QSEC - ISMS und GRC nach internationalen Standards und Methoden WMC GmbH / Kurzpräsentation QSEC Suiten / Werner Wüpper

Transkript

1 QSEC - ISMS und GRC nach internationalen Standards und Methoden

2 Best in Class ist nie ein Zufall! Consulting ISMS & GRC Software Branchen 2

3 C O N S U L T I N G S O F T W A R E + S U P P O R T WMC GmbH GRC & ISMS Software + Consulting Unsere Kernthemen unsere Referenzen Informationssicherheitsmanagement Compliance Management IT-Sicherheit Risikomanagement Business Impact Analyse (BIA) Business Continuity Management Datenschutz Maßnahmenmanagement Reporting Mehr: PCI DSS; ISO 9001; ISO QSEC Multi-Standard Compliance Management nach internationalen Regelwerken und Gesetzen 3

4 Best Practice mit der QSEC-Suite Risk Management Transparenz und Minimierung Strategie Governance Leitlinien Richtlinien Prozesse nachhaltig ganzhaltig organisationsweit Menschen Standards Gesetze Compliance Technologie gesteuerte IT-GRC Maßnahmen QSEC ethisches Verhalten gesteigerte Wirtschaftlichkeit verbesserte Effektivität nachhaltige Information Security 4

5 QSEC - Vorteile im Ergebnis Leistungen Usability und Benutzerfreundlichkeit (WEB- / Wizard Technologie) Flexibilität und umfassende Konfigurationsmöglichkeit Content je Standard (Norm / Gesetz) komplett integriert IT-Risikomanagement auf der Basis der Geschäftsprozesse und Informationen vollintegriert Zentrales Dokumentenmanagement Workflow- und Prozessunterstützung nach Aufgaben und Rollen (Experten und Anwender) Musterprozesse, Muster-Assets, Maßnahmenvorschläge, Musterdokumente nach Branchen hinterlegbar Produktsupport permanente Updates / Weiterentwicklung Nutzen Für jeden berechtigten Mitarbeiter verwendbar hohe Transparenz über alle Aktivitäten und Status im Bereich des Compliance- und IT-Risikomanagements permanente Information über Veränderungen und Verbesserungen Optimierung der IT-Investitionen durch Transparenz der geschäftskritischen Prozesse (Spitzenrisiken) Einsparung von ca % der internen und externen ISMS-Einführungs- und Betriebskosten Reduzierung der Aufwendungen für Zertifizierung /Rezertifizierung Nachweisbarkeit der Compliance Imagegewinn und Wettbewerbsvorteil 5

6 QSEC "all in one compliance QSEC - Varianten Standardbrowseranwendung Easy Express Enterprise Edition GRC Edition BSI Edition Technology Content Administrations-Tool / User-Berechtigungen Internationale Regelwerke (ISO 72001/2/5; ISO etc.) Musterdokumente, Maßnahmenvorschläge, Risikokataloge Muster-Geschäftsprozess, -Assets nach Branchen Schnittstellen Mailsystem, Active Directory, Ticket System etc. Individuelle Datenübernahme (CSV, XML etc.) IS-Prozesse ISMS Prozesse (Compliance-, Risikobewertung, BIA/BCM) Maßnahmen-, Dokumenten- und Incidentmanagement Reporting Mehr als 65 Berichte mit Reifegraddarstellungen Dashboard QSEC schneller mehr Ergebnis Usability Hohe Anwenderakzeptanz durch Benutzerkomfort Anwendungsführung mit der Wizard - Technology Ständige Softwarepflege, Support und Verbesserungsprozesse 6

7 QSEC Integriertes Managementsystem Ein Expertensystem für jeden Mitarbeiter Erfassung & Pflege der Organisationsdaten Geschäftseinheiten Mitarbeiter mit Rollen, Funktion & IS-Anteil Bewertung der erfassten Normen und Gesetze Compliance Reifegradbewertung Statement of Applicability (SoA) Erfassung, Bewertung & Pflege der Information Assets Geschäftsprozesse & Informationen Assetgruppen (Gebäude, Infrastruktur, IT- Systeme etc.) Bewertung nach Vertraulichkeit, Integrität & Verfügbarkeit) Bestimmung der Security Level für IT-Assets Risikomanagement Schutzbedarf Bedrohungen & Schwachstellen Brutto- / Nettorisiken Eintrittswahrscheinlichkeit und Risikowert in Business Impact Analyse / Notfallmanagement Security Incidents Dokumentenmanagement/Report/Dashboard 7

8 QSEC-Enterprise und GRC Edition - die Module im Überblick Task-Manager Compliance Risiko Security- Maßnahmen Dokument Incidents Reporting Dashboard Wizards (Prozess-Workflow) Information Assets Stammdaten Administration Business Continuity BIA Business Continuity BCM Katalog Erfassungsund Pflege-Tool (KEP) Administrations Tool QSEC Schnittstellen: Mailsystem, Asset Management (z. B. SAP, Spider), AD, Ticketsystem (z. B. SAP, helpline) Core Server, Gemeinsame Plattform, Berechtigungen QSEC Versionen: QSEC Enterprise Edition QSEC GRC Edition QSEC Erweiterungen 8

