Einsatz von Archer für ISMS, IT-Risikomanagement und Business Continuity Management

Größe: px
Ab Seite anzeigen:

Download "Einsatz von Archer für ISMS, IT-Risikomanagement und Business Continuity Management"

Transkript

1 RSA Archer egrc-lösungen Einsatz von Archer für ISMS, IT-Risikomanagement und Business Continuity Management

2 Die Dynamik der wirtschaftlichen Rahmenparameter und damit einhergehend die ständige Weiterentwicklung und der Wandel des regulatorischen Rahmens stellen für Unternehmen aller Branchen im Hinblick auf Risiko- und Compliance-Management eine große Herausforderung dar. Prominente und sichtbare Ereignisse für diese Entwicklung sind zum Beispiel die Bankenkrise, die Korruptionsfälle namhafter Unternehmen oder auch die Datenverluste großer Firmen in den letzten Jahren. Durch eine gemeinsame und integrierte Herangehensweise an die drei zentralen Kontrollelemente in Unternehmen Governance, Risiko und Compliance lassen sich erhebliche Kosteneffekte realisieren und deutliche Verbesserungen erzielen. Gesetzliche Vorgaben, z. B. das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), fordern die Einführung eines unternehmensweiten Systems zur Früherkennung bestandgefährdender Entwicklungen (Risikomanagementsystem), sowie die Veröffentlichung von Aussagen zu Risiken und Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft. Diese Entwicklungen müssen dabei auf verschiedenen Ebenen und in unterschiedlichen Bereichen eines Unternehmens erkannt und gehandhabt werden. Neben einem Information Security Management System (ISMS) ergeben sich für IT-Abteilungen Anforderungen an eine konkrete Identifikation, Bewertung und Steuerung von Risiken (Risikomanagement) und die Vorbereitung auf schwerwiegende Ereignisse (Business Continuity Management). Teilaspekte von GRC-Prozessen in Unternehmen werden heutzutage mit sogenannten Managementsystemen gesteuert, vereinfacht und automatisiert. Grundlage eines jeden Managementsystems sind dabei verlässliche Informationen über die aktuelle Situation, getreu dem Motto You can t manage what you can t measure. In Zeiten knapper Budgets und Ressourcen ist dabei jedoch die Erhebung und Auswertung dieser Informationen eine echte Herausforderung, insbesondere in großen und verteilten Umgebungen. Der Erfolg der genannten Managementsysteme kann aus den verschiedensten Gründen gefährdet sein. Dazu zählen unter anderem: die Komplexität und damit ein Verzetteln, ohne sich auf das Wesentliche zu konzentrieren fehlende Transparenz im Unternehmen Bildung von Silos und mangelhafte Kommunikation Daher setzen viele Unternehmen Tools ein, die die konkrete Umsetzung dieser Managementsysteme so effizient und effektiv wie möglich gestalten. Darüber hinaus geht der Trend hin zur Integration und gemeinsamen Steuerung verschiedenster Managementsysteme als Teil einer in vielen Unternehmen angestrebten oder bereits umgesetzten Governance-Strategie. seite 2

3 1. ÜBERBLICK RSA ARCHER egrc-lösungen Mit dem RSA Archer egrc-lösungsangebot lassen sich die Umsetzung und der Betrieb eines effizienten und integrierten GRC-Programms unternehmensweit vereinheitlichen und automatisieren. Dies erfolgt unter Berücksichtigung und Einbindung von Mitarbeitern, Prozessen und Technologien. RSA Archer-Lösungen unterstützen bei der Steuerung von Risiken, beim Nachweis der Konformität zu internen und externen Vorgaben, bei der Automatisierung von Geschäftsprozessen sowie bei der Steigerung der Akzeptanz von Sicherheitsvorgaben. Am Ende steht eine umfassende Transparenz in Bezug auf Unternehmensrisiken und die Einhaltung von Compliance. Die RSA Archer egrc-lösungen werden über alle Branchen hinweg für die unterschiedlichsten GRC-Anforderungen sowohl im Business, als auch im IT-Bereich eingesetzt. Viele Großunternehmen, darunter die Hälfte der Fortune 100, nutzen RSA Archer egrc- Lösungen, um: Richtlinien und deren Ausnahmen über den gesamten Lebenszyklus zu verwalten Risiken auf allen Ebenen des Unternehmens darzustellen und entsprechende Berichte zu erstellen gesetzliche und regulatorische Anforderungen zu erfüllen Vorfälle in unterschiedlichen Bereichen zu erfassen und zu handhaben Business Continuity- und Disaster Recovery-Pläne zentral zu erstellen und zu verwalten und risikoorientierte und an den Geschäftsprozessen ausgerichtete interne Audits durchzuführen. Durch den Ansatz, verschiedene Lösungen auf einer Plattform zusammenzufassen, ist RSA Archer die erste Wahl bei der Umsetzung sowohl einzelner Managementsysteme als auch einer umfassenden Goverance-Strategie. In enger Zusammenarbeit mit Kunden hat Archer über die verschiedenen GRC-Domänen hinweg Kernprozesse definiert und hierfür folgende Standardlösungen entwickelt: Policy Management: Unternehmensweite Verwaltung von Regeln und Ausnahmen zu diesen Regeln Risikomanagement: Visualisierung und Kommunikation von Risiken auf allen Geschäftsebenen Compliance Management: Effiziente Einhaltung vorgegebener Regeln Vendor Management: Management von Third Party-Beziehungen, auch im Falle von Outsourcing; Bewertung von Risiko- und Compliance -Aspekten Threat Management: Erfassung von Bedrohungen und Gefährdungspotenzialen; Aufzeigen der Relevanz für Geschäftsprozesse Incident Management: Untersuchung von Vorfällen und Definition von Lösungswegen Business Continuity Management: Zentralisierung von Business Continuity-Planung und -Verwaltung Audit Management: Prozess für interne Audits in Bezug auf Risikobetrachtung und Geschäftsprozesse RSA Archer Standard-Lösungen RSA Archer-Plattform seite 3

