SEC-Suite Enterprise Edition

Transkript

1 ganzheitlich flexibel webbasiert SEC-Suite Enterprise Edition SEC-Suite IT GRC Edition Ganzheitliches und nachhaltiges IT Governance, Risk und Compliance Management Quality Security by SEC Methods

2 SEC-Suiten Enterprise Edition SEC-Suite und IT GRC Enter- Edition Information Security Management ist immer Sache der Unternehmensführung. Vorranging ist dabei, ein einheitliches Risikobewusstsein bezüglich kritischer Prozesse zu schaffen. Thomas Grabowski, Geschäftsführer Huf Hülsbeck & Fürst GmbH. Schützen Sie Ihr Unternehmen umfassend gegen Know-how Verlust? Die Herausforderungen des Managements von Compliance und Informationssicherheit Compliance und ganzheitliche Informationssicherheit im Unternehmen sind wesentliche Managementaufgaben. Die Compliance ist wesentlicher Bestandteil der Unternehmensführung zum Nachweis des konformen Verhaltens in Bezug auf Gesetze, Richtlinien und sonstige einzuhaltende Vorgaben. Die Umsetzung ganzheitlicher Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken. Diese beiden Aufgabenstellungen des Managements wirken zusammen und sind ein permanenter Prozess und kein temporäres Projekt der nachhaltigen Unternehmensführung. Potentielle Gefahrenquellen lückenhaften Information Security Managements im Unternehmen sind: weitgehender Fokus auf technologische IT-Sicherheitslösungen, fehlende einheitliche und aktuelle organisatorische Regelwerke und Policies bzw. deren unzureichende Definition, Aktualität und Kommunikation, Prozesse im Security und Risk Management, die nicht nahtlos ineinander greifen, unvollständiges Business Continuity Management, mangelnde Methodik und nicht ausreichende Erfahrungen für IT-Risikoanalyse und Security Management, unklare Verantwortlichkeiten und lückenhafte Kontroll- und Informationsmechanismen, unzureichende Zusammenarbeit der verschiedenen Security-Instanzen (Unternehmenssicherheit, Revision, Datenschutz, IT-Sicherheit, Risikomanagement), Mangel an Awareness von Security Prozessen, Risikobewusstsein und Akteptanz bzw. fehlendes Training bei den Mitarbeitern, Investion von zu viel Geld in die falschen Maßnahmen. Daher sollten folgende Faktoren in Unternehmen besonders reflektiert werden, wenn das Thema IT GRC bzw. Information Security ganzheitlich, wirtschaftlich und nachhaltig umgesetzt werden soll: 1. Compliance und Informationssicherheit sind eine Managementaufgabe und die Strategie muss von der individuellen Geschäftsstrategie und -situation abgeleitet werden. 2. Die erfolgreiche Umsetzung des Managements von IT GRC / Information Security erfordert ein klares und durchgängiges Konzept, umfangreiche betriebswirtschaftliche, juristische, organisatorische und technische Kenntnisse, ausreichendes Budget und die entsprechenden Übertragung der Umsetzungskompetenz an die Verantwortlichen. 3. Nur ganzheitlich eingeführte Compliance und Informationssicherheit erhöht die Transparenz der kritischen Prozesse im Unternehmen signifikant, verbessert die Sicherheitssituation deutlich, senkt die Risiken nachhaltig und stellt den reibungslosen Betriebsablauf sicher. 4. Die Nebeneffekte der ganzheitlichen und nachhaltigen IT GRC/ ISM Umsetzung sind erheblich. Neben der nachhaltigen Absicherung des Geschäftsbetriebs können Investitionen aufgrund der besseren Planbarkeit für wirklich erforderliche Maßnahmen verwandt werden. Dadurch ergeben sich erhebliche Kosteneinsparpotentiale. 2 Quality Security by SEC Methods

