ISMS und GRC nach internationalen Standards und Methoden

© 2020 WMC GmbH

„WMC - Best in Class ist nie ein Zufall!“

Beratung ISMS, GRC & Datenschutz Software Branchen

19 Jahre Erfahrung

- Beratung

- Projektmanagement

- Prozessmanagement

12 Jahre Erfahrung in

- Softwareentwicklung

- Softwarepflege

- IMS Einführung

© 2020 WMC GmbH2

Ziele eines GRC, ISMS und Datenschutzmanagementsystems

1. Kostenoptimierung

2. Absicherung von Unternehmenswerten

3. Risikoreduzierung

4. Haftungsreduzierung

5. Imagegewinn und Wettbewerbsvorteil

Besser managen Besser schützen Besser performen

Standardisierte und automatisierte Verfahren

Valide, einheitliche, vergleichbare Datenerhebung

Aufwand optimieren

Qualitäts- und Effizienz steigern

Risikotransparenz

Umsetzung angemessener Aktivitäten gegen Bedrohungen

permanente Verbesserung der Prozess- und Informationssicherheit

Nachweis des verantwortungs-vollen Handelns

Optimierung von Investitionen

Reduzierung der Aufwendungen für Zertifizierung und Re-Zertifizierung

© 2020 WMC GmbH3

Gesetze und Standards im Zusammenspiel mit Geschäftsprozessen und IT-Assets

Mo

del

lieru

ng

An

ford

eru

nge

n u

nd

Vo

rgab

en

Gesetze Info

rmatio

n Secu

rity Man

agemen

t SystemVorgaben

KonTraGSOX /

EuroSOXBSI

KritisV BDSG Basel IIIEU 8th

Directive Solvency II VAIT/BAIT

Standards und Normen

ISO 27001

ISO 27019

ISO 9001ff

IT-Grundschutz

u.v.m.

UnternehmensstrategieInformationssicherheitsstrategie

Unternehmens-richtlinien

Policies

Policies

Policies• Compliancemanagement• Risikomanagement• Maßnahmenmanagement• Business Continuity Management• Incidentmanagement• Reifegradbewertung

PlanAct

Check Do

Geschäftsprozesse

Entwicklung Produktion Logistik Administration FinanzenEinkauf Personal

Lieferanteninfo. Patente Produktinfo. Transportinfo. Informationen Vertragsinfo. Mitarbeiterinfo.

IT- Prozesse

Bedrohungen

Vertraulichkeit, Verfügbarkeit, Authentizität, Integrität

Daten Daten Daten Daten Daten DatenApplikationen

Systeme Schwachstellen

ISO 27005

DSGVOVDA PTS

© 2020 WMC GmbH4

© 2020 WMC GmbH

QSEC® - ISMS und Datenschutz + IMS Funktonalität

Ihr System „all-in-one“!

Ihr Managementsystem mit Mehrwert

5

© 2020 WMC GmbH

Alle ISMS und branchenspezifische IT-Anforderungen werden nachhaltig unterstützt!

