© 2020 WMC GmbH ISMS und GRC nach internationalen ...¤sentation_202009-web.pdfGesetze und...
Transcript of © 2020 WMC GmbH ISMS und GRC nach internationalen ...¤sentation_202009-web.pdfGesetze und...
ISMS und GRC nach internationalen Standards und Methoden
© 2020 WMC GmbH
„WMC - Best in Class ist nie ein Zufall!“
Beratung ISMS, GRC & Datenschutz Software Branchen
19 Jahre Erfahrung
- Beratung
- Projektmanagement
- Prozessmanagement
12 Jahre Erfahrung in
- Softwareentwicklung
- Softwarepflege
- IMS Einführung
© 2020 WMC GmbH2
Ziele eines GRC, ISMS und Datenschutzmanagementsystems
1. Kostenoptimierung
2. Absicherung von Unternehmenswerten
3. Risikoreduzierung
4. Haftungsreduzierung
5. Imagegewinn und Wettbewerbsvorteil
Besser managen Besser schützen Besser performen
Standardisierte und automatisierte Verfahren
Valide, einheitliche, vergleichbare Datenerhebung
Aufwand optimieren
Qualitäts- und Effizienz steigern
Risikotransparenz
Umsetzung angemessener Aktivitäten gegen Bedrohungen
permanente Verbesserung der Prozess- und Informationssicherheit
Nachweis des verantwortungs-vollen Handelns
Optimierung von Investitionen
Reduzierung der Aufwendungen für Zertifizierung und Re-Zertifizierung
© 2020 WMC GmbH3
Gesetze und Standards im Zusammenspiel mit Geschäftsprozessen und IT-Assets
Mo
del
lieru
ng
An
ford
eru
nge
n u
nd
Vo
rgab
en
Gesetze Info
rmatio
n Secu
rity Man
agemen
t SystemVorgaben
KonTraGSOX /
EuroSOXBSI
KritisV BDSG Basel IIIEU 8th
Directive Solvency II VAIT/BAIT
Standards und Normen
ISO 27001
ISO 27019
ISO 9001ff
IT-Grundschutz
u.v.m.
UnternehmensstrategieInformationssicherheitsstrategie
Unternehmens-richtlinien
Policies
Policies
Policies• Compliancemanagement• Risikomanagement• Maßnahmenmanagement• Business Continuity Management• Incidentmanagement• Reifegradbewertung
PlanAct
Check Do
Geschäftsprozesse
Entwicklung Produktion Logistik Administration FinanzenEinkauf Personal
Lieferanteninfo. Patente Produktinfo. Transportinfo. Informationen Vertragsinfo. Mitarbeiterinfo.
IT- Prozesse
Bedrohungen
Vertraulichkeit, Verfügbarkeit, Authentizität, Integrität
Daten Daten Daten Daten Daten DatenApplikationen
Systeme Schwachstellen
ISO 27005
DSGVOVDA PTS
© 2020 WMC GmbH4
© 2020 WMC GmbH
QSEC® - ISMS und Datenschutz + IMS Funktonalität
Ihr System „all-in-one“!
Ihr Managementsystem mit Mehrwert
5
© 2020 WMC GmbH
Alle ISMS und branchenspezifische IT-Anforderungen werden nachhaltig unterstützt!