3 Quality Security by SEC Methods Kennen Sie den Wert eines nachhaltigen Informationssicherheitsmanagements für Ihr Unternehmen? 5. Mit dem Einsatz und Betrieb von QSEC kann 30 bis 50 % Kosteneinsparung gegenüber der herkömmlichen Umsetzung eines IT-GRC / ISM ohne Softwareunterstützung erzielt werden! SEC - ganzheitliche Unternehmensund Informationssicherheit als Erfolgsfaktor für die gesamte Organisation! IT GRC und Information Security Management (ISM) sind vor allem in Unternehmen mit umfangreicher Infrastruktur komplexe Themen. Flexible und leistungsstarke Softwarelösungen wie die QSEC-Suiten unterstützen Sie bei der nachhaltigen Umsetzung dieser Aufgabenstellungen umfangreich. Als IT GRC Komplettlösung bietet die QSEC-Suite dabei neben dem kompletten Konzept und der Führung durch die Methodik viele weitere Vorteile wie: Manche Dinge werden erst im gemeinsamen Gehen deutlich - wir hatten von Anfang an den Eindruck mit der SEC-Suite Enterprise Edition nicht nur ein Tool, sondern mit WMC einen Partner gefunden zu haben, der an einem intensiven Dialog und einer beständigen Weiterentwicklung und den damit verbundenen Verbesserungen interessiert ist. 1. Usability und Benutzerfreundlichkeit, 2. Flexibilität und individuelles Customizing (Konzernstrukturen weltweit darstellbar), 3. Vorgehen und Führung nach einheitlicher PDCA-Methode, 4. viele, in Bezug auf Inhalt, Methodik und Anforderungen bereits integrierte, internationale Standards (ISO, DIN, SOX, ITIL), 5. Verbindung von Geschäftsprozessen und Assets inklusive Kritikalitätsbewertung je Untersuchungsbereich, 6. vollintegriertes IT-Risikomanagement, 7. zentrales Dokumentenmanagement (auch Verlinkung mit DMS), 8. Historie aller relevanten Veränderungsdaten, 9. automatische Wiedervorlage expliziter Aufgaben per an beteiligte Verantwortliche, 10. Maßnahmenvorschläge und Musterdokumente, 11. Integration in die bestehende IT-Infrastruktur (AD, SAP, Asset System usw.) des Unternehmens - keine Doppelerfassung von Daten, Roger Schranz, Projektleiter und Information Security Manager bei arvato systems. 3

4 SEC-Suiten Enterprise Edition SEC-Suite und IT GRC Enter- Edition SEC - integrierte Software, Methodik und Best Practice nach internationalen Standards! 12. integrierte zentrale Datenbank, 13. Mandantenfähigkeit, Mehrsprachigkeit, 14. WEB-Anwendung Browser basierend, 15. Produktsupport Updates, Services. Viele Audits im In- und Ausland (z. B. durch den TÜV) wurden von Referenzkunden mit QSEC erfolgreich bestanden! PLAN Informationssicherheit nach PDCA Strategische Ausrichtung bestimmen Grundsätze und Leitlinien erstellen und überprüfen DO Die SEC-Suiten die perfekte Verbindung internationaler Standards mit anerkannten Best Practices im GRC Management! Die QSEC-Suiten basieren auf internationalen Standards wie ISO/IEC 27001/27002 (ISMS) oder ISO/IEC (IT Risk Management) oder ACT Effektive, wiederholende Sensibilisierung der Mitarbeiter Selfassessment permanent Risikomanagement permanent Risikobegegnung permanent Maßnahmenmanagement permnent CHECK SEC - die Produktvarianten SEC-Suite Enterprise Edition Modul Compliance Management Modul IT Risk Management Modul (Security) Incident Management Modul Measure Management Modul Dokument Management Modul Reporting Stammdaten Administration SEC-Suite IT GRC Edition Die IT GRC Edition enthält die gleichen Module wie die Enterprise Edition + Modul Business Continuity Management/ Business Impact Analyse 4 Quality Security by SEC Methods

5 Quality Security by SEC Methods SEC - die Highlights QSEC unterstützt bei Einführung und Betrieb ihres individuellen IT GRC bzw. Informationssicherheitsmanagements durch integrierte methodische Führung (Plan, Do, Check, Act), klare Aufgabenzuweisung und komplett integrierte Standards (Normen/ Gesetze) bei der Einhaltung von time and budget. QSEC ermöglicht durch umfangreiche Möglichkeiten des Customizing Konzernstrukturen weltweit darzustellen und bietet weitreichende Berechtigungskonzepte. QSEC erlaubt Ihnen die Nutzung des vollintegrierten IT-Risikomanagements inkl. Risikoanalyse und bewertung. QSEC ermöglicht Ihnen die Verbindung der Geschäftsprozesse mit den Assets inklusive der entsprechenden Kritikalitätsbewertung je Untersuchungsbereich. So können Sie Risiken bezüglich kritischer Geschäftsprozesse ermitteln und diesen mit entsprechenden Maßnahmen begegnen. QSEC unterstützt Sie durch umfangreiche Maßnahmenvorschläge zur Begegnung von Bedrohungen und Schwachstellen und liefert Ihnen viele Musterdokumente innerhalb der Lösung. QSEC ermöglicht Ihnen das tagesaktuelle Reporting und stellt Ihnen eine transparente, qualitativ hochwertige Dokumentation der Compliance im Unternehmen für das Management zur Verfügung. QSEC stellt Ihnen die komplette Historie aller relevanten Veränderungsdaten innerhalb der Lösung und der Dokumente zur Verfügung. QSEC ermöglicht Ihnen das zentrale Dokumentenmanagement aller Compliance relevanten Dokumente und kann auch mit einem ggf. vorhandenen DMS verlinkt werden. QSEC ermöglicht über die Web-Anwendung jedem Projektbeteiligten ohne Softwareinstallation (im Rahmen der jeweiligen Berechtigung) allein oder im Team an Projekten mit zu arbeiten. QSEC ermöglicht die explizite Zuweisung von Aufgaben an Projektbeteiligte einschließlich der automatischen Wiedervorlage. QSEC bringt die notwendige Akzeptanz der Anwender durch Übersichtlichkeit und Benutzerfreundlichkeit. QSEC vermeidet die Doppelerfassung von Daten. QSEC integriert sich in bestehenden IT-Infrastrukturen (Active Directory, SAP, Asset Systemen usw.). Es ist möglich, diese Systeme über Schnittstellen anzubinden. QSEC garantiert Mehrsprachigkeit und ist damit für den weltweiten Einsatz prädestiniert - Deutsch/Englisch verfügbar, weitere Sprachen optional umsetzbar. QSEC bietet Ihnen permanenten Produktsupport über Updates und die Einarbeitung aller relevanten Veränderungen der Standards. QSEC versetzt Sie in die Lage alle Prozesse aktiv zu managen und diese, um dauerhaft ein einmal erreichtes Niveau aufrecht zu erhalten, fortlaufend zu kontrollieren und zu verbessern. Bei der Festlegung der Geschäftsprozessen und des damit verbundenen IT Risk Managements hatten wir mit WMC einen Sparringspartner auf Augenhöhe, der uns in nur drei intensiven Diskussionsrunden half, die richtige Lösung für die Umsetzung unseres ISMS zu verabschieden. Roger Schranz, Projektleiter und Information Security Manager bei arvato systems. 5