QSEC® - Multi-Norm Compliance

umfassend nachhaltig kostensparend

QSEC® - ErgebnisseHaftungsreduzierung

Absicherung der Unternehmenswerte

Risikoreduzierung

Imagegewinn / Wettbewerbsvorteile

Kostenoptimierung

6

© 2020 WMC GmbH

Wesentliche Standards nach Branchen

QSEC® - Multi-Norm Compliance

Logistik Gesundheit Energie Handel / DL Industrie Finanzen

ISO 27001ISO 27005ISO 22301EU DSGVOBSI IT-Grundschutz

ISO 27001ISO 27005ISO 22301B3S GesundheitEU DSGVOBSI IT-Grundschutz

ISO 27001ISO 27005ISO 22301ISO 27019IT-Sicherheitskat.EU DSGVOBSI IT-Grundschutz

ISO 27001ISO 27005ISO 22301EU DSGVO

ISO 27001ISO 27005ISO 22301EU DSGVO

ISO 27001ISO 27005ISO 22301EU DSGVOBSI IT-Grundschutz

ISO 9001ISO 14001ISO 20000DIN ISO 45001TapaISO 28000Zoll

ISO 9001ISO 13485ISO 14001ISO 20000IEC 80001

ISO 9001ISO 20000PCI DSSDIN ISO 45001

ISO 9001ISO 14001ISO 20000DIN ISO 27009DIN ISO 45001VDA TISAX

BaFin BAITBaFin KAITBaFin VAITBaFin MaRiskBasel IIISO 20000

Informationssicherheit

Compliance

Behörden

BSI IT-GrundschutzISO 27001ISO 27005ISO 22301EU DSGVO

BSI-Standard 200-1BSI-Standard 200-2BSI-Standard 200-3BSI-Standard 100-4

ISO 9001ISO 14001ISO 20000DIN SPEC 27009DIN ISO 45001DIN ISO 50001Smart Meter Gateway

Wasser

ISO 27001ISO 27005ISO 22301B3S WasserEU DSGVOBSI IT-Grundschutz

ISO 9001ISO 14001ISO 20000DIN ISO 45001

7

© 2020 WMC GmbH

DIMS – Datenschutz-, Informationssicherheits-Management System

QSEC® integriert Datenschutz und Informationssicherheit

Informationssicherheit Datenschutz

Kritische Infrastruktur

IT-Sicherheitsgesetz 2015Produktionsumgebungen

Erweiterte Vorgaben: ISO/IEC 27019* BSI**Vorgaben der Branchen-

verbände, z. B. Netzagentur

Geschäftsprozesse Verfahren

Informationen Personenbezogene Daten

Assets Assets

Office Infrastruktur

ISM (Information Security Management); keine gesetzlichen Vorgaben

Etablierte Vorgaben: ISO/IEC 27001 & ff BSI

…

Risikomanagement Risikomanagement

8

DIMS – Datenschutz-, Informationssicherheits-Management System

QSEC® integriert Datenschutz und Informationssicherheit

© 2020 WMC GmbH

DIMS Vertraulichkeit

Integrität

Verfügbarkeit

Datenschutzrelevanz

ISMS

DSMS

Geschäftsprozesse

Datenschutz verarbeitende Geschäftsprozesse

Serviceprozesse

Assets

Informationen / Personenbezogene Daten

Geschäftsprozesse/ Verfahren

DSMS = Datenschutz-Management-System ISMS = Informations-Sicherheits-Management-SystemDIMS = Datenschutz-Informationssicherheit-Management-System

verbunden

Schu

tzbed

arf

Schu

tzbed

arf

IMS

9

QSEC® - Module

© 2020 WMC GmbH

Core Server, Gemeinsame Plattform, Berechtigungen

QSEC® Schnittstellen(Mailsystem, Active Directory, Asset Management, Ticketsystem)

KEP-Tool(Katalog Erfassungs- und Pflege-Tool)

Administrations-Tool

Admin

Task / Workflow Manager

DatenschutzRisikoSecurity-Incidents

Compliance Maßnahmen Reporting DashboardDokumente

Verträge

Information Assets

Stammdaten

Assessment

DienstleisterBusiness Continuity

BIABusiness Continuity

BCM

LEGENDE- Farbhintergründe: Verfügbarkeiten innerhalb der QSEC® Software -

QSEC®ENTERPRISE QSEC®GRC QSEC® Erweiterungen

Wizards (Prozess-Workflow)

Anwendermodus

Arbeiten nach IT-Grundschutz mit der BSI-Erweiterung

10

© 2020 WMC GmbH

Methodischer Ablauf nach den IT - Grundschutzkatalogen

1 Organisation in QSEC abbilden

2 Untersuchungsbereich festlegen

3 IT-Grundschutz Katalog 200-2 bewerten

4 Information Assets anlegen

5 Assetgruppen / Risiko (nach Grundschutzbausteinen) bewerten

QSEC® wird seitens des BSI als Alternative zum GSTOOL genannt und eignet sich somit zur Umsetzung der BSI Standards und IT-Grundschutzkataloge.

