SlideShare ist ein Scribd-Unternehmen logo
„Best in Class ist nie ein Zufall“ – WMC schneller mehr Ergebnis.
                                             QSEC Suite

   Präsentation WMC GmbH                           Best Practice im
                                       Informationssicherheitsmanagement nach
                                                      ISO 27001




„Best in Class ist nie ein Zufall !“
Agenda



                                         Begrüßung und Abstimmung der Agenda



                                         Vorstellung ganzheitliches ISMS



                                         QSEC-Suite Präsentation



                                         Fragen und Diskussion




                                                                               2
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
WMC – seit 11 Jahren optimale Leistungen im Projekt- und Lösungsgeschäft



•    ausschließlich                                       Kunde                                   •    ausschließlich
     Consultants mit                                                                                   Consultants mit
     Managementerfahrung                                                                               Managementerfahrung
•    Konzeption und gemeinsame                                                                    •    Konzeption und gemeinsame
     Umsetzung messbarer,                                                                              Umsetzung messbarer,
     akzeptierter Ergebnisse                                                                           akzeptierter Ergebnisse



Consulting (IT-Security)                                                              Consulting (IT-Solutions)

Kernkompetenzen                                                                       Kernkompetenzen
• Information - / IT-Security                                                         • IT-LifeCycle Management
• IT-Risk Management                                                                  • Asset- und Contract Management
                                                                                      • Licence Management


Produktfamilie - QSEC-Suite

     Datenbankbasierte Produkte für Aufbau und Betrieb von Information Security Management Systemen




                                                                                                                                   3
    „Best in Class ist nie ein Zufall
    „Bestin Class ist nie ein Zufall !“ !“              © 2011 WMC GmbH
WMC Referenzen / Projekte (Auszug)

 arvato systems GmbH
 (Bertelsmann Gruppe)                    Medien
 Axel Springer AG


 Huf Hülsbeck & Fürst GmbH
 Marquardt GmbH
 Reich GmbH                              Automotive
 Wilhelm Karmann GmbH
 Volkswagen Osnabrück GmbH


 Paul Albrechts Verlag GmbH
 PAV CARD GmbH
 Veolia Umweltservice GmbH               Dienstleistung
 Germanischer Lloyd AG


Sana IT Services GmbH                    Gesundheitswesen


 ITERGO (ERGO Konzern)
 DVAG (Deutsche Vermögensberatung AG) Versicherungen




                                                            4
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
Agenda




                                         Vorstellung ganzheitliches ISMS




                                                 •   ISMS führt zu Geschäftserfolg, Profit und Image
                                                 •   ISMS nach ISO/IEC 27001/ Vorgehensmodell
                                                 •   IT-Risikomanagement
                                                 •   QSEC Produktfamilie und Leistungen




                                                                                                       5
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
WMC - Compliance-, IT-Risko- und Maßnahmen-Management (CRM)
CRM führt zu mehr Geschäftserfolg, Profit und stärkt die Menschen.

Business im Wandel                                            Informationstechnologie
1. Information                                                Schnelle und wirksame Umsetzung von
2. Global                                                     Geschäftsstrategien
3. Werte
                                         Wettbewerbsvorteil

                                           Kostenvorteil

                                         Innovationsvorteil




      „Supply“ orientierte IT (2000-2010)                     Strategisch wirksame und sichere IT (2010 – 2020)

                                                              » Intelligente Nutzung von Informationssicherheit
      » IT-Kostenmanagement                                   » Risiko-Wertorientierte Steuerung von IT Investitionen
      » IT-Industrialisierung                   CRM           » Wirkungsvolle Unterstützung der Geschäftsbereiche
      » Full Scope Outsourcing                 Trans-         » Übergreifende Prozesse
      » Abwicklung IT-Projekte               formation        » Anwendungskritikalität
      » IT-Service Qualität                                   » Konsequente Ausrichtung der IT Organisation am Geschäft




                                                                                                                          6
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
Sicherung des Unternehmenserfolges durch ein ISMS
   Informationssicherheitsmanagement – notwendiges Übel oder
   wesentlicher Beitrag zum Geschäftserfolg?


                                                   Unternehmen
                                            Risiko- und Chancenmanagement




                                                                            Informations-
           Wertschöpfungs-                           Qualitäts-              sicherheits-
            management                              management              management
                Werte                                 Werte                   Werte
               schaffen                              stärken                 sichern


                                         Geschäftserfolg, Profit, Image


                                                                                            7
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“               © 2011 WMC GmbH
ISMS - Wie diese Themen erfolgreich gemanagt werden können


                                                       Notfallplanung               Qualitätsmanagement
                     Risikomanagment

                                                                         SOX

                                         Business Continuity                               Informations-
                                         Management                                        sicherheit
   Datensicherung

                                                                 ISO/IEC 27001



         IT-Risikomanagement                                                     Business Impact Analyse

                                            IT-Servicemanagement




                                                                                                           8
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“               © 2011 WMC GmbH
Keine Prozesssicherheit ohne Informationssicherheit




                                                                                      Informationssicherheit
                    IT-Strategie folgt der
                    Unternehmensstrategie
IT - Organisation


                                                   Unternehmensstrategie / - Kultur
                    Geschäftsprozesse die
                    Ausgangsbasis

                                             Geschäftsprozessebene Arbeitsergebnis


                    IT-Anwendungen
                    unterstützen              IT- Applikationen

                    Geschäftsprozesse

                                     Applikationsebene / IT-Anwendungen




                               Technische Systemebene / IT-Infrastruktur




                                                                                                               9
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
QSEC-Suite - Methode zur Einführung und Betrieb eines ISMS
                                              Act
                                                      überprüfen
                                                                                         Plan    Methode zum Betrieb eines ISMS
Strategische
Ausrichtung



                                                         Grundsätze und Leitlinien
bestimmen




                                                         erstellen (Security Policy)              •   Geschäftsführungsentscheidung zur konsequenten
                                                                                                      Sicherheitspolitik

                                                                      0                           •   Ernennung eines Sicherheitsbeauftragten auf Managementebene
                                                                                                  •   Einführung von Grundsätzen und Leitlinien
                                                      Permanentes Assessment
                                                         Selfassesment durchführen                •   Implementierung der ISMS-Organisation
                                                                                                  •   Technik überprüfen und bewerten (Vulnerability Assessment)
  Effektive, wiederholende Sensibilisierung




                                                                                                  •   Ressourcen und Prozesse zugeordnen und bewerten
                                                                      1
                                                                                                  •   Ggf. weitere branchenspezifische Assessments (z.B. ISO / TS 16949)
                                                      Permanentes Risikomanagement
                                                                                                  •   Beurteilung der Prozesse nach „Business-Kritikalität“
                                                       Risikomanagement durchführen
                                                                                                  •
                der Mitarbeiter




                                                                                                      Erstellung eines Business-Blueprints der Systemlandschaft
                                                                                                  •   Ermittlung der Assetwerte zur Bildung eines Kennzahl-Systems
                                                                      2
                                                                                                  •   Bedrohungs- und Schwachstellenanalyse der Systemlandschaft
                                                      Permanente Risikobegegnung                  •   Bewertung der möglichen Risiken
                                                              Risktreatment
                                                       Risikobegegnung durchführen                •   Erstellung eines Risikobegegnungsplans


                                                                       3                          •   Entscheidung zur Akzeptanz oder des Transfer von Risiken
                                                                                                  •   Durchführung von Sicherheitssofortmaßnahmen
                                                      Permanentes Maßnahmenmgmt.                  •   Anpassung des BCM zur Abdeckung operativer Risiken
                                                       Maßnahmenmgmt.. durchführen
                                                                                                  •   Terminierung und Initiierung notwendiger Projekte

                                                                      4                           •   Überprüfung der Umsetzung eingeleiteter Maßnahmen

                                              Check                                               •   Absicherung durch Etablierung des Notfallmanagements
                                                                                         Do




                                                                                                                                                                       10
       „Best in Class ist nie ein Zufall
       „Bestin Class ist nie ein Zufall !“ !“                                          © 2011 WMC GmbH
Schematischer Ablauf des IT Risikomanagement
Prozessmodell erstellen                  Angebotsphase                    Montage                 …              Versand

Übergeordnete
Risikobewertung                      Kritikalität: niedrig             Kritikalität: hoch                  Kritikalität: mittel
(Kritikalität der GP festlegen)