4 Obwohl sich die GRC-Problemstellungen von Unternehmen weitgehend ähneln, bestehen in jeder Organisation bereits Prozesse und Best Practices. Eine zentrale Komponente der RSA Archer-Plattform bildet daher die Rapid Development-Funktionalität, die es erlaubt, Lösungskomponenten ohne Programmieraufwand an bestehende Prozesse anzupassen oder neue Funktionen in das System zu integrieren. Die RSA Archer egrc-plattform bietet einen umfassenden Funktionsumfang, um Kontrollstrukturen in Unternehmen einheitlich aufzubauen und zu verwalten. Das Ergebnis ist eine durchgängige Struktur, die es ermöglicht Risiken im Geschäftskontext zu betrachten, den Compliance-Status zu überschauen sowie zugehörige Prozesse zu verschlanken und zu automatisieren. Die Leistungsmerkmale der Plattform im Überblick: Zentrale Instanz zur Verwaltung von Richtlinien, Kontrollstandards, Risikoindikatoren, Bewertungen und Schwachstellen Unterschiedliche Funktionalitäten, z. B. Risikomanagement, Compliance Management, Privacy Management, Informationssicherheit und Business Continuity, arbeiten auf der gleichen Kontroll- und Datenstruktur unter Verwendung standardisierter Prozesse Umfangreiche Bibliothek von Richtlinien, Kontrollstandards, Kontrollverfahren und Standards, die auf gesetzliche Vorschriften abgestimmt sind Flexible und umfangreiche Prozesse zur Integration mit Daten führenden Systemen Visualisierung ( Dashboards ) von Risikoprofil und Compliance-Status des Unternehmens in Echtzeit sowie Prozesse zur Priorisierung und Steuerung von Aufgaben 2. INFORMATION SECURITY MANAGEMENT SYSTEM Ein Information Security Management System (ISMS) nach ISO orientiert sich am sogenannten PDCA-Zyklus zur kontinuierlichen Verbesserung. Er besteht aus den Phasen 1. Plan 2. Do 3. Check und 4. Act Nachfolgend wird beschrieben, wie RSA Archer ein ISMS nach ISO in den jeweiligen Phasen unterstützen kann. seite 4

5 2.1 Phase Plan : Design und Planung Eine wesentliche Aufgabe in der Planungsphase eines ISMS ist die Erstellung, Abstimmung und Inkraftsetzung von Vorgaben. Diese Vorgaben werden dabei üblicherweise auf verschiedenen Ebenen erstellt. In der Policy Management-Lösung von RSA Archer sind dabei die folgenden Ebenen vorgesehen: Unternehmensziele (Ziele des ISMS) Richtlinien (technologieunabhängige, grundlegende Prinzipien) Kontrollstandards (konkretere Vorgaben, die aber immer noch produktunabhängig sind) Kontrollverfahren (technologiespezifische Verfahren zur Prüfung der Kontrollstandards) Auf allen Ebenen bringt RSA Archer eine Vielzahl von Beispielen mit, die entweder direkt in das eigene Regelwerk übernommen werden oder einen wertvollen Beitrag bei dessen Erstellung liefern können. Darüber hinaus beinhaltet die Policy Management-Lösung eine Vielzahl an internationalen Standards und Gesetzen (z. B. ISO oder das Bundesdatenschutzgesetz), deren einzelne Abschnitte jeweils auf Richtlinien, Kontrollstandards und Kontrollverfahren abgestimmt sind. Dadurch ist lückenlos nachvollziehbar, aus welcher externen Anforderung eine interne Anforderung abgeleitet ist. Auch die Erstellung, Abstimmung und Inkraftsetzung dieser Vorgaben kann mit RSA Archer entscheidend vereinfacht und transparenter gestaltet werden. Mit der Funktion Content Review können Phasen beim Erstellen einer Vorgabe definiert werden. In jeder Phase können unterschiedliche Verantwortliche festgelegt werden, die jeweils mit unterschiedlichen Berechtigungen ausgestattet sind. Alle Änderungen von der initialen Erstellung bis hin zur Freigabe sind dabei lückenlos nachvollziehbar. Die folgende Abbildung zeigt ein Unternehmensziel, das sich gerade im Content Review-Prozess befindet: seite 5

6 2.2 Phase Do : Umsetzung und Betrieb Auch beim Betrieb eines ISMS bietet RSA Archer konkrete Lösungen für eine Vielzahl an Prozessen. Die folgende Tabelle bietet einen groben Überblick: ISMS-Prozess Behandlung von Ausnahmen zu Vorgaben mit Workflows für deren Genehmigung und Prüfung Handhabung von Sicherheitsvorfällen Maßnahmen zur Schärfung des Bewusstseins und Trainings Umsetzung mit RSA Archer Applikation " Ausnahmeanträge " der Policy Management-Lösung Incident Managment-Lösung von RSA Archer Präsentationen und Quizze, siehe auch Kapitel 4.6 Als kleiner Ausschnitt der vielfältigen Möglichkeiten zeigt die folgende Abbildung eine Übersicht über Ausnahmeanträge mit deren Status, Beschreibung, dem betroffenen Kontrollstandard und dem Einrichtungsdatum: 2.3 Phase Check : Überwachung und Überprüfung In dieser Phase werden die einzelnen Aspekte eines ISMS auf deren Wirksamkeit hin überprüft. Dies beinhaltet beispielsweise: Prüfung des Umsetzungsgrades von Vorgaben Prüfung von Vorgaben Ermittlung von Kennzahlen zu Prozessen des ISMS Erstellen von Berichten für die Geschäftsführung Mit der Compliance Management-Lösung von RSA Archer kann der Umsetzungsgrad von Vorgaben überprüft werden. Dies kann dabei entweder manuell im Rahmen von Prüfungen oder automatisiert über die Anbindung externer Datenquellen (z. B. einer System- Management-Lösung) erfolgen. Eventuell identifizierte Abweichungen werden als Findings (Ergebnisse) erfasst und können zentral ausgewertet werden. Mit Hilfe von Workflows kann der Prozess zur Prüfung von Vorgaben stark vereinfacht und transparent gestaltet werden. Benachrichtigungen informieren Verantwortliche automatisch über eine anstehende Prüfung. Kennzahlen zu Prozessen, die mit Unterstützung von RSA Archer durchgeführt werden, können sehr einfach ausgewertet und grafisch aufbereitet werden. Damit ist die Erstellung von Berichten für die Führungsebene auf Knopfdruck möglich. seite 6

7 Mit der Audit Management-Lösung von RSA Archer kann darüber hinaus ein ganzes Audit-Programm abgebildet werden. Dabei können beispielsweise: Audit-Projekte mit deren Mitarbeitern geplant Unterlagen archiviert Findings und Pläne zu deren Behebung erfasst oder Feedback zu den Audits eingeholt werden. Die folgende Abbildung zeigt einen Fragebogen, mit dem ein Feedback zum Audit eingeholt werden kann: 2.4 Phase Act : Instandhaltung und Verbesserung In dieser Phase wird das ISMS weiterentwickelt. Typischerweise werden dabei Maßnahmen aus der vorhergehenden Phase auf den Weg gebracht und nachverfolgt. In RSA Archer werden Maßnahmen zur Verbesserung als sogenannte Remediation Plans erfasst. Auch hier kann die Nachverfolgung mittels -Benachrichtigungen weitgehend automatisiert werden. Die folgende Abbildung zeigt ein Beispiel eines solchen Plans: seite 7

