Enterprise Risk Management
Internes Kontrollsystem
Compliance Management
Audit Management
Informationssicherheitsmanagement-System
Value

"Mit risk2value haben wir es geschafft, lästige Doppelgleisigkeiten zu eliminieren und damit haben wir die Akzeptanz der Mitarbeiter gewonnen. Jeder Einzelne hat gesehen, dass bei ihm persönlich Synergien ankommen."

Armin Plank, T-Systems

weiter zur ISMS Success Story


Überblick

Informationen sind in der Wissensgesellschaft mittlerweile zu einem der wichtigsten Handelsgüter geworden. Sie sind bedeutende Vermögenswerte für Konzerne, Unternehmen und Behörden und müssen angemessen geschützt werden. Durch die zunehmende Vernetzung in der globalen Wirtschaftswelt sind Informationen einer ständig wachsenden Anzahl an Bedrohungen ausgesetzt. Tagtäglich gibt es Meldungen über Datendiebstahl, Hackereinbrüche, illegale Informationslecks oder Cyber-Kriminalität bis hin zum Cyber-War.

Die meisten Informationen werden heutzutage zumindest teilweise mit Informationstechnologie erstellt, gespeichert, transportiert und weiterverarbeitet. Sie können aber auch auf Papier gedruckt oder geschrieben, per Post übermittelt, in Filmen gezeigt oder in Gesprächen mündlich weitergegeben werden.

 

Informationssicherheit hat das Ziel, den Schutz von Informationen jeglicher Art und Herkunft sicherzustellen. Ein Informationssicherheitsmanagement-System (ISMS) erfüllt dabei die Aufgabe, Schwachstellen zu identifizieren, Bedrohung zu erkennen, geeignete Gegenmaßnahmen zu ergreifen und Chancen zu identifizieren. Die Verantwortung, geeignete Maßnahmen zu implementieren und damit die Erfüllung der Sicherheitsziele zu gewährleisten, trägt die Unternehmensleitung. Dabei geben diverse Standards, wie ISO-27000, einen Orientierungsrahmen vor, der die Einführung eines Informationssicherheitsmanagement-Systems unterstützt. In Deutschland müssen überdies seit dem Beschluss des Deutschen Bundestages über das IT-Sicherheitsgesetz, Betreiber Kritischer Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen einen Mindeststandard an IT-Sicherheit einhalten.

Wichtig: Die Verantwortung, geeignete Maßnahmen zu implementieren und damit die Erfüllung der Sicherheitsziele zu gewährleisten, trägt die Unternehmensleitung. Dabei geben diverse Standards, wie ISO-27000, einen Orientierungsrahmen vor, der die Einführung eines Informationssicherheitsmanagement-Systems unterstützt.

risk2value bietet als Software ein ganzheitliches ISMS, das alle wesentlichen Komponenten beinhaltet. Es ermöglicht dabei die systemgestützte Durchführung von Schutzbedarfsfeststellungen oder Business-Impact-Analysen, Risiko-Assessments mit Schwachstellen und Bedrohungen, sowie Control-Assessments mit unterschiedlichsten offiziellen oder individuellen Control- und Fragen-Katalogen. Auch die gesamte workflowgestützte Behandlung von Audit-Feststellungen, Sicherheitsvorfällen, Ausnahmeregelungen und die daraus resultierende Maßnahmenverfolgung können in risk2value automatisiert werden.

 

Der Mehrwert der Softwareunterstützung liegt vor allem in der automatischen Zusammenführung, der von verschiedenen Personen eingebrachten Informationen, zu einem Gesamtbild der Informationssicherheit. Mit der individuell konfigurierbaren Aggregationslogik können Sie unterschiedlichste Detailberichte generieren oder sich einen Gesamtüberblick über das ISMS verschaffen.

ISMS ISO 27001 GAP-Analysis

Beispiel einer ISMS ISO 27001 GAP-Analyse


 Abhängigkeiten von der unternehmenseigenen IT-Abteilung werden minimiert, da das Erstellen von individuellen Berichten mit risk2value.analytics einfach und schnell möglich ist.


Vorteile

  • Flexible Anpassung an kundenspezifische Anforderungen
  • Reduktion der Managementaufwände im zentralen Informationssicherheits-Team
  • Optimales Berichtswesen - effizienter und strukturierter Überblick
  • Nachvollziehbarkeit und Automatisierung der Nachverfolgung von Maßnahmen
  • Größtmögliche Freiheit des CISO bei der individuellen Bewertung
  • Investitionssicherheit durch modulare Erweiterbarkeit
  • Transparenz über den Reifegrad der Organisation hinsichtlich Informationssicherheit
  • Vereinfachung des Informationsaustausches zwischen den diversen Anspruchsgruppen
  • Einbindung der Fachabteilungen und Prozessverantwortlichen auf Basis einer Business Impact Analyse
  • Festgestellte und vermutete Sicherheitsvorfälle werden dokumentiert und nachverfolgt

Merkmale

  • Kompatibel mit vielen Standards wie z.B. der ISO-27000 Familie
  • Abbildung von zyklischen ISMS-Assessments und Periodenvergleichen (Business Impact Assessments, Risikoanalysen, Control Assessments)
  • Individuell konfigurierbare Risikobewertungslogik, die eine Bewertung nach objektiven Kriterien erlaubt (quantitativ wie qualitativ)
  • Workflowgestützte Bearbeitung und Nachverfolgung von Aktivitäten wie Maßnahmen, Audit-Feststellungen, Sicherheitsvorfällen oder Ausnahmeregeln
  • Abbildung der komplexen Wirkungsbeziehungen zwischen Informationen, IT-Systemen, IT-Services und Prozessen
  • Individuelle Berichte für verschiedene Anspruchsgruppen
  • Umfangreiche Auswertungs- und Aggregationsmöglichkeiten

Lösungen

Dank der flexiblen Konfiguration von risk2value können unterschiedliche Security  Management Prozesse unterstützt werden:

 

  • Informationssicherheitsmanagement
  • Sicherheitsmanagement
  • IT Sicherheitsmanagement
  • Datenschutz Management
  • etc.