9 QSEC - Wizard Technologie Anforderungen Einfache, selbsterklärende Bedienerführung Geringe Schulungsaufwendungen Beschreibungen und Erklärung der Bearbeitungsschritte Geführte Arbeitsweise Ohne Expertenwissen nutzbar Kein ungewolltes Verlassen des Bearbeitungsprozesses Start über Link-Aufruf ermöglich Wizards Interview-Wizard Interview Übernahme-Wizard Compliance-Wizard Maßnahmen Bewertungs-Wizard Self Assessment-Wizard Risiko Bewertungs-Wizard Security Level-Wizard Beispiel Prozessschritte für einen Interview-Wizard Ein ISO interviewt einen Prozessowner in den Businessbereichen Interview Interview Einleitung Auswahl Vorbereitung Interviewpartner Speicherung Geschäftsprozesse Informationen 8 Assetgruppen 9

10 QSEC - Wizards Prozessorientiertes, effizientes Arbeiten Businessowner 2. Compliance Wizard Risiko-Status Experten IS-Status Security Level Compliance Wizard

11 Modellierung Anforderungen und Vorgaben QSEC Suite verbindet: Gesetze, Standards und Vorgaben mit Systemen, Applikationen und Geschäftsprozessen Gesetze KonTraG Standards / Normen ISO ISO ISO ISO 9001ff ISO ISO PCI/(DSS) Einkauf SOX / EuroSOX Vorgaben BSI- KritisV BDSG Basel III Unternehmensstrategie Informationssicherheitsstrategie Act Check Compliancemanagement Risikomanagement Maßnahmenmanagement Incidentmanagement Business Continuity Management Reifegradbewertung Geschäftsprozesse Plan EU 8th Directive Solvency II Entwicklung Produktion Logistik Administration Finanzen Do VDA PTS Unternehmens -richtlinien Policies Policies Policies Personal Lieferanteninfo. Patenten Produktinfo. Transportinfo. Informationen Vertragsinfo. Mitarbeiterinfo. IT- Prozesse Applikationen Systeme Vertraulichkeit, Verfügbarkeit, Authentizität, Integrität Daten Daten Daten Daten Daten Daten Schwachstellen Bedrohungen Information Security Management System 11

12 Compliance / Branchen einige wesentliche Standards Methoden Logistik Gesundheit Energie Handel / DL Industrie Finanzen Behörden P-D-C-A-Prozess Informationssicherheit Act Check Sicherheit ist ein Prozess Plan Do ISO ISO ISO BSI BDSG ISO ISO ISO BSI BDSG ISO ISO ISO ISO IT-Sicherheitskat. BSI BDSG ISO ISO ISO BSI BDSG ISO ISO ISO BSI BDSG ISO ISO ISO BSI BDSG ISO ISO ISO BSI BDSG Prozesse Compliance Compliance-Prozesse ISMS-Prozesse BCM-Prozess BIA-Prozess Risiko-Prozess SOX ISO 9001 ISO ISO Tapa ISO Zoll SOX ISO 9001 ISO ISO ISO IEC SOX ISO 9001 ISO ISO OHAS DIN ISO Smart Grid SOX ISO 9001 ISO PCI DSS OHAS SOX ISO 9001 ISO ISO DIN ISO OHAS VDA PTS SOX Bafin MA Risk Solvency II Basel II ISO Grundschutz Grundschutz Grundschutz Grundschutz

13 QSEC schafft Transparenz valide Daten im Reporting und Dashboard Integrierte Reports Standardberichte Managementberichte Arbeitsberichte Maßnahmenstatusberichte Risikostatusberichte Compliance / Reifegradberichte (SOA) Spezialberichte Verfahrensbericht nach BDSG Budgetbericht Security Incident Bericht Information Governance Bericht Individuelle Berichte nach Vorgabe Dashboard 13

14 QSEC-Suite Technik Die QSEC-Suite ist eine webbasierte Anwendung: Client Webserver Datenbank Web-Browser SSL Keine Installation Keine Wartung Microsoft Windows Server 2008R2/2012R2 Microsoft IIS ASP.NET 4.0 Microsoft SQL Server 2008R2 / 2012R2 Schnittstellen zu anderen Systemen Programmierung mit Microsoft Visual Studio 2010 Aktuelle Version: 5.2 QSEC-Suite - der sichere, softwaregestützte Weg zum ganzheitlichen Information Security Management System (ISMS) nach ISO/IEC 2700x 14

15 QSEC integriert sich in die vorhandene IT-Infrastruktur Asset Management SAP / Spider Assetgruppe Kritikalität Geschäftsprozesse Vertraulichkeit Verfügbarkeit Integrität Mitarbeiterdaten Active Directory (AD) Vulnerability Management z. B. Qualys Assetgruppe Schwachstellen Maßnahmen QSEC-Suite Geschäftsprozesse Prozess Management Aris / Adonis Mailsystem Benachrichtigungen Integriertes Management System Security-Incidents Incident Management SAP / helpline Riskmanagement Übergabe operative Risiken Vorfälle SIEM 15

16 Haben Sie Fragen? Kontaktieren Sie uns! Besuchen Sie uns auf unserer Webseite und melden Sie sich zu einer QSEC-Live Präsentation oder rufen Sie uns an! Ihr Ansprechpartner für Fragen: Herr Dierick Schröder Account Management / Vertrieb Tel.: 040/ info@wmc-direkt.de Wüpper Management Consulting GmbH im Internet: