QSEC - ISMS und GRC nach internationalen Standards und...

QSEC - ISMS und GRC nach internationalen Standards und Methoden

© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper

2 © 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper

„Best in Class ist nie ein Zufall!“

Consulting ISMS & GRC SoftwareBranchen

3

WMC GmbH – GRC & ISMS Software + Consulting


Unsere Kernthemen unsere Referenzen

Informationssicherheitsmanagement

CO

NS

UL

TI

NG

SO

FT

WA

RE

+

S

UP

PO

RT

Compliance Management

IT-Sicherheit

Risikomanagement

Business Impact Analyse (BIA)

Business Continuity Management

Datenschutz

Maßnahmenmanagement

Reporting

Mehr: PCI DSS; ISO 9001; ISO 20 000

QSEC Multi-Standard Compliance Management

nach internationalen Regelwerken und Gesetzen

http://www.signal-iduna.de/

http://www.signal-iduna.de/

4

Best Practice mit der QSEC-Suite

Governance

StandardsGesetze

Transparenz und Minimierung

Leitlinien Richtlinien

QSECethisches Verhaltengesteigerte Wirtschaftlichkeitverbesserte Effektivitätnachhaltige Information Security

gesteuerteIT-GRCMaßnahmen

nachhaltigganzhaltig

organisationsweit

Strategie

Technologie

Prozesse Menschen


RiskManagement

Compliance

5

QSEC - Vorteile im Ergebnis

Für jeden berechtigten Mitarbeiter verwendbar

hohe Transparenz über alle Aktivitäten und Status im Bereich des Compliance- und IT-Risikomanagements

permanente Information über Veränderungen und Verbesserungen

Optimierung der IT-Investitionen durch Transparenz der geschäftskritischen Prozesse (Spitzenrisiken)

Einsparung von ca. 30-50% der internen und externen ISMS-Einführungs- und Betriebskosten

Reduzierung der Aufwendungen für Zertifizierung /Rezertifizierung

Nachweisbarkeit der Compliance

Imagegewinn und Wettbewerbsvorteil

Usability und Benutzerfreundlichkeit (WEB- / Wizard Technologie)

Flexibilität und umfassende Konfigurationsmöglichkeit

Content je Standard (Norm / Gesetz) komplett integriert

IT-Risikomanagement auf der Basis der Geschäftsprozesse und Informationen vollintegriert

Zentrales Dokumentenmanagement

Workflow- und Prozessunterstützung nach Aufgaben und Rollen (Experten und Anwender)

Musterprozesse, Muster-Assets, Maßnahmenvorschläge, Musterdokumente nach Branchen hinterlegbar

Produktsupport – permanente Updates / Weiterentwicklung

Leistungen


Nutzen

6

QSEC – "all in one compliance“


QSEC schneller mehr Ergebnis

Easy Express Enterprise Edition GRC Edition BSI Edition

QSEC - Varianten Standardbrowseranwendung Administrations-Tool / User-BerechtigungenTechnology

Internationale Regelwerke (ISO 27001/2/5; ISO 20000 etc.) Musterdokumente, Maßnahmenvorschläge, Risikokataloge Muster-Geschäftsprozess, -Assets nach Branchen

Content

Mailsystem, Active Directory, Ticket System etc. Individuelle Datenübernahme (CSV, XML etc.)Schnittstellen

ISMS Prozesse (Compliance-, Risikobewertung, BIA/BCM) Maßnahmen-, Dokumenten- und IncidentmanagementIS-Prozesse

Mehr als 65 Berichte mit Reifegraddarstellungen DashboardReporting

Hohe Anwenderakzeptanz durch Benutzerkomfort Anwendungsführung mit der Wizard - Technology Ständige Softwarepflege, Support und Verbesserungsprozesse

Usability

7

QSEC – Integriertes Managementsystem

Erfassung & Pflege der Organisationsdaten Geschäftseinheiten Mitarbeiter mit Rollen, Funktion & IS-Anteil

Bewertung der erfassten Normen und Gesetze Compliance Reifegradbewertung Statement of Applicability (SoA)

