Inhalt. I. Vorstellung ibi systems GmbH. Prozessuale und regulatorische Anforderungen an Unternehmen. Status quo: Wildwuchs statt Management

Ähnliche Dokumente
GRC-Suite i RIS Eine intelligente Lösung

IT-Sicherheits- und IT-Audit Management. Dr. Jurisch, INTARGIA Managementberatung GmbH Dr. Kronschnabl, ibi-systems GmbH

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

Integrierte und digitale Managementsysteme

Die Grundlage für Ihre IT- Sicherheit. BSI ISO IT-Notfallplanung

Workshop - Governance, Risk & Compliance - Integration durch RSA Archer

Ausblick und Diskussion. Isabel Münch Referatsleiterin IT-Grundschutz und Allianz für Cyber-Sicherheit

Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

Vorstellung der Software GRC-Suite i RIS

Grundlagen des Datenschutzes und der IT-Sicherheit

TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

Der Weg zu einem ganzheitlichen GRC Management

SEMINAR "WIRTSCHAFTSSTRAFRECHT- COMPLIANCE" (17./18. JUNI 2016)

Umsetzung des ISMS bei DENIC

Inhaltsverzeichnis. Abbildungsverzeichnis. Tabellenverzeichnis. Abkürzungsverzeichnis

BearingPoint RCS Capability Statement

Vom steuerlichen Kontrollsystem zum Tax Performance Management System. Das innerbetriebliche Kontrollsystem zur Erfüllung der steuerlichen Pflichten

UNTERNEHMENSPRÄSENTATION

Schon mal an den Notfall gedacht? Vorgaben und Handl ungs- Empfehlungen zur IT-Notfallvorsorge

Nachhaltiges Compliance Management in Kombination mit ERM und IKS

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen

Internes Risikomanagement (IKS) für unternehmerische Entscheidungen. INSPIRE: Halle 6 / A36 bpi solutions: Halle 3 / F36

Sicherheit um jeden Preis? Bietet die zertifizierte Sicherheit garantierte Sicherheit?

Informations- / IT-Sicherheit Standards

als Steuerungsinstrument Björn Schneider Berlin, 29. November 2016

RM vs. ISMS. Integration von IT-Risiken in das ganzheitliche Risikomanagement. it-sa, 8. Oktober Seite 1 AXA Konzern AG

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

ITIL V3 zwischen Anspruch und Realität

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Integriertes Schwachstellen-Management

Das sichere Rechenzentrum Normkonform und ökonomisch sinnvoll?!

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen?

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

Leitlinie für die Informationssicherheit

Erfahrungsbericht eines zertifizierten IT-Sicherheitsdienstleisters

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

Hinweise zur Bereitstellung der Referenzdokumente im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz. Version 1.

ISIS 12. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

Automatisierung eines ISMS nach ISO mit RSA Archer

Datenblatt. VICCON Compliance Navigator Enterprise Edition V1.5. Stand: 7. März , VICCON GmbH

Aktuelle Bedrohungslage

Security 2.0: Tipps und Trends rund um das Security Information und Event Management (SIEM)

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

FORUM. Gesellschaft für Informationssicherheit. ForumISM. Informations- Sicherheits- Management. effizient risikoorientiert ganzheitlich

ISO Ihr. Angriffe Alexander Häußler TÜV SÜD Management Service GmbH

IDV Assessment- und Migration Factory für Banken und Versicherungen

IT-Grundschutz nach BSI 100-1/-4

Informationssicherheit-Managementsystems (ISMS) mehr als IT-Sicherheit

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"!

Johannes Christian Panitz

IT-NOTFALL ÜBEN MACHT STARK! 15. Oktober 2015

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Information Security Management Systeme-ISMS Beispiele erfolgreicher Umsetzung

IT-Grundschutz - Informationssicherheit ohne Risiken & Nebenwirkungen

Kundeninformationen für PRIIPs (Packaged Retail and Insurance-based Investment Products) jetzt erstellen!

GRC-Modell für die IT Modul GRC-Self Assessment 1

VdS Cyber-Security der Brandschutz des 21. Jahrhunderts. Cyber-Security für kleine und mittlere Unternehmen (KMU)

SerNet. verinice. ISMS in der Praxis umsetzen. Alexander Koderman, CISA SerNet GmbH. Seite 1 / 2009 SerNet GmbH

Governance, Risk & Compliance für den Mittelstand

ISO 20000: Die CMDB im Betrieb und ihr Beitrag zu einem funktionierenden ITSM-System

Prüfungsansatz der Deutschen Bundesbank im europäischen Umfeld inkl. Cyber-Risiken

OPTIMIERTE UNTERNEHMEN. Integrierte Managementsysteme. Einstieg Ideenmanagement

Regelwerk der Informationssicherheit: Ebene 1

Magna Steyr Industrial Services Innovations- & Technologie Consulting

ISIS12 Informations Sicherheitsmanagement System in 12 Schritten Informationssicherheit für den Mittelstand