QSEC® - Multi-Norm Compliance
umfassend nachhaltig kostensparend
QSEC® - ErgebnisseHaftungsreduzierung
Absicherung der Unternehmenswerte
Risikoreduzierung
Imagegewinn / Wettbewerbsvorteile
Kostenoptimierung
6
© 2020 WMC GmbH
Wesentliche Standards nach Branchen
QSEC® - Multi-Norm Compliance
Logistik Gesundheit Energie Handel / DL Industrie Finanzen
ISO 27001ISO 27005ISO 22301EU DSGVOBSI IT-Grundschutz
ISO 27001ISO 27005ISO 22301B3S GesundheitEU DSGVOBSI IT-Grundschutz
ISO 27001ISO 27005ISO 22301ISO 27019IT-Sicherheitskat.EU DSGVOBSI IT-Grundschutz
ISO 27001ISO 27005ISO 22301EU DSGVO
ISO 27001ISO 27005ISO 22301EU DSGVO
ISO 27001ISO 27005ISO 22301EU DSGVOBSI IT-Grundschutz
ISO 9001ISO 14001ISO 20000DIN ISO 45001TapaISO 28000Zoll
ISO 9001ISO 13485ISO 14001ISO 20000IEC 80001
ISO 9001ISO 20000PCI DSSDIN ISO 45001
ISO 9001ISO 14001ISO 20000DIN ISO 27009DIN ISO 45001VDA TISAX
BaFin BAITBaFin KAITBaFin VAITBaFin MaRiskBasel IIISO 20000
Informationssicherheit
Compliance
Behörden
BSI IT-GrundschutzISO 27001ISO 27005ISO 22301EU DSGVO
BSI-Standard 200-1BSI-Standard 200-2BSI-Standard 200-3BSI-Standard 100-4
ISO 9001ISO 14001ISO 20000DIN SPEC 27009DIN ISO 45001DIN ISO 50001Smart Meter Gateway
Wasser
ISO 27001ISO 27005ISO 22301B3S WasserEU DSGVOBSI IT-Grundschutz
ISO 9001ISO 14001ISO 20000DIN ISO 45001
7
© 2020 WMC GmbH
DIMS – Datenschutz-, Informationssicherheits-Management System
QSEC® integriert Datenschutz und Informationssicherheit
Informationssicherheit Datenschutz
Kritische Infrastruktur
IT-Sicherheitsgesetz 2015Produktionsumgebungen
Erweiterte Vorgaben: ISO/IEC 27019* BSI**Vorgaben der Branchen-
verbände, z. B. Netzagentur
Geschäftsprozesse Verfahren
Informationen Personenbezogene Daten
Assets Assets
Office Infrastruktur
ISM (Information Security Management); keine gesetzlichen Vorgaben
Etablierte Vorgaben: ISO/IEC 27001 & ff BSI
…
Risikomanagement Risikomanagement
8
DIMS – Datenschutz-, Informationssicherheits-Management System
QSEC® integriert Datenschutz und Informationssicherheit
© 2020 WMC GmbH
DIMS Vertraulichkeit
Integrität
Verfügbarkeit
Datenschutzrelevanz
ISMS
DSMS
Geschäftsprozesse
Datenschutz verarbeitende Geschäftsprozesse
Serviceprozesse
Assets
Informationen / Personenbezogene Daten
Geschäftsprozesse/ Verfahren
DSMS = Datenschutz-Management-System ISMS = Informations-Sicherheits-Management-SystemDIMS = Datenschutz-Informationssicherheit-Management-System
verbunden
Schu
tzbed
arf
Schu
tzbed
arf
IMS
9
QSEC® - Module
© 2020 WMC GmbH
Core Server, Gemeinsame Plattform, Berechtigungen
QSEC® Schnittstellen(Mailsystem, Active Directory, Asset Management, Ticketsystem)
KEP-Tool(Katalog Erfassungs- und Pflege-Tool)
Administrations-Tool
Admin
Task / Workflow Manager
DatenschutzRisikoSecurity-Incidents
Compliance Maßnahmen Reporting DashboardDokumente
Verträge
Information Assets
Stammdaten
Assessment
DienstleisterBusiness Continuity
BIABusiness Continuity
BCM
LEGENDE- Farbhintergründe: Verfügbarkeiten innerhalb der QSEC® Software -
QSEC®ENTERPRISE QSEC®GRC QSEC® Erweiterungen
Wizards (Prozess-Workflow)
Anwendermodus
Arbeiten nach IT-Grundschutz mit der BSI-Erweiterung
10
© 2020 WMC GmbH
Methodischer Ablauf nach den IT - Grundschutzkatalogen
1 Organisation in QSEC abbilden
2 Untersuchungsbereich festlegen
3 IT-Grundschutz Katalog 200-2 bewerten
4 Information Assets anlegen
5 Assetgruppen / Risiko (nach Grundschutzbausteinen) bewerten
QSEC® wird seitens des BSI als Alternative zum GSTOOL genannt und eignet sich somit zur Umsetzung der BSI Standards und IT-Grundschutzkataloge.
