Mit Sicherheit an der richtigen Adresse.

> goSecurity         > goHosting

[Q]SEC Suite v1.6

Informatonssicherheit - ein allzeit gegenwärtiges Thema

Viele aktuelle Pressemitteilungen zu verfehltem Risikomanagement und "Sicherheitslücken" in Organisationen mit den daraus resultierenden weitreichenden Folgen für die Betroffenen zeigen die Notwendigkeit des verantwortlichen Umgangs mit dem Thema Informationssicherheit.

Analog dazu bestätigen Marktorschungsunternehmen weltweit den Trend seitens grosser Unternehmen, in den Bereichen Compliance- und Risikomanagement verstärkt einem ganzheitlichen, integrierten und prozessgesteuerten Ansatz zu folgen.

Die Transparenz bezüglich der wesentlichen aus den Geschäftsprozessen resultierenden Risiken / IT-Risiken sowie die Möglichkeit des kontrollierten Umgangs mit diesen Erkenntnissen spielt besonders in "Krisenzeiten" eine wichtige Rolle für die verantwortlichen Entscheider in Unternehmen.

Unternehmen sind mehr und mehr dynamischen Anpassungen und Veränderungen unterworfen. Die Geschäfsprozesse, Fachaufgaben, Infrastrukturen, Organisationsstrukturen sowie die Informationstechnologie ändern sich stetig. Gesetzliche, wie vertragliche Vorgaben und allgemeine Veränderungen der Märkte stellen weitere Anforderungen an das Management der Informatonssicherheit.

Neben dem klassischen Risikomanagement ist hierbei wesentlich die Rolle des IT-Risikomanagements zu betrachten. In modernen Unternehmen wird die Mehrzahl aller Geschäfsprozesse über eine Vielzahl von IT-Anwendungen gestützt. Damit ist die Kenntnis der kritischen Geschäftsprozesse und ihr Zusammenhang mit den IT-Assets, über welche diese Prozesse mit Informationstechnologie unterstützt werden, unverzichtbar.

Die Herausforderung

Gesetzliche Vorgaben, branchenspezifische Anforderungen, klassische Risiken in Bezug auf den Unternehmenserfolg und somit auch die IT-Risiken sind von Unternehmen umfassend zu betrachten. Der gesamte Prozess der Informationssicherheit, inkl. des zugehörigen Massnahmen- und Dokumentenmanagements, muss lückenlos verfolgt werden, um die entscheidenden Informationen zur Informationssicherheit in ihrer Gesamtheit zu erkennen und beurteilen zu können.

[Q]SEC verbindet Gesetze, Standards und Vorgaben mit Systemen, Applikationen und Geschäftsprozessen

Informatonssicherheit durch Nutzung internatonaler Standards / Audits und Zertizierungen

Immer mehr Unternehmen erkennen den Wert und die Qualität eines auf Basis internationaler Normen neutral kontrollierten und zertifizierten, ganzheitlich betrachteten Informationssicherheitsprozesses.

Technische Sicherheit allein (z.B. perfekte Firewalls und Zutrittskontrollen) ist bei weitem nicht mehr ausreichend, um in international geprägten Organisationen den Anforderungen an die Informationssicherheit gerecht zu werden, welche nur im Minimum benötigt werden.

Zur Etablierung und dem nachhaltigen Erhalt umfassender Informationssicherheit und dem Erzielen eines "Sicherheitswohlgefühls" ist ein umfassendes organisatorisches, methodisches, nachvollziehbares und überprüfbares Vorgehen im Unternehmen erforderlich.

Durch die Selbstverpflichtung, nicht nur intern den gesteckten Ansprüchen zu genügen, sondern auch permanent bei externen Auditoren, Jahr für Jahr, die qualitativen Sicherheitsanforderungen internationaler Standards zu bestehen, gewinnt ein Unternehmen neben der eigenen Planungs- und Reaktionssicherheit das externe Vertrauen von Kunden und Geschäftspartnern.

Offizielle Zertifikate (z.B. ISO) unterstützen und dokumentieren den Nachweis der implementierten Prozesse.

Das bewährte, internationale Vorgehensmodel nach P-D-C-A (Plan - Do - Check - Act), welches von der ISO (International Organization for Standardization) genutzt wird, garantiert eine Sicherheitskultur auf hohem Niveau.

Die Beachtung, Einhaltung und Umsetzung der Norm ISO/IEC 27001 im Unternehmen gewährt ein hohes Mass an Informatonssicherheit. Das innerhalb der ISO/IEC 27001 geforderte Informaton-Riskmanagement wird über die Norm ISO/IEC 27005 detailliert beschrieben. U.a. werden sämtliche Bedrohungen und Schwachstellen des Informatonssicherheitsstatus umfassend beurteilt. Basierend auf diesen Erkenntnissen können die Verantwortlichen sofort reagieren und zielgerichtet die entsprechenden Massnahmen einleiten und umsetzen.

Dieser qualitativ hohe "Premiumanspruch" in Sachen ganzheitlicher Informationssicherheit bedeutet einerseits Aufwand und den Willen zu kontrolliertem Vorgehen, führt aber andererseits zu nachhaltiger Sicherung des reibungslosen Geschäftsfortgangs, hoher Qualität, und ermöglicht aufgrund der Kenntnis der Spitzenrisiken ein zielgerichtetes Investitionsverhalten.

Die Lösung

Die [Q] SEC-Suite unterstützt Sie, basierend auf der ISO/IEC 27001, umfassend bei der Einführung und dem Betrieb eines ganzheitlichen Information Security Management Systems (ISMS). Das komplette Information Security Riskmanagement nach ISO/IEC 27005 mit allen Inhalten ist in die Lösung integriert. Ebenso Bestandteil sind das Massnahmen- und Dokumentenmanagement und ein aussagekräftiges und flexibles Reporting.

Ausgehend von der Situation, dass international agierende Unternehmen häufig mehreren internationalen Standards entsprechen möchten, bietet Ihnen die [Q] SEC-Suite zusätzlich die Möglichkeit weitere unterschiedliche internationale Normen (z.B. 9001, 14001, 20000, PCI-DSS fertig umgesetzt inkl. aller Fragenkataloge, Massnahmenvorschläge etc.) innerhalb der gleichen Softwarelösung zu managen.

Methodisch arbeitet die [Q]SEC-Suite nach dem PDCA Zyklus. Die browserorientierte und datenbankgestützte Programmierung bietet allen Mitarbeitern die Möglichkeit, die Lösung, z.B. zur Information bezüglich des im Unternehmen etablierten Informationssicherheitsprozesses, zu nutzen. Besonders profitieren jedoch alle an der Erstellung und Umsetzung des Informationssicherheitsprozesses beteiligten Teams und Personen. Neben der methodischen Führung und den komplett aufbereiteten Inhalten werden den Rolleninhabern ihre persönlichen Aufgaben im Prozess automatisch zugewiesen (inkl. aller Wiedervorlagen). Damit wird für die Prozessbeteiligten sofort transparent, wie sie gemäss der jeweiligen Verantwortlichkeit ihrer Rolle an der Aufgabenstellung beteiligt sind.

Alle Veränderungen und Verbesserungen werden in einem sich ständig wiederholenden Kreislauf (Plan - Do - Check - Act) verfolgt und dokumentiert, und eine lückenlose Historie über das integrierte Dokumentenmanagement sichergestellt.

Zum Soll/Ist-Vergleich wurde im Compliance-Management der [Q]SEC-Suite eine Reifegradbewertung für Controls umgesetzt. Die Soll-Werte können definiert und vorgegeben werden. Innerhalb der Control-Bewertung kann der IST-Wert beurteilt, abgeglichen und ausgewertet werden. Im Standard erfolgt die Bewertung nach SPICE (ISO/IEC 15504), die Skala kann jedoch auch individuell angepasst werden.

Beispiel einer Übersicht der Reifegradbewertung eines Untersuchungsbereiches mit IST-Reifegrad / SOLL-Reifegrad - Auswertung

Das Reporting-Tool stellt tagesaktuell und umfassend die wichtigsten Reports im Standard zur Verfügung und besitzt die Möglichkeit weitere individuelle Reports jederzeit zu ergänzen.

Als Standardsoftwarelösung wird die [Q]SEC-Suite über unsere Services ständig in allen Bereichen nach den neuesten Vorgaben und Erkenntnissen eines Vorgehens nach "Best-Practice" ergänzt und weiter entwickelt.

Die [Q]SEC-Suite ist die Lösung für alle Unternehmen die:

• Auditierungen / Zertifizierungen planen und die internen und externen Aufwendungen zur Vorbereitung von Auditerungen und Zertifizierungen signifikant reduzieren wollen.

• nach verschiedenen internatonalen Standards (z.B. ISO) arbeiten und nach einer Lösung suchen, die dies innerhalb einer Software ermöglicht.

• über die Unterstützung durch methodische Führung und Arbeitserleichterung durch umfassenden Content den Einsatz von Mitarbeitern und Budget optimal nutzen wollen

• ein Managementinstrument suchen, das dem verantwortlichen Entscheider die Möglichkeit eröffnet, sämtliche Aufgaben bei der Erstellung und Umsetzung detailliert nachzuhalten.

• den Status im Unternehmen tagesaktuell überblicken, managen und dokumentieren möchten.

• den Kapitaleinsatz durch die Fokussierung der Investitionen auf die wesentlichen geschäftskritischen Risiken optimieren möchten.

• die Ausfälle reduzieren und den schnelleren Wiederanlauf durch gemanagte Prozesse gewährleisten wollen

Compliance-Management

• individuell anlegbare Untersuchungsbereiche

• ISO/IEC 27001 / 27002 (früher 17799)

• ISO 9001, ISO 14001, ISO 20000 (optional)

• Status-Bewertung nach PDCA

• Compliance-Bewertung nach verschiedenen Ansätzen (inkl. der Fragenkataloge für die Regelwerke)

• Reifegradbewertung mit Soll/Ist-Vergleich auf Control-Ebene

• automatische, anpassbare Wiedervorlagen für Controls

• Definition von Compliance-Zielwerten

• Ermittlungen der Gaps

• Massnahmen-Generierung zum Erreichen der Ziele

Risiko-Management

• individuell anlegbare Untersuchungsbereiche

• Vorgehen nach ISO/IEC 27005 (Bedrohungs- und Schwachstellenlisten inkl. der möglichen Kombinationen)

• Erfassung der Kritikalität von Geschäftsprozessen möglich

• flexibel konfigurierbare Assetgruppen-Wert-Kriterien

• "Information" als weiterer Primary-Asset-Typ neben den Geschäftsprozessen

• Ermitteln der Schwachstellen und Bedrohungen von Schutzobjekten

• Ermitteln individueller Risikowerte der Schutzobjekte

• Ermitteln der potentiellen Auswirkungen von Risiken auf die Geschäftsprozesse

Massnahmen-Management

• individuell anlegbare Untersuchungsbereiche

• Übernahme automatisch vorgeschlagener Massnahmen mit Anpassungsmöglichkeit

• Anlegen eigener Massnahmen

• Zuweisung von Verantwortlichkeiten

• Terminierung und Termin-Tracking

• Status-Abfrage zu jedem Zeitpunkt

• Verknüpfung mit Projekten

• Verknüpfung mit Controls, Risiken, Dokumenten in [Q]SEC

• Neubewertung relev. Teile nach Umsetzung der Massnahmen

Dokumenten-Management

• Individuell anlegbare Untersuchungsbereiche

• Musterdokumente relevanter Policies (z.B. Security Policy, Klassifikationsrichtlinie, Benutzerrichtlinie, Client-Sicherheitsrichtlinie, etc.)

• Speicherung in der [Q]SEC-Datenbank, optional Anbindung von bereits vorhandenem Dokumenten-Management-System

• Speicherung von Verfasser und Verantwortlichen

• Versionierung

• alle gängigen Dateitypen möglich

• intelligente Suchfunktion

• Dokumenten-Portal (optional)

Reporting

• System-Reifegradmessung

• vordefinierte Standard-Reports für verschiedene Zielgruppen

• individuelle Reports möglich

• Aufwertung durch aussagekräfige Grafiken

Stammdaten

• Erfassen der gesamten oder relevanten Firmenstruktur in Organisationseinheiten

• Bildung von Untersuchungsbereichen für das ISMS und weitere Normen

• Erfassung der Geschäftsprozesse

• Definition von Assetgruppen, Importschnittstelle zu vorhandenem Asset-Management möglich (optional)

• Import von Mitarbeiter-Stammdaten aus AD/LDAP oder SAP

• Team-Bildung und Zuweisung von Verantwortlichkeiten

• Rollenbasierte Rechteverwaltung

Technik

• Web-Front-End für browser-basierenden, unternehmensweiten Zugang zur Software - keine Software-Installation auf Client-Maschinen notwendig, Internet Explorer

• aktuelle .NET-Technologie - Einsatz von MS SQL-Server 2008 und MS Windows Server 2k3/2k8 - Sicherung der Kommunikation über SSL

• Lizenzmodell zzgl. Wartung oder Software as a Service (SaaS)

Download