6 SEC-Suiten Enterprise Edition SEC-Suite und IT GRC Enter- Edition Die SEC-Suiten - modular und flexibel konfigurierbar Modul Compliance Management Ermitteln und verbessern Sie den Compliance Status Ihres Unternehmens. Modul IT Risk Management Ermitteln Sie den Risikostatus Ihrer Assetgruppen. Bewerten Sie die Effektivität Ihrer Maßnahmen. Managen Sie Ihre Risiken. 6 Quality Security by SEC Methods

7 Quality Security by SEC Methods BS / ISO 22301(BIA/BCM), die bereits in QSEC enthalten und exakt umgesetzt sind. Ergänzend sind je nach individuellem Bedarf auch viele weitere Standards wie z. B. PCI DSS, SOX oder ITIL verfügbar. Das PDCA Modul Reporting (Plan-Do-Check-Act) Vorgehen ist entsprechend der Vorgaben der Standards implementiert. Hier generieren Sie alle benötigten Arbeits- und Managementberichte. Das weitere Plus: in die QSEC-Suiten sind die Best Practices aus der Erfahrung weltweiter Kundenprojekte integriert. Modul (Security) Incident Management Erfassen Sie Incidents, definieren Sie Sicherheitsziele und ergreifen Sie gezielte Maßnahmen bei Security Incidents. Modul Business Continuity Management Analysieren Sie Ihre Geschäftsprozesse und die Auswirkungen von Ausfällen. Erfassen Sie Gegenmaßnahmen. Hinterlegen Sie die zugehörige Notfallmanagement-Dokumentation. Modul Measure Management Hier verwalten Sie alle Maßnahmen rund um das Compliance-, IT-Risiko-, Security Incident- und Business Continuity Management. Modul Document Management Verwalten Sie Ihre IT- und Informationssicherheitsdokumente intern oder in Verbindung mit Ihrem DMS. Details zu den Features der Module entnehmen sie gerne unserem QSEC Produktüberblick! Modul Master Data Verwalten Sie alle individuellen Unternehmensdaten Ihres IT GRC bzw. Informationssicherheitsmanagements und legen Sie damit den Grundstein für die Nutzung von QSEC. Modul Administration Hier verwalten Sie (mit zugehöriger Schulung) viele individuelle Anpassungen und Erweiterungen von QSEC selbst. 7

8 Quality Security by SEC Methods Über WMC Mit den QSEC-Suiten ist WMC ein führender Anbieter integrierter Information Security Management Systeme und ausgezeichnet mit dem Prädikat IT-Security made in Germany. Als Spezialist für Compliance und ganzheitliche Information Security und IT LifeCycle Management verfügt WMC über langjährige Umsetzungserfahrung von weltweiten Projekten. QSEC unterstützt unsere Kunden im Compliance Management und Information Security Management nach internationalen Standards (ISO 27001, ISO 27005, ISO 20000, PCI DSS u.v.m.) bedienerfreundlich, methodisch und mit allen erforderlichen Leistungsmerkmalen. Mit zertifizierten Mitarbeitern und tiefen Branchen- und Prozesskenntnissen (und dem WMC-Expertennetzwerk) erzielen wir für unsere Kunden klare Wettbewerbs- und Imagevorteile im Informations- und Prozessmanagement. WMC ist zertifizierter Microsoft Partner ISV und Mitglied bei TeleTrusT Bundesverband IT-Sicherheit e.v. TeleTrusT Bundesverband IT-Sicherheit e.v. Regionalstelle Hamburg vertreten durch die WMC GmbH WMC GmbH 2014 WMC GmbH Zimmerstr. 1 DE Hamburg T: F: grc-qsec.com info@wmc-direkt.de 8