MEET SWISS INFOSEC! 23. Juni 2016 Integrierte und digitale Managementsysteme Besfort Kuqi, Senior Consultant, Swiss Infosec AG
Managementsysteme im Trendwechsel Integration Digitalisierung [Wieder]herstellung einer Einheit [aus Differenziertem]; Vervollständigung Einbeziehung, Eingliederung in ein größeres Ganzes Vernetzung Automatisierung Intelligenz Innovation
Maturität der Managementsysteme heute Stand heute Unternehmensführung / MS MS 23.06.2016 www.infosec.ch/msi 3
Ein Beispiel: Managementsysteme und die oft gelebte Praxis (ISO 19600) (ISO 31000) Managementsysteme - Oft gelebte Praxis.. Risiko- Den Entscheidern Compliance liegen viele management verschiedene Informationen aus den Informations- einzelnen Management Kontroll- und Managementsystemen vor. sicherheit (ISO 27001) Qualitäts- Management (ISO 9001) Business Continuitiy (ISO 22301) Umwelt, Energie, usw. Internes Kontrollsystem (IKS)
Managementsysteme und die oft gelebte Praxis Herausforderungen Kein Gesamtüberblick & fehlendes Steuerungswissen z.b. Silo-Denken im Risikomanagement Informationsverluste Abhängigkeiten, Wechselwirkungen werden nicht erkannt Doppelspurigkeiten z.b. Dokumentation, Reviews, Audits, Zertifizierung usw. Hoher Aufwand in der Bewirtschaftung der MS Fehlende Akzeptanz
Wie es besser geht.. Wie es besser geht.. Qualitäts- Management (ISO 9001) Risikomanagement (ISO 31000) Informationssicherheit (ISO 27001) Umwelt- Management (ISO 14001) Viele Gemeinsamkeiten, Überschneidungen, Synergien! Business Continuitiy (ISO 22301) Internes Kontrollsystem (IKS) Compliance Management (ISO 19600)
Wie es besser geht.. Alle Themen unter einem Dach Qualitäts- Management (ISO 9001) Risikomanagement (ISO 31000) Informationssicherheit (ISO 27001) Umwelt- Management (ISO 14001) Integriertes Managementsystem (IMS) Business Continuitiy (ISO 22301) Internes Kontrollsystem (IKS) Compliance Management (ISO 19600)
Integriertes Managementsystem Definition laut Wikipedia: Das Integrierte Managementsystem (IMS) fasst Methoden und Instrumente zur Einhaltung von Anforderungen aus verschiedenen Bereichen (z. B. Qualität, Umwelt- und Arbeitsschutz, Sicherheit) in einer einheitlichen Struktur zusammen, die der Corporate Governance (d. h. der Leitung und Überwachung von Organisationen) dienen. Durch Nutzung von Synergien und die Bündelung von Ressourcen ist im Vergleich zu einzelnen, isolierten Managementsystemen ein schlankeres, effizienteres Management möglich. 23.06.2016 www.infosec.ch/msi 8
Integriertes Managementsystem Vorteile und Nutzen Vernetztes Steuerungswissen & Verbesserte Entscheidungsfindung Nutzung von Synergieeffekten (z. B. einheitliche Verfahren und Instrumente) Reduzierung von Verwaltungsaufwand und Kosten z.b. durch gemeinsame Dokumentation der Einzelsysteme Steigerung der Effizienz durch Vermeidung von Doppelarbeiten Erhöhung der Akzeptanz bei den Mitarbeitern 23.06.2016 www.infosec.ch/msi 9
Integriertes Managementsystem Einige Ansätze der Integration Normenbasierte Integration ISO High Level Structure / Annex SL Risikobasierte Integration Integriertes RM / Enterprise RM Digitale Integration Softwareunterstützung 23.06.2016 www.infosec.ch/msi 10
Spezielle Forderungen QMS / ISO 9001 Spezielle Forderungen ISMS / ISO 27001 Spezielle Forderungen SMS / ISO 20000-1 Integriertes Managementsystem ISO High Level Structure Erleichterung der Integration 1 Anwendungsbereich 2 Normative Verweisungen 3 Begriffe 4 Kontext der Organisation 5 Führung 6 Planung 7 Unterstützung 8 Betrieb 9 Bewertung der Leistung 10 Verbesserung Integrales System Integriertes System 23.06.2016 www.infosec.ch/msi 11
Integriertes Managementsystem Beispiel Vergleich ISMS (ISO 27001) und SMS (ISO 20000-1) Fachspezifische Überschneidungen, Gemeinsamkeiten abstimmen Systemübergreifende Aufgaben vereinheitlichen, zusammenfassen 23.06.2016 www.infosec.ch/msi 12
Integriertes Managementsystem Integration der Dokumentation Integration der Dokumentation Verantwortung der Leitung Ein übersichtliches Zentraldokument hilft mehr als viele Handbücher. Übergreifende Organisationsregelung, Ressourcen usw. Zielorientierte systembzw. themenbezogene Prozesse Bereichsübergreifende und systembezogene Regelungen Spezielle Prozessorientierte Regelungen 23.06.2016 www.infosec.ch/msi 13
Integriertes Managementsystem Risikobasierte Integration Risikomanagement ist die ideale Verbindung der verschiedenen Managementsysteme, da Risiken in allen Themenbereichen eines Unternehmens wie Qualität, Informationssicherheit usw. eine wichtige Rolle spielen! Wege: Enterprise Risk Management (ERM) Chief Risk Officer (CRO) 23.06.2016 www.infosec.ch/msi 14
Integriertes Managementsystem Digitale Integration / Softwareunterstützung Informationen aus verschiedenen Bereichen intelligent zusammenführen! Z.B. Risikomanagement (ERM, OpRisk, IT-RM) Internes Kontrollsystem (IKS) Compliance Management Internal Audit Informationssicherheit (ISMS) Business Continuity Prozess Management Weisungswesen usw. 23.06.2016 www.infosec.ch/msi 15
Integriertes Managementsystem Vorteile von Softwareunterstützung Umfassender Überblick und tiefer Einblick in die Daten Zentraler Zugangspunkt zu Informationen und Ergebnissen Einheitliche und automatisierte Prozesse Transparente und nachvollziehbare Ergebnisse Einfachere Berichterstattung Revisionssicher u.v.m. 23.06.2016 www.infosec.ch/msi 16
GRC-TOOLBOX der Swiss Infosec AG Integrierte Lösungen 23.06.2016 www.infosec.ch/msi 17
GRC-TOOLBOX der Swiss Infosec AG Überblick über alle Unternehmensrisiken 23.06.2016 www.infosec.ch/msi 18
GRC-TOOLBOX der Swiss Infosec AG Interne Kontrollen (IKS) einbinden, steuern und überwachen 23.06.2016 www.infosec.ch/msi 19
GRC-TOOLBOX der Swiss Infosec AG Geschäftsprozesse miteinbeziehen 23.06.2016 www.infosec.ch/msi 20
GRC-TOOLBOX der Swiss Infosec AG Aussagekräftiges Management Dashboard / Cockpit 23.06.2016 www.infosec.ch/msi 21
VIELEN DANK Ihre Lösung beginnt mit einem Kontakt bei uns: +41 41 984 12 12, infosec@infosec.ch besfort.kuqi@infosec.ch +41 79 446 83 00