BSI IT - Grundschutz
11
© 2020 WMC GmbH
Kompletter paralleler Betrieb der IT-Grundschutz und der ISO/IEC 270xx Anforderungen
IT-Grundschutz
Festlegung Organisation und Scopes Erfassung der IT mit Strukturanalyse Erfassung der Geschäftsprozesse und Informationen Hinterlegung der Bausteinkataloge Risikoanalyse auf der Basis der Gefährdungskataloge
und den umgesetzten Maßnahmen Risikostufenzuordnung mit Brutto- und Nettorisiken Maßnahmenkataloge komplett integriert Dokumentenmanagement / Security Incidents …
ISO/IEC 27001
Festlegung Organisation und Scopes Erfassung der IT (Gruppierung) mit Strukturanalyse Erfassung der Geschäftsprozesse und Informationen Reifegradbewertung mit Ausgabe der SoA Risikoanalyse auf der Basis von Bedrohungen und
den Schwachstellen Risikostufenzuordnung mit Brutto- und Nettorisiken Maßnahmenkataloge komplett integriert Dokumentenmanagement / Security Incidents …
Kritische Infrastruktur Wasserwirtschaft
Umsetzung der Anforderungen der Wasserwirtschaft auf Basis des IT-Grundschutzes
Besonderheiten der Risikomethoden
Kritische Infrastruktur Energieversorger
Umsetzung der Anforderungen der Bundesnetzagentur
IT-Sicherheitskatalog und ISO 27019
BSI IT - Grundschutz und ISMS nach ISO 27001
12
Einfache, selbsterklärende Bedienung
Geringe Schulungsaufwendungen
Beschreibungen und Erklärung der Bearbeitungsschritte
Geführte Arbeitsweise ohne Expertenwissen
Kein ungewolltes Verlassen des Bearbeitungsprozesses
Start über Link-Aufruf ermöglich
Anforderungen
Interview Wizard
Interview Übernahme Wizard
Compliance Wizard
Maßnahmen Bewertungs Wizard
Risiko Assessment Wizard
Security Level Wizard
Interview
Einleitung Auswahl Vorbereitung Interviewpartner Speicherung Geschäftsprozesse Informationen
21 3 4 5 6 7
Assetgruppen
8
Interview
Beispiel Prozessschritte für einen Interview-Wizard Ein ISO interviewt einen Prozessowner in den Businessbereichen
Wizards
© 2020 WMC GmbH
QSEC® - Workflow – Wizard Technologie
Geführte Prozessunterstützung
13
© 2020 WMC GmbH
Einfache, selbsterklärende Bedienerführung
Kein Schulungsaufwendungen für Workflowteilnehmer
Geführte Workfloweinrichtung durch Experten
Mailbestätigung, /-bearbeitung außerhalb von QSEC per Mail
Ohne Expertenwissen nutzbar,
Kein ungewolltes Verlassen des Bearbeitungsprozesses
Start über Link-Aufruf ermöglich
Anforderungen
Ausnahmegenehmigung
Aktionsbestätigung
Maßnahmenstatusänderung, /-freigabe
Risikoakzeptanz
Individuelle Workflowbearbeitung
Neue, individuelle Workflowerstellung
Individuelle Formularintegration
Task - Workflows
Screenshot
Beispiel Task – Workflows Maßnahmenfreigabe
vorhanden
QSEC® - Workflow - Task Manager
Task Unterstützung per E-Mail
14
© 2020 WMC GmbH
Compliance Wizard
QSEC® - Screenshot Version 6.3
15
QSEC®ENTERPRISE QSEC®GRC
› Business Continuity Management /Business Impact Analyse
Einzel- und Komplettlizenz
Alles wie QSEC® Enterprise + Modul
QSEC®EASY EXPRESS
› Compliance Management› Maßnahmen Management› IT-Risiko Management› Security Incident Management› Dokumenten Management› Reporting› Stammdaten Management› Datenschutz nach EU DSGVO
Unkomplizierter Einstieg auf Basis einer Jahreslizenz
Governance, Risk, Compliance –ISMS inkl. BIA/BCM
Information Security Management SystemISMS für den Mittelstand
› Compliance Management› Maßnahmen Management› IT-Risiko Management› Security Incident Management› Dokumenten Management› Reporting› Stammdaten Management› Datenschutz nach EU DSGVO› Katalogerfassungs- und Pflegetool (optional)