Erfassung, Bewertung & Pflege der Information Assets Geschäftsprozesse & Informationen Assetgruppen (Gebäude, Infrastruktur, IT-

Systeme etc.) Bewertung nach Vertraulichkeit, Integrität &

Verfügbarkeit) Bestimmung der Security Level für IT-Assets

Risikomanagement Schutzbedarf Bedrohungen & Schwachstellen Brutto- / Nettorisiken Eintrittswahrscheinlichkeit und Risikowert in €

Business Impact Analyse / Notfallmanagement

Security Incidents

Dokumentenmanagement/Report/Dashboard


Ein Expertensystem für jeden Mitarbeiter

8 © 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper

QSEC-Enterprise und GRC Edition - die Module im Überblick

QSEC Enterprise Edition QSEC GRC Edition QSEC Erweiterungen

QSEC Versionen:

DashboardCompliance Security-Incidents

ReportingRisiko Maßnahmen Dokument

Business Continuity

BCMBusiness Continuity

BIAStammdaten Administration

Core Server, Gemeinsame Plattform, Berechtigungen

QSEC Schnittstellen:Mailsystem, Asset Management (z. B. SAP, Spider),

AD, Ticketsystem (z. B. SAP, helpLine)

Katalog Erfassungs-und Pflege-Tool (KEP)

AdministrationsTool

Wizards (Prozess-Workflow) Information Assets

Task-Manager

9

QSEC - Wizard Technologie

Einfache, selbsterklärende Bedienerführung

Geringe Schulungsaufwendungen

Beschreibungen und Erklärung der Bearbeitungsschritte

Geführte Arbeitsweise

Ohne Expertenwissen nutzbar

Kein ungewolltes Verlassen des Bearbeitungsprozesses

Start über Link-Aufruf ermöglich

Beispiel Prozessschritte für einen Interview-Wizard

Ein ISO interviewt einen Prozessowner in den Businessbereichen

Anforderungen

Wizards Interview-Wizard Interview Übernahme-Wizard Compliance-Wizard Maßnahmen Bewertungs-Wizard Self Assessment-Wizard Risiko Bewertungs-Wizard Security Level-Wizard

Interview

InterviewEinleitung Auswahl Vorbereitung Interviewpartner Speicherung Geschäftsprozesse Informationen

21 3 4 5 6 7

Assetgruppen

8


10

QSEC - Wizards

Prozessorientiertes, effizientes Arbeiten

ComplianceWizard

1. 2.

3.

4. 5.

6.

7.

IS-Status

Risiko-Status

Security Level

ComplianceWizard2.

Experten

Businessowner

11

QSEC Suite verbindet:


Gesetze, Standards und Vorgaben mit Systemen, Applikationen und GeschäftsprozessenM

od

ellie

run

gA

nfo

rde

run

gen

un

d V

org

abe

n Gesetze Info

rmatio

n Secu

rity Man

agemen

t System

Vorgaben

KonTraGSOX /

EuroSOXBSI

KritisV BDSG Basel IIIEU 8th

Directive Solvency II VDA PTS

Standards / Normen

ISO 27001

ISO 27019

ISO 9001ff

ISO 14001

u.v.m.

UnternehmensstrategieInformationssicherheitsstrategie

Unternehmens-richtlinien

Policies

Policies

Policies

CompliancemanagementRisikomanagement

MaßnahmenmanagementIncidentmanagement

Business Continuity ManagementReifegradbewertung

PlanAct

Check Do

Geschäftsprozesse

Entwicklung Produktion Logistik Administration FinanzenEinkauf Personal

Lieferanteninfo. Patenten Produktinfo. Transportinfo. Informationen Vertragsinfo. Mitarbeiterinfo.

IT- Prozesse

BedrohungenVertraulichkeit, Verfügbarkeit, Authentizität, Integrität

Daten Daten Daten Daten Daten DatenApplikationen

Systeme Schwachstellen

ISO 27005

DS-GVO

12

Logistik Gesundheit Energie Handel / DL Industrie Finanzen

ISO 27001

ISO 27005

ISO 22301

BSI

BDSG

DSGVO

ISO 27001

ISO 27005

ISO 22301

BSI

BDSG

DSGVO

ISO 27001

ISO 27005

ISO 27019

ISO 22301

IT-Sicherheitskat.