BSI IT - Grundschutz

11

© 2020 WMC GmbH

Kompletter paralleler Betrieb der IT-Grundschutz und der ISO/IEC 270xx Anforderungen

IT-Grundschutz

Festlegung Organisation und Scopes Erfassung der IT mit Strukturanalyse Erfassung der Geschäftsprozesse und Informationen Hinterlegung der Bausteinkataloge Risikoanalyse auf der Basis der Gefährdungskataloge

und den umgesetzten Maßnahmen Risikostufenzuordnung mit Brutto- und Nettorisiken Maßnahmenkataloge komplett integriert Dokumentenmanagement / Security Incidents …

ISO/IEC 27001

Festlegung Organisation und Scopes Erfassung der IT (Gruppierung) mit Strukturanalyse Erfassung der Geschäftsprozesse und Informationen Reifegradbewertung mit Ausgabe der SoA Risikoanalyse auf der Basis von Bedrohungen und

den Schwachstellen Risikostufenzuordnung mit Brutto- und Nettorisiken Maßnahmenkataloge komplett integriert Dokumentenmanagement / Security Incidents …

Kritische Infrastruktur Wasserwirtschaft

Umsetzung der Anforderungen der Wasserwirtschaft auf Basis des IT-Grundschutzes

Besonderheiten der Risikomethoden

Kritische Infrastruktur Energieversorger

Umsetzung der Anforderungen der Bundesnetzagentur

IT-Sicherheitskatalog und ISO 27019

BSI IT - Grundschutz und ISMS nach ISO 27001

12

Einfache, selbsterklärende Bedienung

Geringe Schulungsaufwendungen

Beschreibungen und Erklärung der Bearbeitungsschritte

Geführte Arbeitsweise ohne Expertenwissen

Kein ungewolltes Verlassen des Bearbeitungsprozesses

Start über Link-Aufruf ermöglich

Anforderungen

Interview Wizard

Interview Übernahme Wizard

Compliance Wizard

Maßnahmen Bewertungs Wizard

Risiko Assessment Wizard

Security Level Wizard

Interview

Einleitung Auswahl Vorbereitung Interviewpartner Speicherung Geschäftsprozesse Informationen

21 3 4 5 6 7

Assetgruppen

8

Interview

Beispiel Prozessschritte für einen Interview-Wizard Ein ISO interviewt einen Prozessowner in den Businessbereichen

Wizards

© 2020 WMC GmbH

QSEC® - Workflow – Wizard Technologie

Geführte Prozessunterstützung

13

© 2020 WMC GmbH

Einfache, selbsterklärende Bedienerführung

Kein Schulungsaufwendungen für Workflowteilnehmer

Geführte Workfloweinrichtung durch Experten

Mailbestätigung, /-bearbeitung außerhalb von QSEC per Mail

Ohne Expertenwissen nutzbar,

Kein ungewolltes Verlassen des Bearbeitungsprozesses

Start über Link-Aufruf ermöglich

Anforderungen

Ausnahmegenehmigung

Aktionsbestätigung

Maßnahmenstatusänderung, /-freigabe

Risikoakzeptanz

Individuelle Workflowbearbeitung

Neue, individuelle Workflowerstellung

Individuelle Formularintegration

Task - Workflows

Screenshot

Beispiel Task – Workflows Maßnahmenfreigabe

vorhanden

QSEC® - Workflow - Task Manager

Task Unterstützung per E-Mail

14

© 2020 WMC GmbH

Compliance Wizard

QSEC® - Screenshot Version 6.3

15

QSEC®ENTERPRISE QSEC®GRC

› Business Continuity Management /Business Impact Analyse

Einzel- und Komplettlizenz

Alles wie QSEC® Enterprise + Modul

QSEC®EASY EXPRESS

› Compliance Management› Maßnahmen Management› IT-Risiko Management› Security Incident Management› Dokumenten Management› Reporting› Stammdaten Management› Datenschutz nach EU DSGVO

Unkomplizierter Einstieg auf Basis einer Jahreslizenz

Governance, Risk, Compliance –ISMS inkl. BIA/BCM

Information Security Management SystemISMS für den Mittelstand

› Compliance Management› Maßnahmen Management› IT-Risiko Management› Security Incident Management› Dokumenten Management› Reporting› Stammdaten Management› Datenschutz nach EU DSGVO› Katalogerfassungs- und Pflegetool (optional)

› Administrationstool (optional)

Einzel- und Komplettlizenz

QSEC® - Produktvarianten

© 2020 WMC GmbH16

Beispiele

VertraulichkeitVerfügbarkeitIntegrität

AssetgruppeSchwachstellen

Benachrichtigungen

Mitarbeiterdaten

Geschäftsprozesse

Security-Incidents

QSEC®Integriertes

Management System

Active Directory (AD)