› Administrationstool (optional)
Einzel- und Komplettlizenz
QSEC® - Produktvarianten
© 2020 WMC GmbH16
Beispiele
VertraulichkeitVerfügbarkeitIntegrität
AssetgruppeSchwachstellen
Benachrichtigungen
Mitarbeiterdaten
Geschäftsprozesse
Security-Incidents
QSEC®Integriertes
Management System
Active Directory (AD)
MailsystemIncident
ManagementSAP / helpLine
Asset ManagementSAP / Spider
VulnerabilityManagementz. B. Qualys
Prozess ManagementAris / Adonis
Übergabe operative Risiken VorfälleRiskmanagement SIEM
AssetgruppeKritikalitätGeschäftsprozesse
Maßnahmen
© 2020 WMC GmbH
QSEC® - integriert sich in vorhandene IT-Infrastruktur
17
Auszug aus über 65 Reports
Spezialberichte Verzeichnis von
Verarbeitungstätigkeiten nach DSGVO Budgetbericht Security Incident Bericht Information Governance Bericht
Individuelle Berichte nach Vorgabe Dashboard
Standardberichte Managementberichte Arbeitsberichte Maßnahmenstatusberichte Risikostatusberichte Compliance / Reifegradberichte (SOA)
Integrierte Reports
© 2020 WMC GmbH
QSEC® - Dashboard und Reporting
18
QSEC® - die Technologie
QSEC® - der sichere, softwaregestützte Weg zum ganzheitlichen ISMS nach ISO/IEC 2700x
Client Webserver Datenbank
Aktuelle Version: 6.4
Programmierung mit Microsoft Visual Studio 2015/2017
Microsoft SQL Server 2017 und Vorgänger
Schnittstellen zu anderen Systemen
Microsoft Windows Server 2019 und Vorgänger
Microsoft IIS
ASP.NET 4.6
Web-Browser
SSL
Keine Installation
Keine Wartung
QSEC® ist eine webbasierte AnwendungOn Premise Private Cloud
Public Cloud ist technisch auch möglich, wird von WMC nicht empfohlen.
© 2020 WMC GmbH19
QSEC® - die USP‘s auf einen Blick
IKS/IMS Funktionalität – Arbeiten nach weltweit anerkannten Standards wie ISO 9001 (Qualitätsmanagement), ISO 14001 (Umweltmanagement),
ISO 20000 (IT Service Management), ISO 22301 (BIA & BCM), ISO 27001/2 (Information Security Management), ISO 27005 (IT Risk Management) PCI
DSS, SOX, Basel II, OHSAS 18001 (Arbeitssicherheit), KAIT, VAIT, BAIT, VDA-TISAX etc. optional verfügbar. Implementierung branchenspezifischer
oder eigener Standards über Katalogerfassungs- und Pflegetool
hohe Integration von ISMS und Datenschutz, flexibles Lizenzmodell, Multi-Norm Compliance, umfassende Customizing Funktionalitäten, Workflow und Task
(Mail-) Unterstützung
Über Schnittstellen QSEC®integriert sich in die
vorhandene IT-Infrastruktur
QSEC® - im Standard umfangreich customizierbar und in kurzer Zeit implementierbar –
bei exakter Zeit-/ und Kostenplanung
Übersichtliche, anpassbare Benutzeroberfläche, differenzierter Experten- und Anwendermodus –
Workflow und Taskunterstützung
QSEC® wird im Basisumfang bereits komplett mit allen Modulen ausgeliefert.
Maßnahmenvorschläge einschließlich Darstellung der Wirtschaftlichkeit
(Kosten zu Schadenshöhe) sind implementiert
© 2020 WMC GmbH
Flexibles Customizing und schnelle Implementierung Multi-Norm Compliance
Usability
Wettbewerbsvorteile
ContentSchnittstellen
20
Ein Auszug
Unsere Referenzen
IT-Dienstleistungen / SoftwareFinanzen / VersicherungenEnergieversorger/Stadtwerke
Dienstleister / Handelsunternehmen Automotive / IndustrieLogistik
© 2020 WMC GmbH21
Herausgeber dieser Präsentation und Eigentümer der Marke QSEC® :
WMC Wüpper Management Consulting GmbH
040 - 650 336 – 20» [email protected]» www.wmc-direkt.de
WMC GmbH Vertriebs- und Projektbüro Zimmerstraße 122085 Hamburg (Uhlenhorst)
QSEC® folgt exakt internationalen Gesetzen, Standards und Vorgaben
© 2020 WMC GmbH22