                                  Applikation 1                     Applikation 3                      Applikation 5
                                         Datenbank a                       Datenbank e                         Datenbank h
Alle Assets                              Datenbank b                       Datenbank f                         Datenbank i
• identifizieren,                               Server x                          Server z                           Server w
• gruppieren und
• den Prozessen zuordnen          Applikation 2                     Applikation 4                      Applikation 6
                                         Datenbank c                       Datenbank g                         Datenbank k
                                                Server y                          Server v                           Server z


Detaillierte Analyse                                                    Detaillierte Analyse
• Asset Bewertung                 Basisbewertung                                                               Basisbewertung
                                                             Vertraulichkeit, Integrität, Verfügbarkeit,
• Bedrohungsanalyse
                                                                  Authentizität, Finanzieller Wert
• Schwachstellenanalyse
• Risikobewertung
                                                  Bedrohungen                                Schwachstellen
                                                                             Appl. 4         analysieren und
oder                                              analysieren und             DB c           bewerten.
                                                  bewerten
Basisbewertung                                                               Server v        (existierende Sicherheits-
                                                                                             maßnahmen berücksichtigen)



                                                                    Maßnahmen Management




                                                                                                                                  11
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
Compliance Management: Systematisches, methodenbasiertes Vorgehen



                                                  BDSG
                   Sicherheitsmanagement                                                         Qualitätsmanagement
                           ISO 27001                                                                   ISO 9001
                     inkl. IT-Risko 27005                                                                       Qualitätsmanagementsystem
                                                                                                                Kontinuierliche Verbesserung




                                                                                      Anforderungen
                                                                                                                        Verantwortung
                                                                                                                         der Leitung




                                                                              Kunde




                                                                                                                                                                Zufriedenheit
                                                                                                                                               Messung,




                                                                                                                                                                                Kunde
                                                                                                        Management
                                                                                                                                               Analyse,
                                                                                                                     DIN EN ISO 9001Verbes-
                                             Managementprozess
                                                                                                           der
                                                                                                        Ressourcen
                                                                                                                                                serung


                                                  Abgebildet in QSEC                                                      Produkt u./o.
                                                                                                                         Dienstleistungs-
                                                                                                                           realisierung              Produkt/
                                                                                                                                                      Dienst-

                                            Act                        Plan                                                                          leistung




                                                    Sicherheit
                                                      ist ein
                    Umweltmanagement                 Prozess
                                                                                                      Servicemanagement
                       ISO 14001            Check                      Do                                  ISO 20000




                                                    SOX


                                                                                                                                                                                        12
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
Die QSEC-Suiten / QSEC Easy Express

•    Vollständige ISMS Abbildung nach ISO/IEC 27001
       •    Plan-Do-Check-Act (PDCA)
       •    Nachhaltigkeit


•    Vollständiges IT-Risikomanagement ISO/IEC 27005
       •    Bedrohungen/Schwachstellen
       •    Ganzheitlichkeit


•    Vollständiges Maßnahmenmanagement
       •    Liefert jederzeit den aktuellen Status
       •    Übersichtlichkeit


•    Schnittstellenmanagement                                        •   BIA / BCM*)
       •    Integration in die Infrastruktur                              •   Geschäftskontinuität
       •    Eindeutigkeit                                                 •   Planbarkeit

*) BIA=Business Impact Analyse, BCM=Business Continuity Management



                                                                                                     13
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
QSEC Easy Express




                                                  •   Compliance
                                                  •   Maßnahmen
                                                  •   IT-Risiko
                                                  •   Dokumenten
                                                  •   Reporting



                                         •   Limitiert auf 3 User und
                                             1 Untersuchungsbereich




                                                                        14
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
QSEC Family




     •     QSEC Easy Express
                               •       QSEC-Suite Enterprise Edition
                                                      •   QSEC-Suite GRC Edition
                              Nachhaltigkeit
                                                      •   Intuitive Benutzerführung
                                   •     Methode
      •     Content


„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“                                                15
QSEC-Suite Enterprise Edition




                                         •   Compliance
                                         •   Maßnahmen
                                         •   IT-Risiko
                                         •   Dokumenten
                                         •   Security-Incident
                                         •   Reporting




„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“                    16
QSEC-Suite GRC Edition




                                         •   Compliance
                                         •   Maßnahmen
                                         •   IT-Risiko
                                         •   Dokumenten
                                         •   Security-Incident
                                         •   BIA/BCM
                                         •   Reporting




„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“                     17
QSEC-Family - Produktvergleich




„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“   18
QSEC-Suite Module im Überblick
      Module in Planung                                         Enterprise Suite                                 GRC Suite

             QSEC-Suite
             Dashboard                       QSEC-Suite             QSEC-Suite           QSEC-Suite              QSEC-Suite
       Reporting Management                  Compliance              IT-Risiko            Reporting                BCM
                                              Compliance-                IT-                Reporting           Business Continuity
                                              management          Risikomanagement          Berichte              Management



                                             QSEC-Suite             QSEC-Suite           QSEC-Suite              QSEC-Suite
            Erweiterungen                    Maßnahmen               Dokument                                       BIA
                                                                                          Incident
                                              Maßnahmen-             Dokumenten-         Security-Incident-      Business Impact
             Awareness                        management             management            management                Analyse
       Awarenessmanagement



                                                                          Schnittstellen
            Schnittstellen                  Mailsystem, Asset Management (z. B. Spider), AD, Ticketsystem (z. B. helpLine)

         Risikomanagement
          Montoring Tools                                                     QSEC-Suite
         Vulnerability-Scan                                 Core Server, Gemeinsame Plattform, Berechtigungen



vorhanden      in Realisation

                                                                                                                              19
   „Best in Class ist nie ein Zufall
   „Bestin Class ist nie ein Zufall !“ !“
QSEC-Suite integriert in der IT-Infrastruktur
                                    Assetgruppe
                                    Kritikalität
                                    Geschäftsprozesse
                                    Vertraulichkeit
                                    Verfügbarkeit                           Mitarbeiter-
        Asset                                                               berechtigungen
      Management
                                    Integrität                                                    Active Directory
                                                                                                         (AD)
 Spider / Service Center




                                   Assetgruppe
                                   Schwachstellen
                                                          QSEC-Suite
      Vulnerability                                                                                  Prozess
                                   Maßnahmen             ISMS / BDSG        Geschäftsprozesse
      Management                                                                                    Management
          Qualys                                           Integriertes
                                                                                                     Aris / Adonis
                                                        Management System




                                   Benachrichtigungen                        Security-Incidents
                                                                                                    Incident
      Mailsystem                                                                                   Management
                                                                                                  Perigrine / helpLine




                                                                                                                         20
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
QSEC Suite Enterprise Edition – mehr als nur eine Software (1/2)
In der QSEC-Suite Enterprise Edition ist folgender Content enthalten

 Modul                      Beschreibung                       Bemerkung
 Stammdaten                 Rollenbeschreibungen               z.B. Sicherheitsbeauftragter,
                                                               Datenschutzbeauftragter,
                                                               Qualitätsbeauftragter etc.
 Compliance                 ISO/IEC 27001 Chapter 0-8          • Ständige Überarbeitung und
                            Fragenkatalog mit 48 Fragen          Update
                            ISO/IEC 27001 Annex A              • Selbstverständlich kann auch Ihr
                            Fragenkatalog mit 502 Fragen         bestehender Fragenkatalog
                            ISO/IEC 9001                         eingebunden werden
                            Fragenkatalog mit 126 Fragen
                            ISO/IEC 14001
                            Fragenkatalog mit 148 Fragen
                            ISO/IEC 20000
                            Fragenkatalog mit 400 Fragen
                            PCI/DSS
                            Fragenkatalog mit 98 Fragen
                            VDA PTS
                            Fragenkatalog mit 102 Fragen
                            Bundesdatenschutzgesetz (BDSG)
                            Fragenkatalog mit 402 Fragen
                            Sarbanes-Oxley-Act (SOX)
                            Fragenkatalog mit 229 Fragen




                                                                                                    21
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
QSEC Suite Enterprise Edition – mehr als nur eine Software (2/2)
 In der QSEC-Suite Enterprise Edition ist folgender Content enthalten