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Cloud Computing Governance. Thomas Köhler Leiter Public Sector RSA The Security Division of EMC

Risiko-Management bei Klein- und Mittelunternehmen (KMU) Leistungsangebot der Assekuranz im Netzwerk

Zentrum für Informationssicherheit

Erfolg des. Risk- und Notfall-Managements. in Ihrem. Unternehmen

Informationssicherheit in handlichen Päckchen ISIS12

Notes Datenbanken HB OF, Risikomanagement

CAFM-Studie 2016 Management Summary

Informationssicherheitsmanagement

CONFORTIS centered intelligence. Enterprise Architecture Management Ein Weg zum effizienten IKS? Swiss ICT. Dirk Hosenfeld. Zürich, 26.

Die praxisorientierte IT-Grundschutzzertifizierung

ABSCHLUSSARBEIT (Bachelor/Master)

6. PRINCE2-Tag Deutschland Erfolgsfaktoren für Projekt Audits

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten.

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

(IT-) Notfallmanagement gemäß BSI-Standard und ISO 22301

Unternehmensvorstellung

Notfallmanagement-Forum 2009

ISO mit oder ohne BSI-Grundschutz? Oliver Müller

CRAMM. CCTA Risikoanalyse und -management Methode

Das Tool zur Konformitätsbewertung von Maschinen und Anlagen von Pichler Andreas BSc, MSc. betreut von: Dr. Hans Tschürtz MSc, MSc

QSEC - ISMS und GRC nach internationalen Standards und Methoden WMC GmbH / Kurzpräsentation QSEC Suiten / Werner Wüpper

Sicherheitsnachweise für elektronische Patientenakten

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

31. Mai Sind Sie compliant? Erfüllung von Corporate Governance Anforderungen

Datenschutz. und Synergieeffekte. Verimax GmbH. Blatt 1. Autor:Stefan Staub Stand

Informationssicherheit im Unternehmen effizient eingesetzt

Governance, Risk & Compliance Management as a Service

SaaS leben am Beispiel der

Digitales Management von Governance, Risk, Compliance, IKS und Sicherheit

Transkript:

Innovation durch Integration Konsolidierung unterschiedlicher prozessualer und regulatorischer Anforderungen in einem softwaregestützten Managementansatz Dr. Christian Ritter ibi systems GmbH Regensburg, 18.05.2017

Inhalt I. Vorstellung ibi systems GmbH II. Prozessuale und regulatorische Anforderungen an Unternehmen III. Status quo: Wildwuchs statt Management IV. Softwaregestützte Integration zur Steigerung der Effizienz V. Ausblick auf zukünftige Entwicklungen ibi systems GmbH Seite 2

I. Vorstellung ibi systems GmbH

Vorstellung ibi systems GmbH Geschäftszweck und Gründung Entwicklung und Einführung von Software zur nachhaltigen Geschäftsprozessoptimierung. ibi systems GmbH wurde 2012 als Spin-Off der Universität Regensburg und der ibi research an der Universität Regensburg gegründet. Geschäftsführung Dr. Stefan Wagner, Diplom Wirtschaftsinformatiker (Univ.), Verantwortlichkeitsbereiche: Finanzen, Personal, Beratung und Vertrieb Pascal Jonietz, Wirtschaftsinformatiker (M.Sc.), Verantwortlichkeitsbereiche: Produkt- und Softwareentwicklung, IT und Organisation Mitgliedschaften bei der Allianz für Cyber-Sicherheit, einer Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), sowie beim Bayerischen IT-Sicherheitscluster e.v. Referenzen (Auszug) ibi systems GmbH Seite 4

II. Prozessuale und regulatorische Anforderungen an Unternehmen

Unternehmen im Spannungsfeld Strafzahlungen Gesetze Branchenspezifische Standards Unternehmen Branchenübergreifende Standards Auftragsverlust Konkurrenzfähigkeit / Effizienz ibi systems GmbH Seite 6

Vielfältige Anforderungen an Unternehmen Security ISMS ISO/IEC 27001/2 IT-Sicherheitskatalog ISO/IEC 27019 Cyber Security für KMU (VdS 3473) IT-Grundschutz BSI 100-1, 100-2, 100-3 IT-Dokumentation und Strukturanalyse Risk IT-Risiko Management ISO/IEC 27005 BSI 100-3 Standard Operationelles Risikomanagement Schadensfall Datenbanken Bedrohungs-/ Gefährdungsanalysen Governance COBIT / COSO Weisungswesen / Management von Ausnahmen Internes Kontrollsystem Compliance IKS PS 951 / ISAE 3402 Verfahrensverzeichnis GoBD BDSG EU-DSGV Audit VDA ISA Interne Audits Prozess- und Anwendungsprüfungen Business Continuity BSI 100-4 Standard ISO/IEC 22301 Wiederanlaufs- Wiederherstellungspläne IT-Desaster Recovery Notfallsimulation/ Notfallmanagement ibi systems GmbH Seite 7