MailsystemIncident

ManagementSAP / helpLine

Asset ManagementSAP / Spider

VulnerabilityManagementz. B. Qualys

Prozess ManagementAris / Adonis

Übergabe operative Risiken VorfälleRiskmanagement SIEM

AssetgruppeKritikalitätGeschäftsprozesse

Maßnahmen

© 2020 WMC GmbH

QSEC® - integriert sich in vorhandene IT-Infrastruktur

17

Auszug aus über 65 Reports

Spezialberichte Verzeichnis von

Verarbeitungstätigkeiten nach DSGVO Budgetbericht Security Incident Bericht Information Governance Bericht

Individuelle Berichte nach Vorgabe Dashboard

Standardberichte Managementberichte Arbeitsberichte Maßnahmenstatusberichte Risikostatusberichte Compliance / Reifegradberichte (SOA)

Integrierte Reports

© 2020 WMC GmbH

QSEC® - Dashboard und Reporting

18

QSEC® - die Technologie

QSEC® - der sichere, softwaregestützte Weg zum ganzheitlichen ISMS nach ISO/IEC 2700x

Client Webserver Datenbank

Aktuelle Version: 6.4

Programmierung mit Microsoft Visual Studio 2015/2017

Microsoft SQL Server 2017 und Vorgänger

Schnittstellen zu anderen Systemen

Microsoft Windows Server 2019 und Vorgänger

Microsoft IIS

ASP.NET 4.6

Web-Browser

SSL

Keine Installation

Keine Wartung

QSEC® ist eine webbasierte AnwendungOn Premise Private Cloud

Public Cloud ist technisch auch möglich, wird von WMC nicht empfohlen.

© 2020 WMC GmbH19

QSEC® - die USP‘s auf einen Blick

IKS/IMS Funktionalität – Arbeiten nach weltweit anerkannten Standards wie ISO 9001 (Qualitätsmanagement), ISO 14001 (Umweltmanagement),

ISO 20000 (IT Service Management), ISO 22301 (BIA & BCM), ISO 27001/2 (Information Security Management), ISO 27005 (IT Risk Management) PCI

DSS, SOX, Basel II, OHSAS 18001 (Arbeitssicherheit), KAIT, VAIT, BAIT, VDA-TISAX etc. optional verfügbar. Implementierung branchenspezifischer

oder eigener Standards über Katalogerfassungs- und Pflegetool

hohe Integration von ISMS und Datenschutz, flexibles Lizenzmodell, Multi-Norm Compliance, umfassende Customizing Funktionalitäten, Workflow und Task

(Mail-) Unterstützung

Über Schnittstellen QSEC®integriert sich in die

vorhandene IT-Infrastruktur

QSEC® - im Standard umfangreich customizierbar und in kurzer Zeit implementierbar –

bei exakter Zeit-/ und Kostenplanung

Übersichtliche, anpassbare Benutzeroberfläche, differenzierter Experten- und Anwendermodus –

Workflow und Taskunterstützung

QSEC® wird im Basisumfang bereits komplett mit allen Modulen ausgeliefert.

Maßnahmenvorschläge einschließlich Darstellung der Wirtschaftlichkeit

(Kosten zu Schadenshöhe) sind implementiert

© 2020 WMC GmbH

Flexibles Customizing und schnelle Implementierung Multi-Norm Compliance

Usability

Wettbewerbsvorteile

ContentSchnittstellen

20

Ein Auszug

Unsere Referenzen

IT-Dienstleistungen / SoftwareFinanzen / VersicherungenEnergieversorger/Stadtwerke

Dienstleister / Handelsunternehmen Automotive / IndustrieLogistik

© 2020 WMC GmbH21

Herausgeber dieser Präsentation und Eigentümer der Marke QSEC® :

WMC Wüpper Management Consulting GmbH

040 - 650 336 – 20» info@wmc-direkt.de» www.wmc-direkt.de

WMC GmbH Vertriebs- und Projektbüro Zimmerstraße 122085 Hamburg (Uhlenhorst)

QSEC® folgt exakt internationalen Gesetzen, Standards und Vorgaben

© 2020 WMC GmbH22