8 3. RISIKOMANAGEMENT-SYSTEM Nachdem Rahmenbedingungen wie Bewertungsschemata für Risiken oder der Umfang für Analysen festgelegt wurden, erfolgt das Management von Risiken nach dem international anerkannten Standard ISO in folgenden Schritten: 1. Risiko-Identifikation 2. Risiko-Abschätzung 3. Risiko-Bewertung 4. Risiko-Behandlung Nachdem die Bewertung und Behandlung der Risiken abgestimmt und akzeptiert wurde (Risiko-Übernahme), müssen diese Risiken einerseits an die entsprechenden Verantwortlichen kommuniziert und anderseits kontinuierlich überwacht und überprüft werden. Risiko-Kommunikation Rahmenbedingungen Risiko-Identifikation Risiko-Abschätzung Risiko-Bewertung Risiko-Behandlung Risiko-Übernahme Im Folgenden wird beschrieben, wie diese Schritte in einem Risikomanagement-Prozess nach ISO durch RSA Archer unterstützt werden. Risiko-Überwachung und -Überprüfung 3.1 Rahmenbedingungen Die Rahmenbedingungen eines Risikomanagement-Systems bilden die Basis für eine vergleichbare und nachvollziehbare Bewertung der Risiken. Die Bewertungsschemata für Risiken werden direkt in RSA Archer hinterlegt. Die Risk Management-Lösung bringt dabei eine Reihe gängiger Schemata mit, die bei Bedarf flexibel an individuelle Anforderungen angepasst werden können. Die folgende Abbildung zeigt das im Lieferumfang enthaltene Bewertungsschema für Risiken der Risk Management-Lösung: seite 8

9 3.2 Risiko-Identifikation, -Abschätzung und -Bewertung Für die Risiko-Identifikation, -Abschätzung und -Bewertung mit RSA Archer gibt es zwei unterschiedliche Optionen: 1. Risikoregister 2. Fragebögen Das Risikoregister ist eine Applikation der RSA Archer-Plattform, in der einzelne Risiken dokumentiert und bewertet werden. Dies kann dabei entweder bei Bedarf (z. B. im Nachgang eines Vorfalls oder nach einem Audit) oder im Rahmen von Workshops geschehen. Bei den Fragebögen hingegen werden Risikobewertungen gezielt für einzelne Untersuchungsgegenstände durchgeführt. Aufgrund der standardisierten Vorgehensweise kann dies auch sehr effizient im Rahmen von Eigenbeurteilungen erfolgen. Die folgende Abbildung zeigt ein Risiko, das im Risikoregister von RSA Archer erfasst und dokumentiert wurde. In der Phase der Risiko-Identifikation werden Fragebögen für den betrachteten Bereich (z. B. ein Standort oder eine IT-Anwendung) ausgefüllt. Die Risk Management-Lösung von RSA Archer bringt bereits eine Fülle integrierter Fragebögen mit, die wertvolle Hilfestellung beim Aufbau eines Risikomanagement-Systems liefern. Auch für das Risikoregister beinhaltet die Lösung bereits zahlreiche Beispiel-Risiken, die bei der ersten Identifikation in einem Unternehmen ebenfalls wertvolle Unterstützung leisten. seite 9

10 3.3 Risiko-Behandlung Wie die folgende Abbildung zeigt, gibt es bei der Behandlung von Risiken verschiedene Möglichkeiten: Maßnahmen zur Minimierung, Vermeidung oder zur Übertragung von Risiken werden in RSA Archer als sogenannte Remediation Plans angegeben. Dabei können neben den erwarteten und tatsächlichen Kosten auch die Daten für dessen Umsetzung hinterlegt werden. Mit Hilfe definierbarer Workflows kann damit die Umsetzung dieser Pläne nachhaltig überwacht werden. Risiko-Behandlung Risiken minimieren Risiken akzeptieren Risiken vermeiden Risiken übertragen 3.4 Risiko-Übernahme Nachdem nun die Risiken identifiziert, bewertet und ein Plan für deren Handhabung erstellt wurde, werden alle Ergebnisse im Rahmen einer Risiko-Übernahme von der Führungsriege des Unternehmens abgenommen. Diese Risiko-Übernahme wird in RSA Archer entweder direkt im Risikoregister oder als Teil des jeweiligen Fragebogens hinterlegt. Die Verantwortlichen aus dem Management können die Risiko-Übernahmen direkt in RSA Archer vornehmen. 3.5 Kommunikation Alle Risiken, die in RSA Archer erfasst und dokumentiert sind, können sehr flexibel ausgewertet und direkt dargestellt werden, z. B. im sogenannten Executive Dashboard. Damit lassen sich die Risiken zielgruppengerecht und ohne zusätzlichen Aufwand darstellen. Die folgende Abbildung veranschaulicht dies beispeilhaft: seite 10

11 3.6 Überwachung und Überprüfung Für eine nachhaltige Steuerung von Risiken ist es darüber hinaus notwendig, bestehende Risiken kontinuierlich zu überwachen, regelmäßig zu überprüfen und neu zu bewerten. Diese Punkte können auch wiederum mit RSA Archer durchgeführt werden: 1. Die Überwachung von Risiken erfolgt in RSA Archer über sogenannte Metrics (Kennzahlen). Damit können sogenannte Key Risk-Indikatoren (wichtige Risikoindikatoren) erfasst und ausgewertet werden. 2. Die Bewertung von Risiken erfolgt quartalsweise über die Quarterly Risk Reviews. Damit kann der geforderte Prüfprozess nachvollziehbar dokumentiert werden. Die folgende Abbildung zeigt, wie im Risikoregister die dazugehörigen Risk Reviews verwaltet werden. Die Risk Management-Lösung von RSA Archer beinhaltet bereits viele mögliche Key Risk-Indikatoren, die beim Aufbau einer Risikoüberwachung ebenfalls eine wertvolle Unterstützung darstellen. seite 11

12 4. BUSINESS CONTINUITY MANAGEMENT-SYSTEM Ein Business Continuity Management- System nach dem international anerkanntem Standard BS wird von einem zentralen BCM-Programm- Management gesteuert. Es sorgt sowohl für die initiale Etablierung des Managementsystems als auch für dessen kontinuierliche Weiterentwicklung. Der eigentliche Regelkreislauf beinhaltet die folgenden Schritte: Übung, Pflege und Review BCM Programm Management Verstehen der Organisation 1. Verstehen der Organisation 2. Definition einer BCM-Strategie 3. Entwicklung um Umsetzung der BCM- Antwort 4. Übung, Pflege und Review Entwicklung und Umsetzung der BCM- " Antwort " Definition einer BCM-Strategie Nicht zuletzt muss das Business Continuity Management in der Unternehmenskultur verankert werden. Das ist z. B. über Maßnahmen zur Bewusstseinsschärfung oder Trainings möglich. Verankern des BCM in der Kultur der Organisation Nachfolgend wird beschrieben, wie diese Schritte in einem Business Continuity Management-Prozess nach BS durch RSA Archer unterstützt werden. 4.1 BCM-Programm-Management Ähnlich wie im Bereich der Informationssicherheit bieten die RSA Archer-Lösungen auch für das BCM-Programm-Management wertvolle Unterstützung: 1. Durch die zentrale Verwaltung aller Informationen aus dem Business Continuity Management-System erhalten die Verantwortlichen jederzeit auf Knopfdruck einen Überblick über die aktuelle Situation - vom Stand der Bewertungen der Geschäftsprozesse über die Aktualität der Notfallpläne bis hin zu den Ergebnissen der letzten Notfalltests. 2. Erinnerungen an Termine für Prüfungen oder den nächsten Notfalltest werden durch RSA Archer automatisch per verschickt, sodass eine nachhaltige Steuerung des BCM ohne großen Aufwand möglich wird. 3. Alle Dokumente zum Business Continuity Management werden zusammen mit deren Status zentral in Archer abgelegt. seite 12

13 Die folgende Abbildung zeigt einen Überblick über die vielfältigen Auswertungsmöglichkeiten von einem Überblick über die Pläne zu den Ergebnissen von Business Impact- Analysen bis hin zu Auswertungen vergangener Notfälle. 4.2 Verstehen der Organisation Mit der Business Impact Analysis-Applikation von RSA Archer können Geschäftsprozesse hinsichtlich ihrer Kritikalität und bestehender Abhängigkeiten bewertet werden. Darüber hinaus können analog zu einem Risiko Management-System auch hier Risikoanalysen durchgeführt und Maßnahmen zur Behandlung dieser Risiken definiert und dauerhaft durchgesetzt werden. Die folgende Abbildung zeigt einen Ausschnitt einer Business Impact-Analyse mit der RSA Archer Business Continuity Management-Lösung: seite 13

14 4.3 Definition einer BCM-Strategie Unterschiedliche BCM-Strategien können in RSA Archer in der Recovery Strategies- Applikation verwaltet werden. Sie werden einmal erfasst und können je nach Art des Ausfalls in unterschiedlichen Notfallplänen wiederverwendet werden. Zu jeder Strategie können dabei mehrere Phasen und darin wiederum mehrere Aufgaben beschrieben werden. Die folgende Abbildung zeigt eine in RSA Archer definierte Recovery Strategie: 4.4 Entwicklung um Umsetzung der BCM- Antwort Mit RSA Archer können sowohl Business Continuity-Pläne als auch Disaster Recovery- Pläne verwaltet werden. Über -Benachrichtigungen und Workflows kann sowohl deren Erstellung als auch deren Pflege und Weiterentwicklung erheblich vereinfacht werden. Die Pläne lassen sich mit bestehenden Business Impact-Analysen, Recovery- Strategien oder vergangenen Ausfällen verknüpfen. Die folgende Abbildung zeigt die Verwaltung eines Business Continuity-Plans in RSA Archer : seite 14

15 4.5 Übung, Pflege und Prüfung Für die Dokumentation von Übung, Pflege und Überprüfung beinhaltet die Business Continuity Management-Lösung von RSA Archer die Applikation BC/DR-Tests. Diese Tests werden entweder für einen Business Continuity- oder einen Disaster Recovery-Plan durchgeführt. Neben den Testergebnissen können hier vor allem auch Maßnahmen zur Verbesserung des Business Continuity Management-Systems dokumentiert werden. Zur Einhaltung der vorgesehenen Test- und Prüfzyklen für die Pläne können auch hier wieder -Benachrichtigungen genutzt werden. Die folgende Abbildung zeigt die Dokumentation eines Notfalltests für ein Rechenzentrum: 4.6 Verankern des BCM in der Unternehmenskultur Auch im Bereich Bewusstseinsförderung und Trainings bietet RSA Archer eine Vielzahl an Möglichkeiten. So kann beispielsweise ein Quiz veranstaltet werden, um Mitarbeiter mit dem Thema BCM vertraut zu machen. Darüber hinaus können auch Informationen in Form von Präsentationen zusammengestellt und den Mitarbeitern zur Verfügung gestellt werden. Alle diese sogenannten Events können zu Kampagnen zusammengefasst und über umfassende Auswertungen jederzeit nachverfolgt werden. Die folgende Abbildung zeigt ein einfaches Quiz zum Thema BCM: seite 15

16 5. VON DER EINZELLÖSUNG ZUM INTEGRIERTEN MANAGEMENTSYSTEM Die folgende Abbildung zeigt beispielhaft ein Modell, in dem die Managementsysteme Information Security Management-System Risikomanagement-System und Business Continuity Management-System zu einem gemeinsamen und integrierten Managementsystem zusammenwachsen: Gesamtsteuerung (Governance) Überwachung und Berichterstellung Risiko- und Compliance-Management Integriertes Regelwerk Klassifikation Priorisierung Fachliche Prozesse* Audit *Prozesse rund um Information Security, Risk und Business Continuity Management Dieses integrierte Managementsystem verfügt über zentrale Steuerung bestehend aus 1. einer zentralen Überwachung und einer gemeinsamen Berichterstellung, in der alle Informationen aus den einzelnen Bereichen zusammengeführt und die als Basis für fundierte Entscheidungen zur Weiterentwicklung des Systems dient. 2. einem zentralen Risiko- und Compliance-Management, in dem bestehende Risiken ganzheitlich betrachtet und die Konformität des integrierten Managementsystems zu internen und externen Vorgaben sichergestellt wird. 3. einem integrierten Regelwerk mit zentralen Prozessen zu dessen Pflege zur Behandlung von Ausnahmen, in dem Vorgaben zu allen beteiligten Managementsystemen festgeschrieben sind. RSA Archer ist für diesen Zweck das ideale Werkzeug. Verschiedenste Informationen laufen dort zusammen und können zentral ausgewertet werden. Die Risiko-, Compliance- und Policy Management-Lösungen ergänzen diesen Ansatz um die technische Unterstützung für die genannten Prozesse zur Steuerung des integrierten Managementsystems. seite 16

17 Die folgende Abbildung zeigt, wie Informationen aus verschiedensten Unternehmensbereichen im " Executive Dashboard " von RSA Archer zusammenlaufen: Üblicherweise werden gerade in großen und verteilten Unternehmen Geschäftsprozesse, IT-Systeme, Standorte oder Lieferanten ( " Assets " ) nach Kritikalität klassifiziert. Ziel dabei ist es, eine Priorisierung vorzunehmen und die bestehenden Ressourcen beispielsweise bei der Umsetzung von Maßnahmen zur Informationssicherheit, bei der Analyse von Risiken oder bei der Wiederherstellung von IT-Systemen nach einem Ausfall möglichst effizient einsetzen zu können. Auch diese Klassifizierungsprozesse können in einem integrierten Managementsystem zentralisiert werden. Darüber hinaus kann auch ein Audit-Programm als Basis für einen kontinuierlichen Verbesserungsprozess im Bereich der Informationssicherheit, des Risikomanagements und des Business Continuity Managements zentralisiert werden. Dabei können im Rahmen eines Audits verschiedene Aspekte geprüft werden, um alle Bereiche zu verschlanken. Es gibt aber auch fachliche Aspekte, die nicht zentralisiert werden können. Dazu zählen neben vielen weiteren Prozesse zur Verankerung der Informationssicherheit in IT-Projekten beispielsweise Prozesse zur Behandlung von Schwachstellen und Sicherheitsvorfällen, Prozesse zur Erstellung von Notfallplänen oder Prozesse zur Benachrichtigung von Verantwortlichen in einem Notfall. Die RSA Archer-Lösungen bieten in allen Bereichen wertvolle technische Unterstützung sei es bei der Klassifizierung, bei konkreten fachlichen Prozessen oder bei Audits. seite 17