 Modul                      Beschreibung                         Bemerkung

 IT-Risiko-                 Bedrohungskatalog (50)               Ständige Überarbeitung und
 management                 Schwachstellenkatalog (120)          Update
 Dokumenten-                Musterdokumente                      Ständige Überarbeitung und
 management                 z.B. Sicherheitsmanagement (25)      Update
                            Security Policy
                            Sicherheitsleitlinien
                            Klassifizierungsrichtlinie
                            IT-Risikomanagementrichtlinie
                            etc.
 Maßnahmen-                 Maßnahmenvorschlagslisten            Ständige Überarbeitung und
 management                 z.B. Sicherheitsmanagement (1.200)   Update
                            Control- und Risikobezogen




                                                                                              22
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
QSEC-Suite Beispiel: Maßnahmenmanagement

                                                                                           Struktur im
                                                                                           Maßnahmenmanagement
                                                               z.B. ISO 27001
     Untersuchungs-                                            • A5                        • Bezeichnung
     bereich                                                   • A6
                                                                                           • Beschreibung
                                                                                           • Zieldatum
                                                                                           • Priorität
                                                                                           • Verantwortlich
                                                                                           • Umsetzungsgrad
                                                                                           • Status
                                 Maßnahmen                                                 • Projektname
                                                                                           • Projektverantwortlicher
                                                                                           • Verknüpfung
                                                                                                   • Compliance
                                                                                                   • Dokument
   z.B.                                                             Name des verantwort-           • mit anderen
   • Patch                                Dokument                  lichen Mitarbeiters               Maßnahmen
   • Klassifizierung
   • Protokollierung                                                                               • individuelle
                                                                                                     Maßnahmen
                                    z.B.                                                           • Risikomanagement
                                    • Richtlinie
                                    • Arbeitsanweisung
                                    • Formular
                                    • Handbuch
                                    • Checkliste


Für jede Sicht wird eine entsprechende Verknüpfung am Dokument erstellt.


                                                                                                                        23
 „Best in Class ist nie ein Zufall
 „Bestin Class ist nie ein Zufall !“ !“
QSEC-Suite Beispiel: Reporting

                           Reifegrad
      IST- / SOLL Darstellung mit Maßnahmenauflistung                                                                                                      Assetgruppenbewertung                                                        Mitgelieferte
                                           A5                                                                                                                   Untersuchungsbereich: ITRZ + Recht
                                     Sicherheitspoli
                                           tik                                                                                                                                                                                          Reports
                     A15                 5                       A6                                                         10
                  Einhaltung                                 Organisation                                                               9
                     der …              4                       der …

      A14 Business                      3                                 A7
                                                                                                                                        8
                                                                                                                                                                                                                      10
                                                                                                                                                                                                                                        • Standardberichte




                                                                                                  Anzahl Assetgruppen
                                                                                                                                                                                                                                          • Management-
       Continuity                                                     Management                                                        7
                                        2
      Management                                                      von Werten                                                        6
                                        1                                                 IST

                                        0                                                 SOLL
                                                                                                                                        5                                                                                                   berichte
         A13                                                                 A8
     Management
        von…
                                                                        Personalsicher
                                                                             heit
                                                                                                                                        4
                                                                                                                                        3
                                                                                                                                                                 6
                                                                                                                                                                                                                                          • Arbeitsberichte
                                                                                                                                            2                                              4                                               • SOA
              A12                                                     A9
                                                                                                                                                                                                                                           • Maßnahmen
                                                                                                                                            1
          Beschaffung,                                            Physische
          Entwicklung …                                           Sicherheit                                                                0
                         A11
                     Zugangskontro
                                                       A10 Betriebs-
                                                           und                                                                                   Detaillierte Bewertung                                                                    • Risiko
                                                                                                                                                                             Basisbewertung
                                                                                                                                                                                                                                           • Reifegrad
                          lle                          Kommunikat…
                                                                                                                                                                                                    Erfasste Assetgruppen
                                                                                                                                                               Assetgruppenstatus



                                 Risikostatus                                                                                           Gap-Analyse des Schutzzniveaus je Assetgruppe
                          Untersuchungsbereich: ITRZ + Recht
                                                                                                                                                                     Untersuchungsbereich: ITRZ + Recht                                 • Individuelle Berichte
                                                                                                                                                4                                                                                         nach Vorgabe
                                                                                                                                            3,5
                                                                                                                                                3                                                       3             3
                                                                                                                                                                              4
                                                                                                                         Schutzniveau




                                                                                                                                            2,5            4
                               20%
                                                                                                                                                 2                                 2
                                                                                                                                                                                                                           2
              20%                                                                                                                            1,5
                                                                                                                                                                1                               3
                                                                60%                                                                                 1
                                                                                                                                                0,5
                                                                                                                                                    0

                                                                                                                                                        SAP MM
                                                                                                                                                                            SAP HR
                                                                                                                                                                                               SAP PP
                                                                                                                                                                                                                     SAP WM
                                                                               Risikowert >= 7
                                                                                                                                                        SAP MM                    SAP HR                    SAP PP             SAP WM
                                                                               Risikowert 5 - 7
                                                                                                                        Soll-Wert                         4                          4                        3                  3
                                                                               Risikowert <=4                           Ist-Wert                          1                          2                        3                  2



                                                                                                                                                              Assetgruppe




                                                                                                                                                                                                                                                                  24
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
QSEC-Suite Technik

    Die QSEC-Suite ist eine webbasierte Anwendung:

              Client                         Webserver            Datenbank
                                                                                                  Incident
                                                                                                    neu


                                                                                                                  Compliance


     •     Web-Browser                   •   Microsoft        •   Microsoft           Dokumente
                                                                                                     Reporting


     •     SSL                               Windows Server       SQL
     •     Keine Installation                2003 - 2008 R2       Server 2008 / R2                               Maßnahmen


     •     Keine Wartung                 •   Microsoft                                             Risiko


                                             IIS              •   Schnittstellen zu
                                         •   ASP.NET 4.0          anderen
                                                                  Systemen



           Programmierung mit Microsoft Visual Studio 2010

     Aktuelle Version: 3.0


  QSEC-Suite - der sichere, softwaregestützte Weg
  zum ganzheitlichen Information Security Management System (ISMS)
  nach ISO/IEC 2700x


                                                                                                                      25
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
QSEC - Versionsentwicklung 2008 - 2012

      QSEC Leistungen




                                                                                                         QSEC 4.0 bis 5.0



                                                                                    QSEC 1.6.0 bis 3.0    Module:

                                                                                                          •     Event-
                                                                                                                console
                                                           Module:                  Normen:               •     Dashboard
                                QSEC 1.0.0 bis 1.5.0                                                      •     Integration
                                                           • strategisches          •   BS 25999 (BCM)    •     (Qualys/ISS/
                                                             Management von         •   SOX                     Checkpoint
       Module:              Normen:                                                                             etc.)
                                                             Unternehmenszielen     •   Sonder-
                                                           • BIA                        lösungen          •     SharePoint
       •     Admin          •    ISO 27001                                          •   CoBIT             •     QSEC-
                                                             (Business Impact
       •     Stammdaten     •    ISO 27002                                          •   Fragenkatalog           Online
                                                             Analyse)
       •     Compliance     •    ISO 27005                                          •   Englische               (SaaS)
                                                           • BCM
       •     Maßnahmen      •    ISO 9001 (QM)                                          Sprachvariante
                                                           • Security Incident
       •     Risiko (IT)    •    ISO 14001
                                                             Management
       •     Dokumenten          (Umwelt)
                                                           • Dokumentenportal
       •     Reporting      •    ISO 20000 (ITIL)
                                                           • Schnittstellen
       •     (Reifegrad)    •    VDA PTS
                                                           • Berechtigungskonzept
                            •    PCI / DSS
                                                             nach Legal Entities



15.10.2008                                          31.12.2009                                     30.12.2011                  31.12.2012




                                                                                                                                            26
 „Best in Class ist nie ein Zufall
 „Bestin Class ist nie ein Zufall !“ !“
ISMS Einführung - Nutzen

