsprozesse effizient gestalten. Ganz klar persönlich. BPMN2.0 Geschäftsprozesse effizient gestalten Ganz klar persönlich. Theorie BPMN2.0 Business Prozess Model and Notation ist eine grafische Spezifikationssprache und stellt Symbole zur Verfügung, mit denen

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

PRÄSENTATION ZUR BACHELORARBEIT

PRÄSENTATION ZUR BACHELORARBEIT PRÄSENTATION ZUR BACHELORARBEIT THEMA: Katastrophenmanagement im Rahmen von ITSCM am Beispiel der Sparkasse Hildesheim AUTOREN: Christian Heber & Daniela Baehr GLIEDERUNG 1 Einleitung 2 Der ITSCM-Lifecycle

Mehr

Informations- / IT-Sicherheit Standards

Informations- / IT-Sicherheit Standards Ziele Informations- / IT-Sicherheit Standards Überblick über Ziele, Anforderungen, Nutzen Ingrid Dubois Grundlage zuverlässiger Geschäftsprozesse Informationssicherheit Motivation Angemessenen Schutz für

Mehr

Workflowmanagement. Business Process Management

Workflowmanagement. Business Process Management Workflowmanagement Business Process Management Workflowmanagement Workflowmanagement Steigern Sie die Effizienz und Sicherheit Ihrer betrieblichen Abläufe Unternehmen mit gezielter Optimierung ihrer Geschäftsaktivitäten

Mehr

IT-Sicherheitsmanagement IT Security Management

IT-Sicherheitsmanagement IT Security Management Sommerakademie 2006, 28. August, Kiel Summer Conference 2006, 28th August, Kiel IT-Sicherheitsmanagement IT Security Management Dr. Martin Meints, ULD Dr. Martin Meints, ICPP Inhalt Allgemeine Überlegungen

Mehr

Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken

Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken Datenblatt: Endpoint Security Symantec Protection Suite Enterprise Edition für Endpoints Effizienter Umgang mit IT-Sicherheitsrisiken Überblick Mit minimieren Unternehmen das Gefährdungspotenzial der ITRessourcen,

Mehr

Business Continuity Management Systeme

Business Continuity Management Systeme Business Continuity Management Systeme Q_PERIOR AG 2014 www.q-perior.com Einführung Verschiedene Gefahren bzw. Risiken bedrohen die wirtschaftliche Existenz eines Unternehmens. Terrorismus: Anschläge auf

Mehr

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor SyroCon Consulting GmbH Bosch Software Innovations GmbH Managed Energy Services als neue Dienste von Carriern Die Entwicklungen im Energiesektor

Mehr

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet

PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet PCI-Compliance Sichere Bezahlung mit Kreditkarten im Internet Dr.-Ing. Patrick Theobald, usd.de ag 2. Darmstädter Informationsrechtstag 23. Juni 2006 Vorstellung Dr.-Ing. Patrick Theobald Vorstand usd.de

Mehr

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung

Heiter bis wolkig Sicherheitsaspekte und Potentiale von Cloud Computing für die öffentlichen Verwaltung Heiter bis wolkig Sicherheitsaspekte und Potentiale von Computing für die öffentlichen Verwaltung Jörg Thomas Scholz Leiter Professional Services Public Sector Deutschland, Siemens AG Führungskräfteforum,

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr