Post on 05-Jun-2018
transcript
QSEC - ISMS und GRC nach internationalen Standards und Methoden
© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
2 © 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
„Best in Class ist nie ein Zufall!“
Consulting ISMS & GRC SoftwareBranchen
3
WMC GmbH – GRC & ISMS Software + Consulting
© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Unsere Kernthemen unsere Referenzen
Informationssicherheitsmanagement
CO
NS
UL
TI
NG
SO
FT
WA
RE
+
S
UP
PO
RT
Compliance Management
IT-Sicherheit
Risikomanagement
Business Impact Analyse (BIA)
Business Continuity Management
Datenschutz
Maßnahmenmanagement
Reporting
Mehr: PCI DSS; ISO 9001; ISO 20 000
QSEC Multi-Standard Compliance Management
nach internationalen Regelwerken und Gesetzen
4
Best Practice mit der QSEC-Suite
Governance
StandardsGesetze
Transparenz und Minimierung
Leitlinien Richtlinien
QSECethisches Verhaltengesteigerte Wirtschaftlichkeitverbesserte Effektivitätnachhaltige Information Security
gesteuerteIT-GRCMaßnahmen
nachhaltigganzhaltig
organisationsweit
Strategie
Technologie
Prozesse Menschen
© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
RiskManagement
Compliance
5
QSEC - Vorteile im Ergebnis
Für jeden berechtigten Mitarbeiter verwendbar
hohe Transparenz über alle Aktivitäten und Status im Bereich des Compliance- und IT-Risikomanagements
permanente Information über Veränderungen und Verbesserungen
Optimierung der IT-Investitionen durch Transparenz der geschäftskritischen Prozesse (Spitzenrisiken)
Einsparung von ca. 30-50% der internen und externen ISMS-Einführungs- und Betriebskosten
Reduzierung der Aufwendungen für Zertifizierung /Rezertifizierung
Nachweisbarkeit der Compliance
Imagegewinn und Wettbewerbsvorteil
Usability und Benutzerfreundlichkeit (WEB- / Wizard Technologie)
Flexibilität und umfassende Konfigurationsmöglichkeit
Content je Standard (Norm / Gesetz) komplett integriert
IT-Risikomanagement auf der Basis der Geschäftsprozesse und Informationen vollintegriert
Zentrales Dokumentenmanagement
Workflow- und Prozessunterstützung nach Aufgaben und Rollen (Experten und Anwender)
Musterprozesse, Muster-Assets, Maßnahmenvorschläge, Musterdokumente nach Branchen hinterlegbar
Produktsupport – permanente Updates / Weiterentwicklung
Leistungen
© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Nutzen
6
QSEC – "all in one compliance“
© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
QSEC schneller mehr Ergebnis
Easy Express Enterprise Edition GRC Edition BSI Edition
QSEC - Varianten Standardbrowseranwendung Administrations-Tool / User-BerechtigungenTechnology
Internationale Regelwerke (ISO 27001/2/5; ISO 20000 etc.) Musterdokumente, Maßnahmenvorschläge, Risikokataloge Muster-Geschäftsprozess, -Assets nach Branchen
Content
Mailsystem, Active Directory, Ticket System etc. Individuelle Datenübernahme (CSV, XML etc.)Schnittstellen
ISMS Prozesse (Compliance-, Risikobewertung, BIA/BCM) Maßnahmen-, Dokumenten- und IncidentmanagementIS-Prozesse
Mehr als 65 Berichte mit Reifegraddarstellungen DashboardReporting
Hohe Anwenderakzeptanz durch Benutzerkomfort Anwendungsführung mit der Wizard - Technology Ständige Softwarepflege, Support und Verbesserungsprozesse
Usability
7
QSEC – Integriertes Managementsystem
Erfassung & Pflege der Organisationsdaten Geschäftseinheiten Mitarbeiter mit Rollen, Funktion & IS-Anteil
Bewertung der erfassten Normen und Gesetze Compliance Reifegradbewertung Statement of Applicability (SoA)
Erfassung, Bewertung & Pflege der Information Assets Geschäftsprozesse & Informationen Assetgruppen (Gebäude, Infrastruktur, IT-
Systeme etc.) Bewertung nach Vertraulichkeit, Integrität &
Verfügbarkeit) Bestimmung der Security Level für IT-Assets
Risikomanagement Schutzbedarf Bedrohungen & Schwachstellen Brutto- / Nettorisiken Eintrittswahrscheinlichkeit und Risikowert in €
Business Impact Analyse / Notfallmanagement
Security Incidents
Dokumentenmanagement/Report/Dashboard
© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Ein Expertensystem für jeden Mitarbeiter
8 © 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
QSEC-Enterprise und GRC Edition - die Module im Überblick
QSEC Enterprise Edition QSEC GRC Edition QSEC Erweiterungen
QSEC Versionen:
DashboardCompliance Security-Incidents
ReportingRisiko Maßnahmen Dokument
Business Continuity
BCMBusiness Continuity
BIAStammdaten Administration
Core Server, Gemeinsame Plattform, Berechtigungen
QSEC Schnittstellen:Mailsystem, Asset Management (z. B. SAP, Spider),
AD, Ticketsystem (z. B. SAP, helpLine)
Katalog Erfassungs-und Pflege-Tool (KEP)
AdministrationsTool
Wizards (Prozess-Workflow) Information Assets
Task-Manager
9
QSEC - Wizard Technologie
Einfache, selbsterklärende Bedienerführung
Geringe Schulungsaufwendungen
Beschreibungen und Erklärung der Bearbeitungsschritte
Geführte Arbeitsweise
Ohne Expertenwissen nutzbar
Kein ungewolltes Verlassen des Bearbeitungsprozesses
Start über Link-Aufruf ermöglich
Beispiel Prozessschritte für einen Interview-Wizard
Ein ISO interviewt einen Prozessowner in den Businessbereichen
Anforderungen
Wizards Interview-Wizard Interview Übernahme-Wizard Compliance-Wizard Maßnahmen Bewertungs-Wizard Self Assessment-Wizard Risiko Bewertungs-Wizard Security Level-Wizard
Interview
InterviewEinleitung Auswahl Vorbereitung Interviewpartner Speicherung Geschäftsprozesse Informationen
21 3 4 5 6 7
Assetgruppen
8
© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
10
QSEC - Wizards
Prozessorientiertes, effizientes Arbeiten
ComplianceWizard
1. 2.
3.
4. 5.
6.
7.
IS-Status
Risiko-Status
Security Level
ComplianceWizard2.
Experten
Businessowner
11
QSEC Suite verbindet:
© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Gesetze, Standards und Vorgaben mit Systemen, Applikationen und GeschäftsprozessenM
od
ellie
run
gA
nfo
rde
run
gen
un
d V
org
abe
n Gesetze Info
rmatio
n Secu
rity Man
agemen
t System
Vorgaben
KonTraGSOX /
EuroSOXBSI
KritisV BDSG Basel IIIEU 8th
Directive Solvency II VDA PTS
Standards / Normen
ISO 27001
ISO 27019
ISO 9001ff
ISO 14001
u.v.m.
UnternehmensstrategieInformationssicherheitsstrategie
Unternehmens-richtlinien
Policies
Policies
Policies
CompliancemanagementRisikomanagement
MaßnahmenmanagementIncidentmanagement
Business Continuity ManagementReifegradbewertung
PlanAct
Check Do
Geschäftsprozesse
Entwicklung Produktion Logistik Administration FinanzenEinkauf Personal
Lieferanteninfo. Patenten Produktinfo. Transportinfo. Informationen Vertragsinfo. Mitarbeiterinfo.
IT- Prozesse
BedrohungenVertraulichkeit, Verfügbarkeit, Authentizität, Integrität
Daten Daten Daten Daten Daten DatenApplikationen
Systeme Schwachstellen
ISO 27005
DS-GVO
12
Logistik Gesundheit Energie Handel / DL Industrie Finanzen
ISO 27001
ISO 27005
ISO 22301
BSI
BDSG
DSGVO
ISO 27001
ISO 27005
ISO 22301
BSI
BDSG
DSGVO
ISO 27001
ISO 27005
ISO 27019
ISO 22301
IT-Sicherheitskat.
BSI
BDSG
DSGVO
ISO 27001
ISO 27005
ISO 22301
BSI
BDSG
DSGVO
ISO 27001
ISO 27005
ISO 22301
BSI
BDSG
DSGVO
ISO 27001
ISO 27005
ISO 22301
BSI
BDSG
DSGVO
SOX
ISO 9001
ISO 14001
ISO 20000
Tapa
ISO 28000
Zoll
SOX
ISO 9001
ISO 13485
ISO 14001
ISO 20000
IEC 80001
SOX
ISO 9001
ISO 14001
ISO 20000
OHAS 18001
DIN ISO 50001
Smart Grid
SOX
ISO 9001
ISO 20000
PCI DSS
OHAS 18001
SOX
ISO 9001
ISO 14001
ISO 20000
DIN ISO 27009
OHAS 18001
VDA PTS
SOX
Bafin
MA Risk
Solvency II
Basel II
ISO 20000
Informationssicherheit
Methoden
Prozesse
Compliance-Prozesse
ISMS-Prozesse
BCM-Prozess
BIA-Prozess
Risiko-Prozess
Act Plan
Check Do
Sicherheitist ein
Prozess
P-D-C-A-Prozess
Behörden
ISO 27001
ISO 27005
ISO 22301
BSI
BDSG
DSGVO
Grundschutz 100-1
Grundschutz 100-2
Grundschutz 100-3
Grundschutz 100-4
Compliance
© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Compliance / Branchen – einige wesentliche Standards
13
QSEC schafft Transparenz – valide Daten im Reporting und Dashboard
Integrierte Reports
Standardberichte Managementberichte Arbeitsberichte Maßnahmenstatusberichte Risikostatusberichte Compliance / Reifegradberichte
(SOA) Spezialberichte
Verfahrensbericht nach BDSG Budgetbericht Security Incident Bericht Information Governance Bericht
Individuelle Berichte nach VorgabeDashboard
© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
14
QSEC-Suite Technik
© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Die QSEC-Suite ist eine webbasierte Anwendung:
QSEC-Suite - der sichere, softwaregestützte Wegzum ganzheitlichen Information Security Management System (ISMS) nach ISO/IEC 2700x
Client Webserver Datenbank
Web-Browser
SSL
Keine Installation
Keine Wartung
Microsoft Windows Server 2008R2/2012R2
Microsoft IIS
ASP.NET 4.6
Microsoft SQL Server 2008R2 / 2012R2
Schnittstellen zu anderen Systemen
Programmierung mit Microsoft Visual Studio 2010
Aktuelle Version: 5.2
15
QSEC integriert sich in die vorhandene IT-Infrastruktur
© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
AssetgruppeKritikalitätGeschäftsprozesse
VertraulichkeitVerfügbarkeitIntegrität
AssetgruppeSchwachstellen
Maßnahmen
Benachrichtigungen
Mitarbeiterdaten
Geschäftsprozesse
Security-Incidents
QSEC-Suite
IntegriertesManagement
System
Active Directory (AD)
MailsystemIncident
ManagementSAP / helpLine
Asset ManagementSAP / Spider
VulnerabilityManagementz. B. Qualys
Prozess ManagementAris / Adonis
Übergabe operative Risiken VorfälleRiskmanagement SIEM
Haben Sie Fragen? Kontaktieren Sie uns!
© 2016 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Besuchen Sie uns auf unserer Webseite und melden Sie sich zu einer QSEC-Live Präsentation oder rufen Sie uns an!
Ihr Ansprechpartner für Fragen:
Herr Dierick SchröderAccount Management / VertriebTel.: 040/650 336-17E-Mail: dierick.schroeder@wmc-direkt.de
Wüpper Management Consulting GmbH im Internet:http://wmc-direkt.de/grc-isms-software/online-demo