BSI

BDSG

DSGVO

ISO 27001

ISO 27005

ISO 22301

BSI

BDSG

DSGVO

ISO 27001

ISO 27005

ISO 22301

BSI

BDSG

DSGVO

ISO 27001

ISO 27005

ISO 22301

BSI

BDSG

DSGVO

SOX

ISO 9001

ISO 14001

ISO 20000

Tapa

ISO 28000

Zoll

SOX

ISO 9001

ISO 13485

ISO 14001

ISO 20000

IEC 80001

SOX

ISO 9001

ISO 14001

ISO 20000

OHAS 18001

DIN ISO 50001

Smart Grid

SOX

ISO 9001

ISO 20000

PCI DSS

OHAS 18001

SOX

ISO 9001

ISO 14001

ISO 20000

DIN ISO 27009

OHAS 18001

VDA PTS

SOX

Bafin

MA Risk

Solvency II

Basel II

ISO 20000

Informationssicherheit

Methoden

Prozesse

Compliance-Prozesse

ISMS-Prozesse

BCM-Prozess

BIA-Prozess

Risiko-Prozess

Act Plan

Check Do

Sicherheitist ein

Prozess

P-D-C-A-Prozess

Behörden

ISO 27001

ISO 27005

ISO 22301

BSI

BDSG

DSGVO

Grundschutz 100-1

Grundschutz 100-2

Grundschutz 100-3

Grundschutz 100-4

Compliance


Compliance / Branchen – einige wesentliche Standards

13

QSEC schafft Transparenz – valide Daten im Reporting und Dashboard

Integrierte Reports

Standardberichte Managementberichte Arbeitsberichte Maßnahmenstatusberichte Risikostatusberichte Compliance / Reifegradberichte

(SOA) Spezialberichte

Verfahrensbericht nach BDSG Budgetbericht Security Incident Bericht Information Governance Bericht

Individuelle Berichte nach VorgabeDashboard


14

QSEC-Suite Technik


Die QSEC-Suite ist eine webbasierte Anwendung:

QSEC-Suite - der sichere, softwaregestützte Wegzum ganzheitlichen Information Security Management System (ISMS) nach ISO/IEC 2700x

Client Webserver Datenbank

Web-Browser

SSL

Keine Installation

Keine Wartung

Microsoft Windows Server 2008R2/2012R2

Microsoft IIS

ASP.NET 4.6

Microsoft SQL Server 2008R2 / 2012R2

Schnittstellen zu anderen Systemen

Programmierung mit Microsoft Visual Studio 2010

Aktuelle Version: 5.2

15

QSEC integriert sich in die vorhandene IT-Infrastruktur


AssetgruppeKritikalitätGeschäftsprozesse

VertraulichkeitVerfügbarkeitIntegrität

AssetgruppeSchwachstellen

Maßnahmen

Benachrichtigungen

Mitarbeiterdaten

Geschäftsprozesse

Security-Incidents

QSEC-Suite

IntegriertesManagement

System

Active Directory (AD)

MailsystemIncident

ManagementSAP / helpLine

Asset ManagementSAP / Spider

VulnerabilityManagementz. B. Qualys

Prozess ManagementAris / Adonis

Übergabe operative Risiken VorfälleRiskmanagement SIEM

Haben Sie Fragen? Kontaktieren Sie uns!


Besuchen Sie uns auf unserer Webseite und melden Sie sich zu einer QSEC-Live Präsentation oder rufen Sie uns an!

Ihr Ansprechpartner für Fragen:

Herr Dierick SchröderAccount Management / VertriebTel.: 040/650 336-17E-Mail: [email protected]

Wüpper Management Consulting GmbH im Internet:http://wmc-direkt.de/grc-isms-software/online-demo

mailto:[email protected]

http://wmc-direkt.de/grc-isms-software/online-demo

QSEC - ISMS und GRC nach internationalen Standards und...

Documents

Transcript of QSEC - ISMS und GRC nach internationalen Standards und...