III. Status quo: Wildwuchs statt Management

Status quo: Wildwuchs statt Management IKS Konzern Tochter 1 Tochter 2 Tochter 3 (Ausland) IS Legal IS Legal IS Legal ISO 27k GS-Tool BDSG VDA ISA GS-Tool BDSG ISO 27k GDPR ibi systems GmbH Seite 9

Beispiel 1: ISMS-Zyklus nach ISO 27k mittels in-house Excel-Lösung Komplexität bei der Erfassung, >100 Excel-Dateien pro Zyklus! Konsolidierung und Auswertung Hoher Erhebungsaufwand Mangelhafte Datenqualität und - 1 Excel pro Prozess/Asset pro Einheit pro Periode Konsistenz Keine Kontrolle der Zugriffsrechte und oftmals Versand per E-Mail ibi systems GmbH Seite 10

Beispiel 2: IS-Audit mittels VDA ISA Häufige inhaltliche Anpassungen Umständliche Anpassung an eigene Bedürfnisse Keine zentrale Datenhaltung und Historisierung ibi systems GmbH Seite 11

Beispiel 3: EU-DSGV (GDPR) - Datenschutzfolgeabschätzung Schutzziele Bedrohungskatalog Risikobewertung Schutzmaßnahmen ibi systems GmbH Quelle: White Paper DATENSCHUTZFOLGENABSCHÄTZUNG - Ein Werkzeug für einen besseren Datenschutz 2016 Seite 12

IV. Softwaregestützte Integration zur Steigerung der Effizienz

Entwicklung der Softwareunterstützung ibi systems GmbH Seite 14

Vorteile eines toolgestützten Informationssicherheitsmanagements Abweichungen von den Vorgaben (Standards, Normen) werden schneller sichtbar und deren Behebung durch das Softwaresystem aktiv überwacht Aufbereitung der Inhalte in einer graphischen Benutzeroberfläche erleichtert den Einstieg in die Einrichtung und den Betrieb eines ISMS Inhaltliche Überschneidungen mit anderen Standards, wie z.b. Datenschutz oder Risikomanagement werden abgebildet Reduktion des Aufwands für die Datenerhebung; Vermeidung von Redundanzen; Steigerung der Verfügbarkeit und Qualität der vorhandenen Daten Transparenz über ToDo s, offene Maßnahmen, erledigte Maßnahmen, durchgeführte Audits Relativ einfaches Erstellen von Auditplänen und Dokumentation von Audits Vereinfachtes Replizieren einer Risikoanalyse bei z.b. neuen Assets Zusammenarbeit mehrerer Personen bei Zuständigkeit für verschiedene Informationsverbünde Einfache Skalierbarkeit über die gesamte Organisation Steuerung der Zugriffsrechte und Historisierung der Ergebnisse ibi systems GmbH Seite 15

Eigenschaften eines integrierten egrc-systems (1/2) Sicherheits-Management Strukturierte und ganzheitliche Unterstützung von Sicherheits-Audits, Schwachstellen-Management, und Aufbau des Information-Security-Management- System (ISMS). ISMS ISO/IEC 27001/2 IT-Grundschutz BSI 100-1, 100-2, 100-3 IT-Sicherheitskatalog ISO/IEC 27019 IT-Dokumentation und Strukturanalyse Cyber Security für KMU (VdS 3473) Prüfungen und Audits der IT-Sicherheit Risiko-Management Unterstützung des Risiko-Managements nach gängigen Standards - von der Erfassung über die Bewertung hin zur Umsetzung und Kontrolle inklusive Schadenfall-Datenbank und Risikokennzahlen. IT-Risiko Management Schadensfall Datenbanken ISO/IEC 27005 BSI 100-3 Standard Bedrohungs-/ Gefährdungsanalysen Operationelles Risikomanagement Kennzahlen und Risikoüberwachung Governance-Management Optimierung des Governance-Management sowie des Internen Kontrollsystems und Weisungswesens inklusive Management von Ausnahmen. Prozesse werden individuell abgebildet und durch Standards unterstützt. COBIT / COSO Weisungswesen / Management von Ausnahmen Internes Kontrollsystem ibi systems GmbH Seite 16

Eigenschaften eines integrierten egrc-systems (2/2) Compliance-Management Begegnung der steigende Heterogenität und Komplexität der zunehmenden rechtlichen und regulativen Anforderungen - systematisch und umfassend - sowie Aufbau eines Compliance- Management-Systems. IKS PS 951 / ISAE 3402 Verfahrensverzeichnis GoBD Datenschutz BDSG / EU-DSGV Audit-Management Optimierung der Prüfungen durch integrierte Vorlagen und Kontrollen. Einfache Wieder- Verwendbarkeit bestehender Assessments. Umfangreiche Auswertung über verschiedenste Prüfobjekte hinweg. VDA ISA Interne Audits Prozess- und Anwendungsprüfungen Business Continuity-Management Unterstützung des Notfall-Managements durch Unterstützung für Business Impact-Analysen, Notfallhandbücher sowie Notfallsimulationen nach gängigen Standards. BSI 100-4 Standard IT-Desaster Recovery ISO/IEC 22301 Notfallsimulation/ Notfallmanagement Wiederanlaufs- Wiederherstellungspläne Business Impact Analysen (BIA) ibi systems GmbH Seite 17

GRC-Suite iris = integrierte IT-GRC-Plattform ibi systems GmbH Seite 18

USPs Integrative Lösung Integrative Unterstützung über mehrere Lösungsbereiche (einzeln und in Kombination) Lösungsbereiche: Governance-, Risk-, Compliance-, Security-, Audit- und Business Continuity- Management Skalierbare Prüfungen Umfangreiche Datenbank an Prüfungsvorlagen Erstellung und Durchführung von IT- Sicherheitsprüfungen durch Verwendung (und Wiederverwendung) angelegter Vorlagen Optional: Import von Prüfvorlagen basierend auf Ihren Excel-Blättern Integriertes Know-how Integriertes Know-how zum Beispiel: Best-Practice- Standards, Kontrollen oder Maßnahmen Signifikante Erhöhung der Abbildungsqualität Intelligente Funktionen Unterstützung durch intelligente Funktionen in allen Lösungsbereichen Beispiel: Generierung von Handlungsempfehlungen bei der Verwaltung von Assets und Prozessen Nachhaltige Technologie ASP.NET Webanwendung Mandantenfähigkeit Neuster Stand der Technik Regelmäßige Bestätigung der Funktionalität, Zuverlässigkeit und Sicherheit (Penetrationstests) Innovative Prozessunterstützung Unterstützung von Geschäftsprozessen (z.b. Risk-Management) Anlage von Risiken basierend auf Bedrohungen und Schwachstellen Durchführung von Risikobewertungen Definition von Risikobehandlungsstrategien einschließlich durchzuführender Maßnahmen ibi systems GmbH Seite 19

Organisationsstruktur, Benutzerverwaltung und Workflowmanagement Beispiel: ISMS-Prozess in ibi systems iris Regelwerke Standards Gesetze Normen Interne Regelungen Prüfvorlagen Planung der Prüfung Durchführung der Prüfung Feststellungen (Schwachstellen) Maßnahmenempfänger Maßnahmen Indikatoren Risiken Dokumentenablage SOLL-Bewertung Risikobehandlung IST-Bewertung ISMS Unternehmensarchitektur Prozesse Assets Modellierung Schutzbedarfsfeststellung ibi systems GmbH Seite 20

Integration auf Datensatzebene Reporting & Steuerung Regelwerke Prozesse Assets Organisations einheiten Risiken Feststellungen Maßnahmen Dokumente ibi systems GmbH Seite 21

Architektur und Systemanforderungen ibi systems GmbH Seite 22

V. Ausblick auf zukünftige Entwicklungen

Gardner Hype Cycle for Governance, Risk and Compliance Technologies 2014 ibi systems GmbH Seite 24

Ausblick auf zukünftige Entwicklungen Auf der Suche nach dem Next Big Thing Direkte Verknüpfung von operativen Systemen mit egrc-lösungen? Standardisierte Schnittstellen & automatisierter, unternehmensübergreifender Datenaustausch? Data Mining & Maschinelles Lernen? ibi systems GmbH Seite 25

ibi systems GmbH Innovations- und Technologiezentrum TechBase Franz-Mayer-Straße 1, 93053 Regensburg Telefon +49 941 46 29 39 0 E-Mail info@ibi-systems.de Fax +49 941 46 29 39 99 Web www.ibi-systems.de Sitz: Regensburg, HRB 13164 Registergericht: Amtsgericht Regensburg Geschäftsführer: Dr. Stefan Wagner, Pascal Jonietz Wichtiger Hinweis: Diese Datei ist vertraulich und ausschließlich für von ibi systems GmbH berechtigte Personen und Firmen/Organisationen freigegeben. Wenn Sie diese Datei nicht von ibi systems GmbH erhalten haben, nehmen Sie bitte zur Kenntnis, dass Weitergabe, Kopien, Verteilung oder Nutzung unzulässig ist. Falls Sie diese Datei irrtümlich erhalten haben, benachrichtigen Sie ibi systems GmbH bitte unverzüglich telefonisch oder durch eine E-Mail. Vielen Dank.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback