Systemgestütztes Management der IT-Sicherheit mit der GRC-Suite iris

Transkript

1 Systemgestütztes Management der IT-Sicherheit mit der GRC-Suite iris

2 Vorteile eines Toolgestützten Informationssicherheitsmanagements Abweichungen von den Vorgaben (Standards, Normen) werden schneller sichtbar und deren Behebung durch das Softwaresystem aktiv überwacht Aufbereitung der Inhalte in einer graphischen Benutzeroberfläche erleichtert den Einstieg in die Einrichtung und den Betrieb eines ISMS Inhaltliche Überschneidungen mit anderen Standards, wie z.b. Datenschutz oder Risikomanagement werden abgebildet Reduktion des Aufwands für die Datenerhebung; Vermeidung von Redundanzen; Steigerung der Verfügbarkeit und Qualität der vorhandenen Daten; Transparenz über to do s, offene Maßnahmen, erledigte Maßnahmen, durchgeführte Audits Relativ einfaches Erstellen von Auditplänen und Dokumentation von Audits Vereinfachtes Replizieren einer Risikoanalyse bei z.b. neuen Assets Zusammenarbeit mehrerer Personen bei Zuständigkeit für verschiedene Informationsverbünde ibi systems GmbH Seite 2

3 Aufwand/Nutzen verschiedener Tools ibi systems GmbH Seite 3

4 GRC-Suite iris = integrierte IT-GRC-Plattform ibi systems GmbH Seite 4

5 GRC-Suite iris Module und Funktionen Vorteile Individuell Ansichten je nach Profilen (Rollen/ Rechte) Nutzbarkeit der Module und Funktionen je nach Aufgabengebiet Hohe Benutzerfreundlichkeit (Intuitiver und logischer Aufbau der Oberfläche) ibi systems GmbH Seite 5

6 GRC-Suite iris Einsatzbereiche und Vorteile Effektive und effiziente Umsetzung von Anforderungen aus ISO/IEC 27001/2 IT-Sicherheitskatalogs (BNetzA) uvm. ibi systems GmbH Seite 6

7 ISMS-Implementierung: Abbildung in iris ibi systems GmbH Seite 7

8 Teilprojekte im Detail 1. Geltungsbereiche und Scope Definition 1.1 Kontextbetrachtung 1.2 Interessierte Parteien 1.3 Stakeholder Analyse 1.4 Ziele 1.5 Geltungsbereich 1.6 Vorgabe von Dokumenten und Aufzeichnungen ibi systems GmbH Seite 8

9 Teilprojekte im Detail 2. Risiko Assessments 2.1 Asset Identifikation 2.2 Asset Kategorisierung und Abhängigkeiten 2.3 Risikoanalyse ibi systems GmbH Seite 9

10 Beispiel 1: Asset management (Erfassung) Komfortable Erfassung von Ressourcen und Prozessen mit optionaler Zuweisung zu Kategorien. Dadurch systemseitige automatische Generierung von Handlungsempfehlungen (zu betrachtende Gefährdungen und relevante Maßnahmen) ibi systems GmbH Seite 10

11 Beispiel 1: Asset management (Schutzbedarfsfeststellung) Schutzbedarfsfeststellung für alle Ressourcen und Prozesse (Verfügbarkeit, Vertraulichkeit, Integrität, Authentizität). Tatsächlicher Schutzbedarf durch Vererbung auf Basis der Ressourceneinordnung. ibi systems GmbH Seite 11

12 Beispiel 2: IT-risik management (Erfassen, Bewerten und Managen) Erfassung von Risiken und Durchführung von Risikobewertungen für die Dimensionen Eintrittswahrscheinlichkeit und Schadensauswirkung. Auf dieser Basis: Einordnung in Risikomatrix. ibi systems GmbH Seite 12

13 Teilprojekte im Detail 5. Report 5.1 Interne Audits 5.2 Reporting 5.3 Managementbewertung ibi systems GmbH Seite 13

14 Beispiel 3: IT-security audits (Anlage oder Erzeugung aus Vorlagen) Schnelle und einfache Erzeugung von Prüfungen auf Basis von Vorlagen. ibi systems GmbH Seite 14

15 Beispiel 3: IT-security audits (Durchführung) Bewertung jedes einzelnen Prüfpunkts oder Verwendung des Quick- oder Detail-Wizards zur Prüfungsdurchführung. ibi systems GmbH Seite 15

16 Beispiel 4: IT-security findings and measures 1 Identifizierung und Erfassung von Schwachstellen (z.b. aufgrund von Prüfungen). 1 2 Verknüpfung von Maßnahmen zu Schwachstellen. 2 ibi systems GmbH Seite 16

17 Teilprojekte im Detail 6. Management von Verbesserungen 6.1 Dokumenten Review ibi systems GmbH Seite 17

18 Beispiel 5: Reporting Umfassendes Reporting inkl. Erzeugung von Berichten (Excel, Word, PDF, XML). ibi systems GmbH Seite 18

19 Vorteile der ibi systems iris Mandantenfähigkeit Individuell anpassbare Rollen und Rechte Vollständige Trennung von Mandanten Fachliche und technologische Nachhaltigkeit API- und XML-Schnittstellen Individuelles Reporting Plattformunabhängige Bereitstellung und Betriebsform Web-Anwendung (Internet und Intranet), Desktop- und Mobile-Anwendung Eigenbetrieb oder Software as a Service Mehrwert für Anwender Erhöhung der Transparenz Verbesserung der Steuerungsqualität Reduktion von Kosten ibi systems GmbH Seite 19

20 ibi systems GmbH Innovations- und Technologiezentrum TechBase Franz-Mayer-Straße 1, Regensburg Telefon Fax info@ibi-systems.de Web Sitz: Regensburg, HRB Registergericht: Amtsgericht Regensburg Geschäftsführer: Dr. Stefan Wagner, Pascal Jonietz Wichtiger Hinweis: Diese Datei ist vertraulich und ausschließlich für von ibi systems GmbH berechtigte Personen und Firmen/Organisationen freigegeben. Wenn Sie diese Datei nicht von ibi systems GmbH erhalten haben, nehmen Sie bitte zur Kenntnis, dass Weitergabe, Kopien, Verteilung oder Nutzung unzulässig ist. Falls Sie diese Datei irrtümlich erhalten haben, benachrichtigen Sie ibi systems GmbH bitte unverzüglich telefonisch oder durch eine . Vielen Dank.

21 Backup: GRC-Suite iris Überblick Technik ibi systems GmbH Seite 21