•    Ernstgenommene ISMS Einführung erhöht die Unternehmenssicherheit
     signifikant und leistet einen wesentlichen Beitrag zum Risikomanagement im
     Unternehmen
•    Nachweis des Sicherheitsmanagements und dessen Überprüfung durch
     externe Auditoren zur Erfüllung von Kundenanforderungen
•    Erhaltung und Stärkung der eigenen Wettbewerbsfähigkeit
•    Möglichkeit der gezielten IT-Investition durch Kenntnis der
     geschäftskritischen Erfordernisse (IT-Risikomanagement)
•    Generierung angemessener Sicherheitsstandards und -lösungen im Rahmen
     der IT Strategie
•    Einsparungen durch Roll Out des praxiserprobten ISMS auf weitere Standorte
     bzw. bei Unternehmensexpansion - „ISMS aus der Box“ für neue Standorte
•    Konsolidierbare und vergleichbare Daten im Sicherheitsmanagement in
     Konzernstrukturen
•    Erfüllung von Anforderungen aus dem Datenschutzgesetz




„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
Vorteile von und Anforderungen an eine Toolunterstützung

•    Integrierte zentrale Datenbank
•    Konzernstrukturen weltweit darstellbar
•    Vorgehen nach einheitlicher Methode in großen und komplexen
     Unternehmensstrukturen
•    je Norm / Gesetz komplett hinterlegter Content
•    vollintegriertes IT-Risikomanagement
•    Integration in die bestehende IT-Infrastruktur (AD, SAP, Asset System etc.) –
     keine Doppelerfassung von Daten
•    Zentrale Dokumentenverwaltung (oder Verlinkung mit DMS)
•    Historie aller relevanten Veränderungsdaten
•    Zuweisung expliziter Aufgaben an alle am Projekt beteiligten Verantwortlichen
•    automatische Wiedervorlage über Mailsystem
•    Erfassung und Kritikalitätsbewertung der Geschäftsprozesse je
     Untersuchungsbereich
•    Maßnahmenvorschläge



                                                                                     28
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
QSEC-Suite Vorteile im Ergebnis

•     hohe Transparenz über alle Aktivitäten und Status im Bereich des
      Compliance- und IT-Risikomanagements
•     permanente Information über und nachhalten von Veränderungen und
      Verbesserungen über den PDCA Kreislauf
•     daraus abgeleitet die Möglichkeit der Optimierung der IT-Investitionen
      auf die wesentlichen, geschäftskritischen Prozesse
•     Einsparung von ca. 30-50% der internen und externen Kosten einer
      ISMS-Einführung / Betrieb (bzw. Qualitäts-, Umweltmanagement etc.)
      sind möglich
•     Positive Auswirkungen auf das Image des Unternehmens bei Kunden,
      Lieferanten, Banken, Versicherungen und Investoren durch lückenlose
      Nachweisbarkeit aller durchgeführten Aktivitäten inkl. tagesaktuellem
      Status




                                                                               29
„Best in Class ist nie ein Zufall
„Bestin Class ist nie ein Zufall !“ !“
Version 2.1




„Best in Class ist nie ein Zufall !“

Weitere ähnliche Inhalte

Was ist angesagt?

ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1
Tanmay Shinde
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001
Fabrizio Di Crosta
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
DevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -SecurityDevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -Security
n|u - The Open Security Community
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Edureka!
 
Security Incident Log Review Checklist by Dr Anton Chuvakin and Lenny Zeltser
Security Incident Log Review Checklist by Dr Anton Chuvakin and Lenny ZeltserSecurity Incident Log Review Checklist by Dr Anton Chuvakin and Lenny Zeltser
Security Incident Log Review Checklist by Dr Anton Chuvakin and Lenny Zeltser
Anton Chuvakin
 
Managed Security Services from Symantec
Managed Security Services from SymantecManaged Security Services from Symantec
Managed Security Services from Symantec
Arrow ECS UK
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
CYBERSECURITY MESH - DIGITAL TRUST FRAMEWORK
CYBERSECURITY MESH - DIGITAL TRUST FRAMEWORKCYBERSECURITY MESH - DIGITAL TRUST FRAMEWORK
CYBERSECURITY MESH - DIGITAL TRUST FRAMEWORK
Maganathin Veeraragaloo
 
Apache Kafka for Cybersecurity and SIEM / SOAR Modernization
Apache Kafka for Cybersecurity and SIEM / SOAR ModernizationApache Kafka for Cybersecurity and SIEM / SOAR Modernization
Apache Kafka for Cybersecurity and SIEM / SOAR Modernization
Kai Wähner
 
SABSA vs. TOGAF in a RMF NIST 800-30 context
SABSA vs. TOGAF in a RMF NIST 800-30 contextSABSA vs. TOGAF in a RMF NIST 800-30 context
SABSA vs. TOGAF in a RMF NIST 800-30 context
David Sweigert
 
SABSA overview
SABSA overviewSABSA overview
SABSA overview
SABSAcourses
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness Training
Dr Madhu Aman Sharma
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?
PECB
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risques
Carine Pascal
 
Iso27001
Iso27001 Iso27001
Iso27001
Arsene Allogo
 
Cyber Security in Manufacturing
Cyber Security in ManufacturingCyber Security in Manufacturing
Cyber Security in Manufacturing
CentraComm
 
What is iso 27001 isms
What is iso 27001 ismsWhat is iso 27001 isms
What is iso 27001 isms
Craig Willetts ISO Expert
 

Was ist angesagt? (20)

ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1ISO 27001 - information security user awareness training presentation - Part 1
ISO 27001 - information security user awareness training presentation - Part 1
 
Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001 Certificazione privacy: ISO 27001
Certificazione privacy: ISO 27001
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
DevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -SecurityDevSecOps Jenkins Pipeline -Security
DevSecOps Jenkins Pipeline -Security
 
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
Cybersecurity Frameworks | NIST Cybersecurity Framework | Cybersecurity Certi...
 
Security Incident Log Review Checklist by Dr Anton Chuvakin and Lenny Zeltser
Security Incident Log Review Checklist by Dr Anton Chuvakin and Lenny ZeltserSecurity Incident Log Review Checklist by Dr Anton Chuvakin and Lenny Zeltser
Security Incident Log Review Checklist by Dr Anton Chuvakin and Lenny Zeltser
 
Managed Security Services from Symantec
Managed Security Services from SymantecManaged Security Services from Symantec
Managed Security Services from Symantec
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
CYBERSECURITY MESH - DIGITAL TRUST FRAMEWORK
CYBERSECURITY MESH - DIGITAL TRUST FRAMEWORKCYBERSECURITY MESH - DIGITAL TRUST FRAMEWORK
CYBERSECURITY MESH - DIGITAL TRUST FRAMEWORK
 
Apache Kafka for Cybersecurity and SIEM / SOAR Modernization
Apache Kafka for Cybersecurity and SIEM / SOAR ModernizationApache Kafka for Cybersecurity and SIEM / SOAR Modernization
Apache Kafka for Cybersecurity and SIEM / SOAR Modernization
 
SABSA vs. TOGAF in a RMF NIST 800-30 context
SABSA vs. TOGAF in a RMF NIST 800-30 contextSABSA vs. TOGAF in a RMF NIST 800-30 context
SABSA vs. TOGAF in a RMF NIST 800-30 context
 
SABSA overview
SABSA overviewSABSA overview
SABSA overview
 
ISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdfISO 27005:2022 Overview 221028.pdf
ISO 27005:2022 Overview 221028.pdf
 
27001 awareness Training
27001 awareness Training27001 awareness Training
27001 awareness Training
 
ISO 27001:2022 Introduction
ISO 27001:2022 IntroductionISO 27001:2022 Introduction
ISO 27001:2022 Introduction
 
How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?
 
Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risques
 
Iso27001
Iso27001 Iso27001
Iso27001
 
Cyber Security in Manufacturing
Cyber Security in ManufacturingCyber Security in Manufacturing
Cyber Security in Manufacturing
 
What is iso 27001 isms
What is iso 27001 ismsWhat is iso 27001 isms
What is iso 27001 isms
 

Andere mochten auch

What is ISO 27001 ISMS
What is ISO 27001 ISMSWhat is ISO 27001 ISMS
What is ISO 27001 ISMS
Business Beam
 
presentasi workshop national cybersecurity 2012
 presentasi workshop national cybersecurity 2012 presentasi workshop national cybersecurity 2012
presentasi workshop national cybersecurity 2012
Yudhistira Nugraha
 
Whales Presentation
Whales PresentationWhales Presentation
Whales Presentation
MP Higley
 
Stentofon Baudisch Company Presentation - IT meets BBQ 2014
Stentofon Baudisch Company Presentation - IT meets BBQ 2014Stentofon Baudisch Company Presentation - IT meets BBQ 2014
Stentofon Baudisch Company Presentation - IT meets BBQ 2014
pascom
 
Deb programme presentation oct 2010
Deb programme presentation oct 2010Deb programme presentation oct 2010
Deb programme presentation oct 2010joh1966
 
Fedora presentation 2007 (German) - Reworked
Fedora presentation 2007 (German) - ReworkedFedora presentation 2007 (German) - Reworked
Fedora presentation 2007 (German) - Reworked
Oliver Falk
 
CRM2011
CRM2011CRM2011
CRM2011
gussysue
 
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan Siber
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan SiberID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan Siber
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan Siber
IGF Indonesia
 
Trivadis Company Presentation - german
Trivadis Company Presentation - germanTrivadis Company Presentation - german
Trivadis Company Presentation - germanTrivadis
 
Cegos Presentation Deutsch 2009 03 Linked In
Cegos Presentation Deutsch  2009 03 Linked InCegos Presentation Deutsch  2009 03 Linked In
Cegos Presentation Deutsch 2009 03 Linked In
DieterFleiter
 
The indonesia darknets revealed– mapping the uncharted territory of the internet
The indonesia darknets revealed– mapping the uncharted territory of the internetThe indonesia darknets revealed– mapping the uncharted territory of the internet
The indonesia darknets revealed– mapping the uncharted territory of the internet
Charles Lim
 
Indonesia Digital Transformation Outlook Briefing 2016
Indonesia Digital Transformation Outlook Briefing 2016Indonesia Digital Transformation Outlook Briefing 2016
Indonesia Digital Transformation Outlook Briefing 2016
Mastel Indonesia
 
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) Nasional
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) NasionalPerancangan Panduan Keamanan Cyber-Physical Systems (CPS) Nasional
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) Nasional
Aries Syamsuddin
 
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?..."Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...sisterMAG
 
Indonesia-CyberWar
Indonesia-CyberWarIndonesia-CyberWar
Infosec for web apps 2014_18november2014
Infosec for web apps 2014_18november2014Infosec for web apps 2014_18november2014
Infosec for web apps 2014_18november2014
Directorate of Information Security | Ditjen Aptika
 
Semantic Web als Infrastruktur fuer die Wissensgesellschaft
Semantic Web als Infrastruktur fuer die WissensgesellschaftSemantic Web als Infrastruktur fuer die Wissensgesellschaft
Semantic Web als Infrastruktur fuer die Wissensgesellschaft
Andreas Blumauer
 
Iso27001 Audit Services
Iso27001 Audit ServicesIso27001 Audit Services
Iso27001 Audit Services
mcloete
 
ISMS Awareness_Intan Rahayu
ISMS Awareness_Intan RahayuISMS Awareness_Intan Rahayu
Sosialisasi Keamanan Informasi_Penyelenggaraan Telekomunikasi
Sosialisasi Keamanan Informasi_Penyelenggaraan TelekomunikasiSosialisasi Keamanan Informasi_Penyelenggaraan Telekomunikasi
Sosialisasi Keamanan Informasi_Penyelenggaraan Telekomunikasi
Directorate of Information Security | Ditjen Aptika
 

Andere mochten auch (20)

What is ISO 27001 ISMS
What is ISO 27001 ISMSWhat is ISO 27001 ISMS
What is ISO 27001 ISMS
 
presentasi workshop national cybersecurity 2012
 presentasi workshop national cybersecurity 2012 presentasi workshop national cybersecurity 2012
presentasi workshop national cybersecurity 2012
 
Whales Presentation
Whales PresentationWhales Presentation
Whales Presentation
 
Stentofon Baudisch Company Presentation - IT meets BBQ 2014
Stentofon Baudisch Company Presentation - IT meets BBQ 2014Stentofon Baudisch Company Presentation - IT meets BBQ 2014
Stentofon Baudisch Company Presentation - IT meets BBQ 2014
 
Deb programme presentation oct 2010
Deb programme presentation oct 2010Deb programme presentation oct 2010
Deb programme presentation oct 2010
 
Fedora presentation 2007 (German) - Reworked
Fedora presentation 2007 (German) - ReworkedFedora presentation 2007 (German) - Reworked
Fedora presentation 2007 (German) - Reworked
 
CRM2011
CRM2011CRM2011
CRM2011
 
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan Siber
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan SiberID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan Siber
ID IGF 2016 - Hukum 3 - Peran Negara dalam Kedaulatan Siber
 
Trivadis Company Presentation - german
Trivadis Company Presentation - germanTrivadis Company Presentation - german
Trivadis Company Presentation - german
 
Cegos Presentation Deutsch 2009 03 Linked In
Cegos Presentation Deutsch  2009 03 Linked InCegos Presentation Deutsch  2009 03 Linked In
Cegos Presentation Deutsch 2009 03 Linked In
 
The indonesia darknets revealed– mapping the uncharted territory of the internet
The indonesia darknets revealed– mapping the uncharted territory of the internetThe indonesia darknets revealed– mapping the uncharted territory of the internet
The indonesia darknets revealed– mapping the uncharted territory of the internet
 
Indonesia Digital Transformation Outlook Briefing 2016
Indonesia Digital Transformation Outlook Briefing 2016Indonesia Digital Transformation Outlook Briefing 2016
Indonesia Digital Transformation Outlook Briefing 2016
 
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) Nasional
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) NasionalPerancangan Panduan Keamanan Cyber-Physical Systems (CPS) Nasional
Perancangan Panduan Keamanan Cyber-Physical Systems (CPS) Nasional
 
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?..."Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...
"Lifestyle Blogs - Virtuelle Belanglosigkeiten oder ein Medium mit Potenzial?...
 
Indonesia-CyberWar
Indonesia-CyberWarIndonesia-CyberWar
Indonesia-CyberWar
 
Infosec for web apps 2014_18november2014
Infosec for web apps 2014_18november2014Infosec for web apps 2014_18november2014
Infosec for web apps 2014_18november2014
 
Semantic Web als Infrastruktur fuer die Wissensgesellschaft
Semantic Web als Infrastruktur fuer die WissensgesellschaftSemantic Web als Infrastruktur fuer die Wissensgesellschaft
Semantic Web als Infrastruktur fuer die Wissensgesellschaft
 
Iso27001 Audit Services
Iso27001 Audit ServicesIso27001 Audit Services
Iso27001 Audit Services
 
ISMS Awareness_Intan Rahayu
ISMS Awareness_Intan RahayuISMS Awareness_Intan Rahayu
ISMS Awareness_Intan Rahayu
 
Sosialisasi Keamanan Informasi_Penyelenggaraan Telekomunikasi
Sosialisasi Keamanan Informasi_Penyelenggaraan TelekomunikasiSosialisasi Keamanan Informasi_Penyelenggaraan Telekomunikasi
Sosialisasi Keamanan Informasi_Penyelenggaraan Telekomunikasi
 

Ähnlich wie Information Security Management (ISMS) with QSEC

Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter MittelstandDahamoo GmbH
 
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr UnternehmenPc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
pc_studio
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
OPTIMAbit GmbH
 
Salcon biel
Salcon bielSalcon biel
Salcon biel
Markus Thamm
 
Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...
Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...
Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...
Josef Hofer-Alfeis
 
Itsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplanItsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplan
Beck et al. GmbH
 
Leistungsspektrum
LeistungsspektrumLeistungsspektrum
Leistungsspektrum
Brigitte Ilsanker
 
Recrutainment - Spielerische Ansätze in Personalmarketing und -auswahl
Recrutainment - Spielerische Ansätze in Personalmarketing und -auswahlRecrutainment - Spielerische Ansätze in Personalmarketing und -auswahl
Recrutainment - Spielerische Ansätze in Personalmarketing und -auswahl
Joachim Diercks
 
KnowTech 2010 - 10 Jahre KM bei Detecon
KnowTech 2010 - 10 Jahre KM bei DeteconKnowTech 2010 - 10 Jahre KM bei Detecon
KnowTech 2010 - 10 Jahre KM bei Detecon
Michael Schomisch
 
b!g Scrumday OOP 2011 Scrum und Personalmanagement
b!g Scrumday OOP 2011 Scrum und Personalmanagementb!g Scrumday OOP 2011 Scrum und Personalmanagement
b!g Scrumday OOP 2011 Scrum und Personalmanagement
borisgloger consulting GmbH
 
ITservices24 Präsentation 2013
ITservices24 Präsentation 2013ITservices24 Präsentation 2013
ITservices24 Präsentation 2013rolandpiedl
 
Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?
Ernest Wallmueller
 
Wieviel Web2.0 braucht Ihr Unternehmen?
Wieviel Web2.0 braucht Ihr Unternehmen?Wieviel Web2.0 braucht Ihr Unternehmen?
Wieviel Web2.0 braucht Ihr Unternehmen?
GFU Cyrus AG
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event Report
Ramona Kohrs
 
Produkt Produkt Manager
Produkt Produkt ManagerProdukt Produkt Manager
Produkt Produkt Manager
Oliver Belikan
 
Datenqualitätsmanagement heute und morgen
Datenqualitätsmanagement heute und morgenDatenqualitätsmanagement heute und morgen
Datenqualitätsmanagement heute und morgenVizlib Ltd.
 
Gegenwart managen + Zukunft gestalten - Ambidextrie
Gegenwart managen + Zukunft gestalten - AmbidextrieGegenwart managen + Zukunft gestalten - Ambidextrie
Gegenwart managen + Zukunft gestalten - Ambidextrie
Dr. Ute Hillmer (PhD)
 

Ähnlich wie Information Security Management (ISMS) with QSEC (20)

Helicopter Mittelstand
Helicopter MittelstandHelicopter Mittelstand
Helicopter Mittelstand
 
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr UnternehmenPc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
Pc-studio GmbH: IT-Komplettdienstleister für Ihr Unternehmen
 
Mbuf
MbufMbuf
Mbuf
 
Sichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMMSichere Webanwendungen mit OpenSAMM
Sichere Webanwendungen mit OpenSAMM
 
Microsoft Unified Communications aus Kundensicht
Microsoft Unified Communications aus KundensichtMicrosoft Unified Communications aus Kundensicht
Microsoft Unified Communications aus Kundensicht
 
Salcon biel
Salcon bielSalcon biel
Salcon biel
 
metafinanz Unternehmensprofil
metafinanz Unternehmensprofilmetafinanz Unternehmensprofil
metafinanz Unternehmensprofil
 
Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...
Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...
Lässt sich der wirtschaftliche Erfolg von Wissensmanagement überhaupt nachwei...
 
Itsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplanItsmf jahreskonferenz software nach fahrplan
Itsmf jahreskonferenz software nach fahrplan
 
Leistungsspektrum
LeistungsspektrumLeistungsspektrum
Leistungsspektrum
 
Recrutainment - Spielerische Ansätze in Personalmarketing und -auswahl
Recrutainment - Spielerische Ansätze in Personalmarketing und -auswahlRecrutainment - Spielerische Ansätze in Personalmarketing und -auswahl
Recrutainment - Spielerische Ansätze in Personalmarketing und -auswahl
 
KnowTech 2010 - 10 Jahre KM bei Detecon
KnowTech 2010 - 10 Jahre KM bei DeteconKnowTech 2010 - 10 Jahre KM bei Detecon
KnowTech 2010 - 10 Jahre KM bei Detecon
 
b!g Scrumday OOP 2011 Scrum und Personalmanagement
b!g Scrumday OOP 2011 Scrum und Personalmanagementb!g Scrumday OOP 2011 Scrum und Personalmanagement
b!g Scrumday OOP 2011 Scrum und Personalmanagement
 
ITservices24 Präsentation 2013
ITservices24 Präsentation 2013ITservices24 Präsentation 2013
ITservices24 Präsentation 2013
 
Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?Softwarequalität – Schlagwort oder Realität ?
Softwarequalität – Schlagwort oder Realität ?
 
Wieviel Web2.0 braucht Ihr Unternehmen?
Wieviel Web2.0 braucht Ihr Unternehmen?Wieviel Web2.0 braucht Ihr Unternehmen?
Wieviel Web2.0 braucht Ihr Unternehmen?
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event Report
 
Produkt Produkt Manager
Produkt Produkt ManagerProdukt Produkt Manager
Produkt Produkt Manager
 
Datenqualitätsmanagement heute und morgen
Datenqualitätsmanagement heute und morgenDatenqualitätsmanagement heute und morgen
Datenqualitätsmanagement heute und morgen
 
Gegenwart managen + Zukunft gestalten - Ambidextrie
Gegenwart managen + Zukunft gestalten - AmbidextrieGegenwart managen + Zukunft gestalten - Ambidextrie
Gegenwart managen + Zukunft gestalten - Ambidextrie
 

Information Security Management (ISMS) with QSEC

  • 1. „Best in Class ist nie ein Zufall“ – WMC schneller mehr Ergebnis. QSEC Suite Präsentation WMC GmbH Best Practice im Informationssicherheitsmanagement nach ISO 27001 „Best in Class ist nie ein Zufall !“
  • 2. Agenda Begrüßung und Abstimmung der Agenda Vorstellung ganzheitliches ISMS QSEC-Suite Präsentation Fragen und Diskussion 2 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 3. WMC – seit 11 Jahren optimale Leistungen im Projekt- und Lösungsgeschäft • ausschließlich Kunde • ausschließlich Consultants mit Consultants mit Managementerfahrung Managementerfahrung • Konzeption und gemeinsame • Konzeption und gemeinsame Umsetzung messbarer, Umsetzung messbarer, akzeptierter Ergebnisse akzeptierter Ergebnisse Consulting (IT-Security) Consulting (IT-Solutions) Kernkompetenzen Kernkompetenzen • Information - / IT-Security • IT-LifeCycle Management • IT-Risk Management • Asset- und Contract Management • Licence Management Produktfamilie - QSEC-Suite  Datenbankbasierte Produkte für Aufbau und Betrieb von Information Security Management Systemen 3 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ © 2011 WMC GmbH
  • 4. WMC Referenzen / Projekte (Auszug) arvato systems GmbH (Bertelsmann Gruppe) Medien Axel Springer AG Huf Hülsbeck & Fürst GmbH Marquardt GmbH Reich GmbH Automotive Wilhelm Karmann GmbH Volkswagen Osnabrück GmbH Paul Albrechts Verlag GmbH PAV CARD GmbH Veolia Umweltservice GmbH Dienstleistung Germanischer Lloyd AG Sana IT Services GmbH Gesundheitswesen ITERGO (ERGO Konzern) DVAG (Deutsche Vermögensberatung AG) Versicherungen 4 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 5. Agenda Vorstellung ganzheitliches ISMS • ISMS führt zu Geschäftserfolg, Profit und Image • ISMS nach ISO/IEC 27001/ Vorgehensmodell • IT-Risikomanagement • QSEC Produktfamilie und Leistungen 5 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 6. WMC - Compliance-, IT-Risko- und Maßnahmen-Management (CRM) CRM führt zu mehr Geschäftserfolg, Profit und stärkt die Menschen. Business im Wandel Informationstechnologie 1. Information Schnelle und wirksame Umsetzung von 2. Global Geschäftsstrategien 3. Werte Wettbewerbsvorteil Kostenvorteil Innovationsvorteil „Supply“ orientierte IT (2000-2010) Strategisch wirksame und sichere IT (2010 – 2020) » Intelligente Nutzung von Informationssicherheit » IT-Kostenmanagement » Risiko-Wertorientierte Steuerung von IT Investitionen » IT-Industrialisierung CRM » Wirkungsvolle Unterstützung der Geschäftsbereiche » Full Scope Outsourcing Trans- » Übergreifende Prozesse » Abwicklung IT-Projekte formation » Anwendungskritikalität » IT-Service Qualität » Konsequente Ausrichtung der IT Organisation am Geschäft 6 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 7. Sicherung des Unternehmenserfolges durch ein ISMS Informationssicherheitsmanagement – notwendiges Übel oder wesentlicher Beitrag zum Geschäftserfolg? Unternehmen Risiko- und Chancenmanagement Informations- Wertschöpfungs- Qualitäts- sicherheits- management management management Werte Werte Werte schaffen stärken sichern Geschäftserfolg, Profit, Image 7 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ © 2011 WMC GmbH
  • 8. ISMS - Wie diese Themen erfolgreich gemanagt werden können Notfallplanung Qualitätsmanagement Risikomanagment SOX Business Continuity Informations- Management sicherheit Datensicherung ISO/IEC 27001 IT-Risikomanagement Business Impact Analyse IT-Servicemanagement 8 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ © 2011 WMC GmbH
  • 9. Keine Prozesssicherheit ohne Informationssicherheit Informationssicherheit IT-Strategie folgt der Unternehmensstrategie IT - Organisation Unternehmensstrategie / - Kultur Geschäftsprozesse die Ausgangsbasis Geschäftsprozessebene Arbeitsergebnis IT-Anwendungen unterstützen IT- Applikationen Geschäftsprozesse Applikationsebene / IT-Anwendungen Technische Systemebene / IT-Infrastruktur 9 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 10. QSEC-Suite - Methode zur Einführung und Betrieb eines ISMS Act überprüfen Plan Methode zum Betrieb eines ISMS Strategische Ausrichtung Grundsätze und Leitlinien bestimmen erstellen (Security Policy) • Geschäftsführungsentscheidung zur konsequenten Sicherheitspolitik 0 • Ernennung eines Sicherheitsbeauftragten auf Managementebene • Einführung von Grundsätzen und Leitlinien Permanentes Assessment Selfassesment durchführen • Implementierung der ISMS-Organisation • Technik überprüfen und bewerten (Vulnerability Assessment) Effektive, wiederholende Sensibilisierung • Ressourcen und Prozesse zugeordnen und bewerten 1 • Ggf. weitere branchenspezifische Assessments (z.B. ISO / TS 16949) Permanentes Risikomanagement • Beurteilung der Prozesse nach „Business-Kritikalität“ Risikomanagement durchführen • der Mitarbeiter Erstellung eines Business-Blueprints der Systemlandschaft • Ermittlung der Assetwerte zur Bildung eines Kennzahl-Systems 2 • Bedrohungs- und Schwachstellenanalyse der Systemlandschaft Permanente Risikobegegnung • Bewertung der möglichen Risiken Risktreatment Risikobegegnung durchführen • Erstellung eines Risikobegegnungsplans 3 • Entscheidung zur Akzeptanz oder des Transfer von Risiken • Durchführung von Sicherheitssofortmaßnahmen Permanentes Maßnahmenmgmt. • Anpassung des BCM zur Abdeckung operativer Risiken Maßnahmenmgmt.. durchführen • Terminierung und Initiierung notwendiger Projekte 4 • Überprüfung der Umsetzung eingeleiteter Maßnahmen Check • Absicherung durch Etablierung des Notfallmanagements Do 10 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ © 2011 WMC GmbH
  • 11. Schematischer Ablauf des IT Risikomanagement Prozessmodell erstellen Angebotsphase Montage … Versand Übergeordnete Risikobewertung Kritikalität: niedrig Kritikalität: hoch Kritikalität: mittel (Kritikalität der GP festlegen) Applikation 1 Applikation 3 Applikation 5 Datenbank a Datenbank e Datenbank h Alle Assets Datenbank b Datenbank f Datenbank i • identifizieren, Server x Server z Server w • gruppieren und • den Prozessen zuordnen Applikation 2 Applikation 4 Applikation 6 Datenbank c Datenbank g Datenbank k Server y Server v Server z Detaillierte Analyse Detaillierte Analyse • Asset Bewertung Basisbewertung Basisbewertung Vertraulichkeit, Integrität, Verfügbarkeit, • Bedrohungsanalyse Authentizität, Finanzieller Wert • Schwachstellenanalyse • Risikobewertung Bedrohungen Schwachstellen Appl. 4 analysieren und oder analysieren und DB c bewerten. bewerten Basisbewertung Server v (existierende Sicherheits- maßnahmen berücksichtigen) Maßnahmen Management 11 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 12. Compliance Management: Systematisches, methodenbasiertes Vorgehen BDSG Sicherheitsmanagement Qualitätsmanagement ISO 27001 ISO 9001 inkl. IT-Risko 27005 Qualitätsmanagementsystem Kontinuierliche Verbesserung Anforderungen Verantwortung der Leitung Kunde Zufriedenheit Messung, Kunde Management Analyse, DIN EN ISO 9001Verbes- Managementprozess der Ressourcen serung Abgebildet in QSEC Produkt u./o. Dienstleistungs- realisierung Produkt/ Dienst- Act Plan leistung Sicherheit ist ein Umweltmanagement Prozess Servicemanagement ISO 14001 Check Do ISO 20000 SOX 12 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 13. Die QSEC-Suiten / QSEC Easy Express • Vollständige ISMS Abbildung nach ISO/IEC 27001 • Plan-Do-Check-Act (PDCA) • Nachhaltigkeit • Vollständiges IT-Risikomanagement ISO/IEC 27005 • Bedrohungen/Schwachstellen • Ganzheitlichkeit • Vollständiges Maßnahmenmanagement • Liefert jederzeit den aktuellen Status • Übersichtlichkeit • Schnittstellenmanagement • BIA / BCM*) • Integration in die Infrastruktur • Geschäftskontinuität • Eindeutigkeit • Planbarkeit *) BIA=Business Impact Analyse, BCM=Business Continuity Management 13 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 14. QSEC Easy Express • Compliance • Maßnahmen • IT-Risiko • Dokumenten • Reporting • Limitiert auf 3 User und 1 Untersuchungsbereich 14 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 15. QSEC Family • QSEC Easy Express • QSEC-Suite Enterprise Edition • QSEC-Suite GRC Edition Nachhaltigkeit • Intuitive Benutzerführung • Methode • Content „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ 15
  • 16. QSEC-Suite Enterprise Edition • Compliance • Maßnahmen • IT-Risiko • Dokumenten • Security-Incident • Reporting „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ 16
  • 17. QSEC-Suite GRC Edition • Compliance • Maßnahmen • IT-Risiko • Dokumenten • Security-Incident • BIA/BCM • Reporting „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ 17
  • 18. QSEC-Family - Produktvergleich „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“ 18
  • 19. QSEC-Suite Module im Überblick Module in Planung Enterprise Suite GRC Suite QSEC-Suite Dashboard QSEC-Suite QSEC-Suite QSEC-Suite QSEC-Suite Reporting Management Compliance IT-Risiko Reporting BCM Compliance- IT- Reporting Business Continuity management Risikomanagement Berichte Management QSEC-Suite QSEC-Suite QSEC-Suite QSEC-Suite Erweiterungen Maßnahmen Dokument BIA Incident Maßnahmen- Dokumenten- Security-Incident- Business Impact Awareness management management management Analyse Awarenessmanagement Schnittstellen Schnittstellen Mailsystem, Asset Management (z. B. Spider), AD, Ticketsystem (z. B. helpLine) Risikomanagement Montoring Tools QSEC-Suite Vulnerability-Scan Core Server, Gemeinsame Plattform, Berechtigungen vorhanden in Realisation 19 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 20. QSEC-Suite integriert in der IT-Infrastruktur Assetgruppe Kritikalität Geschäftsprozesse Vertraulichkeit Verfügbarkeit Mitarbeiter- Asset berechtigungen Management Integrität Active Directory (AD) Spider / Service Center Assetgruppe Schwachstellen QSEC-Suite Vulnerability Prozess Maßnahmen ISMS / BDSG Geschäftsprozesse Management Management Qualys Integriertes Aris / Adonis Management System Benachrichtigungen Security-Incidents Incident Mailsystem Management Perigrine / helpLine 20 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 21. QSEC Suite Enterprise Edition – mehr als nur eine Software (1/2) In der QSEC-Suite Enterprise Edition ist folgender Content enthalten Modul Beschreibung Bemerkung Stammdaten Rollenbeschreibungen z.B. Sicherheitsbeauftragter, Datenschutzbeauftragter, Qualitätsbeauftragter etc. Compliance ISO/IEC 27001 Chapter 0-8 • Ständige Überarbeitung und Fragenkatalog mit 48 Fragen Update ISO/IEC 27001 Annex A • Selbstverständlich kann auch Ihr Fragenkatalog mit 502 Fragen bestehender Fragenkatalog ISO/IEC 9001 eingebunden werden Fragenkatalog mit 126 Fragen ISO/IEC 14001 Fragenkatalog mit 148 Fragen ISO/IEC 20000 Fragenkatalog mit 400 Fragen PCI/DSS Fragenkatalog mit 98 Fragen VDA PTS Fragenkatalog mit 102 Fragen Bundesdatenschutzgesetz (BDSG) Fragenkatalog mit 402 Fragen Sarbanes-Oxley-Act (SOX) Fragenkatalog mit 229 Fragen 21 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 22. QSEC Suite Enterprise Edition – mehr als nur eine Software (2/2) In der QSEC-Suite Enterprise Edition ist folgender Content enthalten Modul Beschreibung Bemerkung IT-Risiko- Bedrohungskatalog (50) Ständige Überarbeitung und management Schwachstellenkatalog (120) Update Dokumenten- Musterdokumente Ständige Überarbeitung und management z.B. Sicherheitsmanagement (25) Update Security Policy Sicherheitsleitlinien Klassifizierungsrichtlinie IT-Risikomanagementrichtlinie etc. Maßnahmen- Maßnahmenvorschlagslisten Ständige Überarbeitung und management z.B. Sicherheitsmanagement (1.200) Update Control- und Risikobezogen 22 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 23. QSEC-Suite Beispiel: Maßnahmenmanagement Struktur im Maßnahmenmanagement z.B. ISO 27001 Untersuchungs- • A5 • Bezeichnung bereich • A6 • Beschreibung • Zieldatum • Priorität • Verantwortlich • Umsetzungsgrad • Status Maßnahmen • Projektname • Projektverantwortlicher • Verknüpfung • Compliance • Dokument z.B. Name des verantwort- • mit anderen • Patch Dokument lichen Mitarbeiters Maßnahmen • Klassifizierung • Protokollierung • individuelle Maßnahmen z.B. • Risikomanagement • Richtlinie • Arbeitsanweisung • Formular • Handbuch • Checkliste Für jede Sicht wird eine entsprechende Verknüpfung am Dokument erstellt. 23 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 24. QSEC-Suite Beispiel: Reporting Reifegrad IST- / SOLL Darstellung mit Maßnahmenauflistung Assetgruppenbewertung Mitgelieferte A5 Untersuchungsbereich: ITRZ + Recht Sicherheitspoli tik Reports A15 5 A6 10 Einhaltung Organisation 9 der … 4 der … A14 Business 3 A7 8 10 • Standardberichte Anzahl Assetgruppen • Management- Continuity Management 7 2 Management von Werten 6 1 IST 0 SOLL 5 berichte A13 A8 Management von… Personalsicher heit 4 3 6 • Arbeitsberichte 2 4 • SOA A12 A9 • Maßnahmen 1 Beschaffung, Physische Entwicklung … Sicherheit 0 A11 Zugangskontro A10 Betriebs- und Detaillierte Bewertung • Risiko Basisbewertung • Reifegrad lle Kommunikat… Erfasste Assetgruppen Assetgruppenstatus Risikostatus Gap-Analyse des Schutzzniveaus je Assetgruppe Untersuchungsbereich: ITRZ + Recht Untersuchungsbereich: ITRZ + Recht • Individuelle Berichte 4 nach Vorgabe 3,5 3 3 3 4 Schutzniveau 2,5 4 20% 2 2 2 20% 1,5 1 3 60% 1 0,5 0 SAP MM SAP HR SAP PP SAP WM Risikowert >= 7 SAP MM SAP HR SAP PP SAP WM Risikowert 5 - 7 Soll-Wert 4 4 3 3 Risikowert <=4 Ist-Wert 1 2 3 2 Assetgruppe 24 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 25. QSEC-Suite Technik Die QSEC-Suite ist eine webbasierte Anwendung: Client Webserver Datenbank Incident neu Compliance • Web-Browser • Microsoft • Microsoft Dokumente Reporting • SSL Windows Server SQL • Keine Installation 2003 - 2008 R2 Server 2008 / R2 Maßnahmen • Keine Wartung • Microsoft Risiko IIS • Schnittstellen zu • ASP.NET 4.0 anderen Systemen Programmierung mit Microsoft Visual Studio 2010 Aktuelle Version: 3.0 QSEC-Suite - der sichere, softwaregestützte Weg zum ganzheitlichen Information Security Management System (ISMS) nach ISO/IEC 2700x 25 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 26. QSEC - Versionsentwicklung 2008 - 2012 QSEC Leistungen QSEC 4.0 bis 5.0 QSEC 1.6.0 bis 3.0 Module: • Event- console Module: Normen: • Dashboard QSEC 1.0.0 bis 1.5.0 • Integration • strategisches • BS 25999 (BCM) • (Qualys/ISS/ Management von • SOX Checkpoint Module: Normen: etc.) Unternehmenszielen • Sonder- • BIA lösungen • SharePoint • Admin • ISO 27001 • CoBIT • QSEC- (Business Impact • Stammdaten • ISO 27002 • Fragenkatalog Online Analyse) • Compliance • ISO 27005 • Englische (SaaS) • BCM • Maßnahmen • ISO 9001 (QM) Sprachvariante • Security Incident • Risiko (IT) • ISO 14001 Management • Dokumenten (Umwelt) • Dokumentenportal • Reporting • ISO 20000 (ITIL) • Schnittstellen • (Reifegrad) • VDA PTS • Berechtigungskonzept • PCI / DSS nach Legal Entities 15.10.2008 31.12.2009 30.12.2011 31.12.2012 26 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 27. ISMS Einführung - Nutzen • Ernstgenommene ISMS Einführung erhöht die Unternehmenssicherheit signifikant und leistet einen wesentlichen Beitrag zum Risikomanagement im Unternehmen • Nachweis des Sicherheitsmanagements und dessen Überprüfung durch externe Auditoren zur Erfüllung von Kundenanforderungen • Erhaltung und Stärkung der eigenen Wettbewerbsfähigkeit • Möglichkeit der gezielten IT-Investition durch Kenntnis der geschäftskritischen Erfordernisse (IT-Risikomanagement) • Generierung angemessener Sicherheitsstandards und -lösungen im Rahmen der IT Strategie • Einsparungen durch Roll Out des praxiserprobten ISMS auf weitere Standorte bzw. bei Unternehmensexpansion - „ISMS aus der Box“ für neue Standorte • Konsolidierbare und vergleichbare Daten im Sicherheitsmanagement in Konzernstrukturen • Erfüllung von Anforderungen aus dem Datenschutzgesetz „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 28. Vorteile von und Anforderungen an eine Toolunterstützung • Integrierte zentrale Datenbank • Konzernstrukturen weltweit darstellbar • Vorgehen nach einheitlicher Methode in großen und komplexen Unternehmensstrukturen • je Norm / Gesetz komplett hinterlegter Content • vollintegriertes IT-Risikomanagement • Integration in die bestehende IT-Infrastruktur (AD, SAP, Asset System etc.) – keine Doppelerfassung von Daten • Zentrale Dokumentenverwaltung (oder Verlinkung mit DMS) • Historie aller relevanten Veränderungsdaten • Zuweisung expliziter Aufgaben an alle am Projekt beteiligten Verantwortlichen • automatische Wiedervorlage über Mailsystem • Erfassung und Kritikalitätsbewertung der Geschäftsprozesse je Untersuchungsbereich • Maßnahmenvorschläge 28 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 29. QSEC-Suite Vorteile im Ergebnis • hohe Transparenz über alle Aktivitäten und Status im Bereich des Compliance- und IT-Risikomanagements • permanente Information über und nachhalten von Veränderungen und Verbesserungen über den PDCA Kreislauf • daraus abgeleitet die Möglichkeit der Optimierung der IT-Investitionen auf die wesentlichen, geschäftskritischen Prozesse • Einsparung von ca. 30-50% der internen und externen Kosten einer ISMS-Einführung / Betrieb (bzw. Qualitäts-, Umweltmanagement etc.) sind möglich • Positive Auswirkungen auf das Image des Unternehmens bei Kunden, Lieferanten, Banken, Versicherungen und Investoren durch lückenlose Nachweisbarkeit aller durchgeführten Aktivitäten inkl. tagesaktuellem Status 29 „Best in Class ist nie ein Zufall „Bestin Class ist nie ein Zufall !“ !“
  • 30. Version 2.1 „Best in Class ist nie ein Zufall !“