18 6. FAZIT UND AUSBLICK Mit der RSA Archer egrc-plattform und Lösungen von RSA Archer steht Unternehmen ein leistungsstarkes und zugleich flexibles Werkzeug zur Verfügung, das die Umsetzung einzelner Managementsysteme zu unterstützt. Darüber hinaus können mit RSA Archer aber auch die Vorteile und Synergieeffekte eines integrierten Managementsystems optimal genutzt werden. Mit der Flexibilität der RSA Archer egrc-plattform ist sogar eine Integration weiterer Managementsysteme denkbar, z. B. Qualitätsmanagement (ISO 9001), IT-Service-Management (ISO 20000) oder Umweltmanagement (ISO 14001). Genau diese Flexibilität ist die große Stärke der RSA Archer egrc-lösungen. Selbst wenn die zu Grunde liegenden Standards oftmals dieselben sind, ist die konkrete Umsetzung in einem Unternehmen doch oft sehr individuell. Infolgedessen ist es für den Erfolg eines einzelnen oder eines integrierten Managementsystems entscheidend, dass sich das eingesetzte Tool optimal an die konkreten Anforderungen anpassen lässt. Für weitere Informationen besuchen Sie uns im Internet unter seite 18

19 seite 19

20 Kurzprofil RSA RSA, The Security Division of EMC, ist ein führender Anbieter von Sicherheits-, Risiko-und Compliancemanagement-Lösungen. RSA unterstützt Unternehmen bei der Bewältigung von sicherheitsspezifischen Herausforderungen. Dazu gehören das organisatorische Risikomanagement, die Absicherung des Zugangs zu mobilen Anwendungen, den Nachweis der Einhaltung von Sicherheitsanforderungen sowie die Absicherung von virtuellen Infrastrukturen und Cloud-Umgebungen. Mit Identitätsprüfung, Kryptographie, Schlüsselmanagement, Security Information und Event Management (SIEM), Data Loss Prevention und Betrugsbekämpfung bis hin zu Enterprise Governance, Risk & Compliance (egrc) sowie umfassenden Beratungsleistungen sorgt RSA für Transparenz und Vertrauen in digitale Identitäten, Transaktionen und Daten von Millionen von Anwendern. Mehr Informationen erhalten Sie unter und RSA, das RSA-Logo, EMC2, EMC und where information lives sind eingetragene Marken oder Marken von EMC Corporation in den USA und anderen Ländern. Andere in diesem Dokument erwähnte Marken sind Eigentum ihrer jeweiligen Inhaber EMC Corporation. Alle Rechte vorbehalten. egrc SEC SB 0511 DE

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer

Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Automatisierung eines ISMS nach ISO 27001 mit RSA Archer Wilhelm Suffel Senior Consultant Computacenter AG & Co ohg Hörselbergstraße 7, 81677 München, Germany Tel.: +49 89 45712 446 Mobile: +49 172 8218825

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Enterprise Risikomanagement nach ISO 31000 MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Basis des operativen Risikomanagement Was ist unter dem Begriff Risiko zu verstehen? GEFAHR? Begutachtung

Mehr

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS

TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland. ISO 27001 / Aufbau eines ISMS TÜV Rheinland i-sec GmbH / ISMS Kurze Unternehmensvorstellung Was ist ein ISMS (und was nicht)? Drei zentrale Elemente eines ISMS Die Phasen einer ISMS Implementierung

Mehr

Notfallmanagement nach BS25999 oder BSI-Standard 100-4

Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Notfallmanagement nach BS25999 oder BSI-Standard 100-4 Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und Datenschutz als

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai 2014. Burkhard Kesting Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting

Mehr

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE CHANGE PROCESS DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE I CHANGE PROCESS

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Wir organisieren Ihre Sicherheit

Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Unternehmen Die VICCON GmbH versteht sich seit 1999 als eigentümergeführtes und neutrales Unternehmen für Management- und Sicherheitsberatung.

Mehr

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP*

ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* ISO 27001 und IEC 80001 Team im Krankenhaus integriertes Managementsystem für Informations-Sicherheit im Medizinbetrieb PDCA statt DDDP* *DDDP = Do-Do-Do-Panic Mission und Vision Die CETUS Consulting GmbH

Mehr

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Process Consulting. Beratung und Training. Branchenfokus Energie und Versorgung. www.mettenmeier.de/bpm

Process Consulting. Beratung und Training. Branchenfokus Energie und Versorgung. www.mettenmeier.de/bpm Process Consulting Process Consulting Beratung und Training Branchenfokus Energie und Versorgung www.mettenmeier.de/bpm Veränderungsfähig durch Business Process Management (BPM) Process Consulting Im Zeitalter

Mehr

Test zur Bereitschaft für die Cloud

Test zur Bereitschaft für die Cloud Bericht zum EMC Test zur Bereitschaft für die Cloud Test zur Bereitschaft für die Cloud EMC VERTRAULICH NUR ZUR INTERNEN VERWENDUNG Testen Sie, ob Sie bereit sind für die Cloud Vielen Dank, dass Sie sich

Mehr

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich ISO 27001 im Kundendialog Informationssicherheit intern und extern organisieren Juni 2014 Was steckt hinter der ISO/IEC 27001:2005? Die internationale Norm ISO/IEC 27001:2005 beschreibt ein Modell für

Mehr

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014

IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014 IT-Sicherheit Risiken erkennen und behandeln Hanau, 12.11.2014 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen

Mehr

Workflowmanagement. Business Process Management

Workflowmanagement. Business Process Management Workflowmanagement Business Process Management Workflowmanagement Workflowmanagement Steigern Sie die Effizienz und Sicherheit Ihrer betrieblichen Abläufe Unternehmen mit gezielter Optimierung ihrer Geschäftsaktivitäten

Mehr

IT-Grundschutz nach BSI 100-1/-4

IT-Grundschutz nach BSI 100-1/-4 IT-Grundschutz nach BSI 100-1/-4 Marko Rogge www.marko-rogge.de www.leiner-denzer.com 100-1, 100-2, 100-3, 100-4 100-1 100-2 Managementsysteme für Informationssicherheit (ISMS, Information Security Management

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium

IT-Risikomanagement beim Outsourcing. Bernd Ewert it-sa Oktober 2010 Forum Auditorium IT-Risikomanagement beim Outsourcing Bernd Ewert it-sa Oktober 00 Forum Auditorium IT-Risiken beim Outsourcing Verantwortung: für Einsatz der Dienstleistung beim Auftraggeber für Erbringung der Dienstleistung

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess

Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess Business Continuity Management (BCM) als Managementaufgabe Ein prozessorientierter Ansatz für den IT-Sicherheitsprozess, Projektmanager und Sales Consultant, EMPRISE Process Management GmbH Das Gesetz

Mehr

IT-Sicherheitsmanagement bei der Landeshauptstadt München

IT-Sicherheitsmanagement bei der Landeshauptstadt München IT-Sicherheitsmanagement bei der Landeshauptstadt München 7. Bayerisches Anwenderforum egovernment Schloss Nymphenburg, München 9. Juni 2015 Dr. Michael Bungert Landeshauptstadt München Direktorium Hauptabteilung

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

Compliance Monitoring mit PROTECHT.ERM

Compliance Monitoring mit PROTECHT.ERM covalgo consulting GmbH Operngasse 17-21 1040 Wien, Austria www.covalgo.at Compliance Monitoring mit PROTECHT.ERM Autor: DI Mag. Martin Lachkovics, Dr. Gerd Nanz Datum: 20. Oktober 2014, 29. April 2015

Mehr

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH

IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor. SyroCon Consulting GmbH Bosch Software Innovations GmbH IoT + BPM: Neue Carrier-Service- Angebote für den Energie-Sektor SyroCon Consulting GmbH Bosch Software Innovations GmbH Managed Energy Services als neue Dienste von Carriern Die Entwicklungen im Energiesektor

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management RSA Archer GRC Lösungen Dr. Michael Teschner, RSA Deutschland Mai 2014 1 GRC es geht um Prozesse Steuerung, Kontrolle, Transparenz, Reporting Governance Risk

Mehr

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen 1 Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen Führungskräfte Forum Berlin, den 18.10.2011 Thomas Köhler Leiter Public Sector, RSA Thomas.Koehler@rsa.com

Mehr

CWA Flow. Prozessmanagement und Workflow-Management. Workflow- und webbasierte Lösung. Per Browser einfach modellieren und automatisieren

CWA Flow. Prozessmanagement und Workflow-Management. Workflow- und webbasierte Lösung. Per Browser einfach modellieren und automatisieren CWA Flow Prozessmanagement und Workflow-Management Per Browser einfach modellieren und automatisieren Workflow- und webbasierte Lösung Workflow- und webbasierte Lösung Webbasierte Prozessmanagement und

Mehr

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04.

Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren. Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. Bausteine einer modernen IT-Sicherheitsstrategie in Rechenzentren Patricia Krenedics Empalis Consulting GmbH Vaihingen, 04. November 2014 1 Index Sicherheitsstrategie Praxis Ganzheitliche Betrachtung (Informations-)

Mehr

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge Wozu IT-Notfallvorsorge? S k Schaden, der zum Konkurs des Unternehmens führt PENG! S limit vom Unternehmen

Mehr

MHP Auditmanagement Ihre Lösung für Ihr Mobile Device- Management zur Performancesteigerung!

MHP Auditmanagement Ihre Lösung für Ihr Mobile Device- Management zur Performancesteigerung! MHP Auditmanagement Ihre Lösung für Ihr Mobile Device- Management zur Performancesteigerung! 2015 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbh Agenda Motivation MHP Lösung

Mehr

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013 PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses Version 3 2012-2013 Erklärung des Vorstands Die Herausforderung ist es, eine langfristige und nachhaltige

Mehr

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen Erfolg des Risk- und Notfall-Managements in Ihrem Unternehmen 1 Inhalt Das Zusammenspiel zwischen externem Partner und internen Funktionen Notfallhandbuch von der Stange oder doch als Maßanfertigung Ansätze

Mehr

Amtliches Mitteilungsblatt

Amtliches Mitteilungsblatt Nr. 13/12 Amtliches Mitteilungsblatt der HTW Berlin Seite 119 13/12 26. April 2012 Amtliches Mitteilungsblatt Seite Grundsätze der Informationssicherheit der HTW Berlin vom 18. April 2012.................

Mehr

BCM Business Continuity Management

BCM Business Continuity Management BCM Business Continuity Management Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA manfred.stallinger@calpana.com calpana business consulting gmbh IT-Risikomanagement Unsicherheit der Zukunft heute managen 1.

Mehr

BearingPoint RCS Capability Statement

BearingPoint RCS Capability Statement BearingPoint RCS Capability Statement - Security Governance - Juli 2015 Agenda 1 2 3 Herausforderungen Unser Angebot Ihr Nutzen 2 Information Security Governance muss vielen Herausforderungen begegnen

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Risikobasierte Bewertung von Hilfsstoffen

Risikobasierte Bewertung von Hilfsstoffen Risikobasierte Bewertung von Hilfsstoffen Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an ICH Q9): Systematische Vorgehensweise beim Risikomanagement-Prozess (in Anlehnung an

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin

Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin Anwenderforum E-Government QuickCheck:ITIL 18.02.2010/Berlin INFORA GmbH Martin Krause Cicerostraße 21 10709 Berlin Tel.: 030 893658-0 Fax: 030 89093326 Mail: info@infora.de www.infora.de Agenda Die Ausgangssituation

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

ISCC 103 Qualitätsmanagement. Qualitätsmanagement ISCC 11-01-14 V 1.16 11-01-14

ISCC 103 Qualitätsmanagement. Qualitätsmanagement ISCC 11-01-14 V 1.16 11-01-14 ISCC 103 Qualitätsmanagement Qualitätsmanagement ISCC 11-01-14 V 1.16 11-01-14 Copyright-Vermerk ISCC 2010 Dieses Dokument von ISCC ist urheberrechtlich geschützt. Es ist auf der ISCC Internetseite oder

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

IT-Revision als Chance für das IT- Management

IT-Revision als Chance für das IT- Management IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07 Die Frage lautet Wenn die IT

Mehr

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Cloud Computing Governance Thomas Köhler Leiter Public Sector RSA The Security Division of EMC Definition Cloud - Wolke Wolke, die; -, -n; Wölkchen: Hoch in der Luft schwebende Massen feiner Wassertröpfchen

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr

Managementsystems (IMS) (Schwerpunkte der DQS-Auditierung) DQS GmbH DQS GmbH

Managementsystems (IMS) (Schwerpunkte der DQS-Auditierung) DQS GmbH DQS GmbH Dokumentation eines integrierten Managementsystems (IMS) (Schwerpunkte der DQS-Auditierung) DQS Forum 4. November 2010, Dortmund Umfang der Dokumentation ISO 14001: "Das übergeordnete Ziel dieser Inter-

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

WWM. whitepaper cloudlösungen für das EvEntmanagEmEnt. WWM Whitepaper Serie 2014.1

WWM. whitepaper cloudlösungen für das EvEntmanagEmEnt. WWM Whitepaper Serie 2014.1 WWM whitepaper cloudlösungen für das EvEntmanagEmEnt WWM Whitepaper Serie 2014.1 Inhalt Executive Summary 3 Worum es geht Herausforderung Nr. 1 3 individuelle Konzepte Herausforderung Nr. 2 3 Schnelle

Mehr

Unser Motto wurde bestätigt. Qualität zeichnet sich aus. DIN EN ISO 9001

Unser Motto wurde bestätigt. Qualität zeichnet sich aus. DIN EN ISO 9001 Unser Motto wurde bestätigt. Qualität zeichnet sich aus. DIN EN ISO 9001 04/2013 Awite Qualitätsmanagement Das Awite Qualitätsmanagementsystem umfasst, erfüllt und regelt die in der Norm DIN EN ISO 9001

Mehr

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014

ISMS bei DENIC. Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 ISMS bei DENIC Boban Krsic (Information Security Officer) Berlin, den 14. Februar 2014 Agenda Kurzvorstellung DENIC eg ISMS bei DENIC Entwicklung des ISMS bei DENIC Risikomanagement im Bereich Information

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen. Anforderungen. Herausforderungen. Kooperationspartner Aufsichtsbehörden Outsourcing ISO 27001 Firmenkultur Angemessenheit Notfallfähigkeit

Mehr

Safety Management Systeme in der Luftfahrt. Joel Hencks. AeroEx 2012 1 12/09/2012

Safety Management Systeme in der Luftfahrt. Joel Hencks. AeroEx 2012 1 12/09/2012 Safety Management Systeme in der Luftfahrt Joel Hencks AeroEx 2012 1 Agenda Warum SMS? Definitionen Management System laut EASA SMS vs. CM SMS vs. Flugsicherheitsprogramme Schlüsselprozesse des SMS SMS

Mehr

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0

Disaster Recovery Planning. Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Disaster Recovery Planning Ulrich Fleck SEC Consult Unternehmensberatung GmbH 24.April 2007, Version 1.0 Agenda Einführung in Disaster Recovery Planning Problemstellung in Organisationen Vorgehensmodell

Mehr

BPMN2.0 Geschäftsprozesse effizient gestalten. Ganz klar persönlich.

BPMN2.0 Geschäftsprozesse effizient gestalten. Ganz klar persönlich. BPMN2.0 Geschäftsprozesse effizient gestalten Ganz klar persönlich. Theorie BPMN2.0 Business Prozess Model and Notation ist eine grafische Spezifikationssprache und stellt Symbole zur Verfügung, mit denen

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH Übersicht IT-Security Technisch Prozesse Analysen Beratung Audits Compliance Bewertungen Support & Training

Mehr

Orlando-Workflow. Elektronischer Beleglauf. Ausbaustufe der Orlando-Archivierung

Orlando-Workflow. Elektronischer Beleglauf. Ausbaustufe der Orlando-Archivierung Beleglenkung papierlos und digital vor der Verbuchung Effektives Management der Belege wird immer mehr zum Muss für jedes Unternehmen, welches effizient und gewinnbringend wirtschaften möchte. Die Steuerung

Mehr

----------------------------------------------------------------------------------------------------------------------------------------

---------------------------------------------------------------------------------------------------------------------------------------- 0 Seite 0 von 20 03.02.2015 1 Ergebnisse der BSO Studie: Trends und Innovationen im Business Performance Management (BPM) bessere Steuerung des Geschäfts durch BPM. Bei dieser BSO Studie wurden 175 CEOs,

Mehr

Oracle Scorecard & Strategy Management

Oracle Scorecard & Strategy Management Oracle Scorecard & Strategy Management Björn Ständer ORACLE Deutschland B.V. & Co. KG München Schlüsselworte: Oracle Scorecard & Strategy Management; OSSM; Scorecard; Business Intelligence; BI; Performance

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen?

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? e:digital media GmbH software distribution White Paper Information Security Management System Inhalt: 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? 2. Was sind die QSEC-Suiten? 3. Warum ein Information

Mehr

CeBIT 17.03.2015. CARMAO GmbH 2014 1

CeBIT 17.03.2015. CARMAO GmbH 2014 1 CeBIT 17.03.2015 CARMAO GmbH 2014 1 HERZLICH WILLKOMMEN Applikationssicherheit beginnt lange bevor auch nur eine Zeile Code geschrieben wurde Ulrich Heun Geschäftsführender Gesellschafter der CARMAO GmbH

Mehr

IT-Security Portfolio

IT-Security Portfolio IT-Security Portfolio Beratung, Projektunterstützung und Services networker, projektberatung GmbH ein Unternehmen der Allgeier SE / Division Allgeier Experts Übersicht IT-Security Technisch Prozesse Analysen

Mehr

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management

4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management 1 4. FIT-ÖV - 01. Juli 2009 in Aachen Informationssicherheit im IT Service Management Bernhard Barz, regio it aachen 2 Gliederung Informationssicherheit Anforderungen der ÖV Informationssicherheit im IT

Mehr

Zum Verhältnis von Technik, Organisation und Kultur beim Wissensmanagement

Zum Verhältnis von Technik, Organisation und Kultur beim Wissensmanagement Zum Verhältnis von Technik, Organisation und Kultur beim Wissensmanagement Dr. Birte Schmitz Fachtagung Wissen ist was wert Bremen, den 11.2.2003 Business and Systems Aligned. Business Empowered. TM BearingPoint

Mehr

Inhaltsverzeichnis. Einleitung 15

Inhaltsverzeichnis. Einleitung 15 Inhaltsverzeichnis Einleitung 15 1 Umfang und Aufgabe des IT-Security Managements 19 1.1 Kapitelzusammenfassung 19 1.2 Einführung 19 1.3 Informationen und Daten 20 1.4 IT-Security Management ist wichtig

Mehr

TeleTrusT-interner Workshop 2011. München, 30.06./01.07.2011

TeleTrusT-interner Workshop 2011. München, 30.06./01.07.2011 TeleTrusT-interner Workshop 2011 München, 30.06./01.07.2011 Werner Wüpper Wüpper Management Consulting GmbH Einführung eines Information Security Management Systems inklusive IT-Risikomanagement nach ISO/IEC

Mehr

Datenintegration, -qualität und Data Governance. Hannover, 14.03.2014

Datenintegration, -qualität und Data Governance. Hannover, 14.03.2014 Datenintegration, -qualität und Data Governance Hannover, 14.03.2014 Business Application Research Center Führendes europäisches Analystenhaus für Business Software mit Le CXP (F) objektiv und unabhängig

Mehr

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2015 www.materna.de Security Excellence Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT-GS, ISIS12) Annäherung Dr.-Ing. Dipl.-Inf. Sebastian Uellenbeck Senior Information

Mehr

Schlüsselfragen für ein wirksames Risikomanagementsystem

Schlüsselfragen für ein wirksames Risikomanagementsystem Risikomanagement im Krankenhaus - Möglichkeiten und Grenzen einer Systemunterstützung Kai Stübane, Vice President Sales, GRC, SAP Deutschland AG & Co. KG Ralf Erdmann, Senior-Riskmanager, Dr. Schmitt GmbH

Mehr

BPMN2.0 Geschäftsprozesse effizient gestalten. Ganz klar persönlich.

BPMN2.0 Geschäftsprozesse effizient gestalten. Ganz klar persönlich. BPMN2.0 Geschäftsprozesse effizient gestalten Ganz klar persönlich. Geschäftsprozesse im Wandel morgen gestern Dokumentverwaltung Vertragsablage Problemmanagement heute Sicherung der Compliance Qualitätsgesichertes

Mehr

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH 2014 www.materna.de ISMS Informationssicherheit ganzheitlich und nachhaltig Warum Informationssicherheit ISMS Standards (ISO27001, IT GS, ISIS12) Annäherung Dipl.-Ing Alfons Marx Materna GmbH Teamleiter Security, DQS-Auditor

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management) Bestimmungen zur Kontrolle externer Lieferanten BCM (Business Continuity Management) BCM- Bestimmungen Beschreibung BCM-Tiers Recovery Time Objective Über die Bedeutung 1. Business- Continuity- Management-

Mehr

Prof. Dr. Rainer Elschen

Prof. Dr. Rainer Elschen Risikomanagement II - Vorlesung 4 - Prof. Dr. Rainer Elschen Prof. Dr. Rainer Elschen 66 Inhaltsübersicht 1. Unternehmerisches Risiko 1.1 Kausalitätsstruktur von Risiken 1.2 Risikokategorien 1.3 Risikostrategien

Mehr

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013

IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013 Fallstudie: FrontRange IDC Market Brief-Projekt IT SERVICE MANAGEMENT IN DEUTSCHLAND 2013 Die Cloud als Herausforderung frontrange Fallstudie: Inventx Informationen zum Unternehmen Inventx ist ein Schweizer

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN

INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN INFORMATIONEN NEUARTIG BETRACHTEN AKTEN- UND INFORMATIONSMANAGEMENT: GEWUSST WIE - VON ANFANG AN AUFBEWAHRUNGSPLÄNE FÜR AKTEN: GRUNDLAGEN EINFÜHRUNG KURZE EINFÜHRUNG IN DIE ERSTELLUNG UND VERWALTUNG VON

Mehr

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Wichtige Technologietrends Schutz der Daten (vor Diebstahl und fahrlässiger Gefährdung) ist für die Einhaltung von Vorschriften und

Mehr

MHP Audit Process Optimization Ihre Lösung für Ihr Mobile Device- Management zur Performancesteigerung!

MHP Audit Process Optimization Ihre Lösung für Ihr Mobile Device- Management zur Performancesteigerung! MHP Audit Process Optimization Ihre Lösung für Ihr Mobile Device- Management zur Performancesteigerung! 2015 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbh Agenda Motivation

Mehr

Qualitätsmanagement-Handbuch 4.0.0.0 Das QM-System 4.1.0.0 Struktur des QM-Systems

Qualitätsmanagement-Handbuch 4.0.0.0 Das QM-System 4.1.0.0 Struktur des QM-Systems s Seite 1 von 5 In diesem Kapitel wird die Struktur des in der Fachstelle eingeführten Qualitätsmanagementsystems (QMS) nach DIN EN ISO 9001:2008 beschrieben, sowie die Vorgehensweise zu seiner Anwendung,

Mehr

sycat IMS GmbH Business Process Management Fon (0511) 84 86 48 200 Fax (0511) 84 86 48 299 Mail info@sycat.com www.sycat.com

sycat IMS GmbH Business Process Management Fon (0511) 84 86 48 200 Fax (0511) 84 86 48 299 Mail info@sycat.com www.sycat.com sycat IMS GmbH Business Process Management Fon (0511) 84 86 48 200 Fax (0511) 84 86 48 299 Mail info@sycat.com www.sycat.com 1 QUALITÄT IM DIALOG Business Process Management Historie 1985 Dr. Binner Unternehmensberatung

Mehr

Übersicht Kompakt-Audits Vom 01.05.2005

Übersicht Kompakt-Audits Vom 01.05.2005 Übersicht Kompakt-Audits Vom 01.05.2005 Bernhard Starke GmbH Kohlenstraße 49-51 34121 Kassel Tel: 0561/2007-452 Fax: 0561/2007-400 www.starke.de email: info@starke.de Kompakt-Audits 1/7 Inhaltsverzeichnis

Mehr

AUTOMATISIERUNG DER BESTELLPROZESSE

AUTOMATISIERUNG DER BESTELLPROZESSE AUTOMATISIERUNG DER BESTELLPROZESSE EURO-LOG Supply Chain Management www.eurolog.com/scm Wir bringen unsere Ware dank der EURO-LOG SCM-Lösung nun mit einem hohen Standard ins Werk Thorsten Bauch, Commodity

Mehr

Manuelles Testmanagement. Einfach testen.

Manuelles Testmanagement. Einfach testen. Manuelles Testmanagement. Einfach testen. Testmanagement als Erfolgsfaktor. Ziel des Testprozesses ist die Minimierung des Restrisikos verbleibender Fehler und somit eine Bewertung der realen Qualität

Mehr

Process Mining. KnowTech September 2010. Volker Panreck, Leiter Corporate Audit Services, ING-DiBa Rudolf Kuhn, CEO, ProcessGold AG

Process Mining. KnowTech September 2010. Volker Panreck, Leiter Corporate Audit Services, ING-DiBa Rudolf Kuhn, CEO, ProcessGold AG Process Mining KnowTech September 2010 Volker Panreck, Leiter Corporate Audit Services, ING-DiBa Rudolf Kuhn, CEO, ProcessGold AG Bad Homburg 16. September 2010 www.ing-diba.de www.processgold.de Agenda

Mehr

Controlling im Mittelstand

Controlling im Mittelstand Controlling im Mittelstand Mag. Johann Madreiter nachhaltigmehrwert e.u. Unternehmensberatung und Training 2 Controlling im Mittelstand Controlling im Mittelstand und Kleinunternehmen? Ein auf die Unternehmensgröße

Mehr

CMC-KOMPASS: CRM. Der Wegweiser für erfolgreiches Kundenbeziehungsmanagement

CMC-KOMPASS: CRM. Der Wegweiser für erfolgreiches Kundenbeziehungsmanagement CMC-KOMPASS: CRM Der Wegweiser für erfolgreiches Kundenbeziehungsmanagement 1 CROSSMEDIACONSULTING 18.05.2010 Unser Verständnis von CRM: Customer Relationship Management ist weit mehr als ein IT-Projekt

Mehr

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik.

Analyse von Normen/Regelwerken zur Ermittlung von Auditkriterien /-forderungen am Beispiel der Unternehmenspolitik. Forderungen zur Unternehmenspolitik aus diversen Normen und Regelwerken Feststellung und Dokumentation der Forderungen zur Unternehmenspolitik verschiedener Normen und Regelwerke. Schritt 1: Hier auszugsweise

Mehr

Effizientes Risikomanagement in KMU Welche Instrumente sind wirklich zielführend?

Effizientes Risikomanagement in KMU Welche Instrumente sind wirklich zielführend? Effizientes Risikomanagement in KMU Welche Instrumente sind wirklich zielführend? RCRC Universität Münster Effizientes Risikomanagement in KMU 2 Kontakt RCRC Universität Münster Bastian Neyer, M.Sc. WWU

Mehr