Assure Risk and Compliance Management

Security-Beratung zum Risk and Compliance Management

Assure Risk and Compliance Management

Überblick

Assure Risk and Compliance Management

Unternehmen müssen sich bei ihren Prozessen immer wieder nach neuen gesetzlichen Vorgaben und branchenspezifischen Vorschriften wie Sarbanes-Oxley, Basel, PCI und das Datenschutzgesetz richten. Durch eine umfassende Beratung unterstützen wir Sie dabei, diese vom Gesetzgeber formulierten IT Compliance-Anforderungen möglichst lückenlos abzudecken. Mit Hilfe eines Information Security Management Systems (ISMS) nach dem aktuellen ISO 27001:2013-Standard zum Beispiel schaffen Sie die Voraussetzungen für eine konsequente Umsetzung und Prüfung vielfältiger IT Compliance-Vorgaben. Damit senken Sie operationelle Risiken und erfüllen Anforderungen an eine regelkonforme Unternehmensführung (Corporate Governance).

Eine Methode der Veranschaulichung: In einem Spiderdiagramm wird der Soll- versus Istzustand Ihrer Sicherheitssysteme dargestellt

Eine Methode der Veranschaulichung: In einem Spiderdiagramm wird der Soll- versus Istzustand Ihrer Sicherheitssysteme dargestellt

Die Beratung von BT zum Risk and Compliance Management

Unsere Beratung umfasst alle Aktivitäten rund um das Informationssicherheitsmanagement (ISMS) auf organisatorischer, prozessualer, personeller, technischer und infrastruktureller Ebene. Besonders hilfreich dabei ist, dass wir langjährige Erfahrungen aus unseren nationalen und internationalen Projekten nutzen.

Wir unterstützen Sie bei der Planung und Umsetzung eines Informationssicherheitsmanagement-Systems nach dem aktuellen ISO-Standard. Relevant für das System sind natürlich Ihre individuellen Anforderungen, an die wir unsere Entwicklung anlehnen. Auch spezielle Sicherheitsanforderungen und die vorhandenen Prozesse, Unternehmensgröße und Struktur werden berücksichtigt.

Falls Ihr Unternehmen sich nach dem vom Bundesamt für Sicherheit in der Informationstechnik formulierten IT-Grundschutz richten will, bieten wir Ihnen auch dazu eine passende Beratung. Vor dem Hintergrund unserer zahlreichen Projekte für den öffentlichen Sektor können wir ebenfalls auf umfassende Erfahrungen zurückgreifen.

Der sichere Betrieb auf Basis des ISO-Standards erfordert eine kontinuierliche Verbesserung und Weiterentwicklung des Sicherheitsmanagementprozesses. Hierbei unterstützen Sie unsere Berater mit Hilfe von Reviews zur Kontrolle der ISO 27001-Compliance. Vor der Durchführung eines Audits zur Zertifizierung einer ISO 27001-Compliance bieten wir Ihnen spezifische Checks an und moderieren die Abstimmung mit den Auditoren.

Vorteile

Vorteile bei der Einführung eines Informationsmanagementsystems mit BT

Vorteile der Beratung durch unsere BT-Experten

BT besitzt aufgrund ihrer Erfahrung als einer der Wegbereiter des BS 7799, dem Vorgänger der Standards ISO/IEC 27001:2013 und ISO/IEC 27002:2013, die Kompetenz, eine erfolgreiche Sicherheitsberatung für Unternehmen und Organisationen durchführen zu können.

Insbesondere global agierende Unternehmen können auf die jahrelangen Erfahrungen der BT in komplexen Outsourcingprojekten aber auch im Umgang mit Anforderungen von Regulierungsbehörden, wie zum Beispiel im Finanzbereich, zurückgreifen.

Compliance gemäß ISO/IEC 27001:2013 dient sowohl gegenüber Kunden als auch Geschäftspartnern als Qualitätsmerkmal und führt somit zu einem Wettbewerbsvorteil:

  • Unternehmens- bzw. organisationsweite effektive und kosteneffiziente Sicherheit
  • Best Practice Risikomanagementmethoden gemäß ISO/IEC 27005:2011 bilden die Grundlage zur Identifizierung kritischer Informationen und damit zur zielgerichteten Auswahl von Sicherheitsmaßnahmen
  • Basierend auf standardisierten und sowohl international als auch national (Bundesamt für Sicherheit in der Informationstechnik (BSI)) etablierten ISO/IEC 27000 konformen Methoden
  • Unternehmen bzw. Organisationen sorgen mit der Umsetzung von ISO/IEC 27001:2005 für einen sicheren Umgang mit kritischen Daten
  • Die standardkonforme Implementierung und der Betrieb des ISMS durch BT lassen sich durch unabhängige Zertifizierer bestätigen

ISO/IEC 27001:2013 Audits und Zertifikate bieten eine verlässliche Aussage zum sicheren Umgang des Inhabers mit den ihm/ihr anvertrauten Informationen

Technische Details

Wie sehen die Bestandteile des Beratungs-Service aus?

Quick Start

Der Risk & Compliance Management Quickstart Service von BT wird in zwei Varianten angeboten:

Quick Start Workshop

Im Workshop gibt der BT-Security-Experte einen Überblick über den ISO27001-Standard und die Auswirkungen auf das Unternehmen.

Er analysiert gemeinsam mit Ihnen die aktuelle Sicherheitslage des Unternehmens und Bedeutung für eine ISO27001 Compliance. Die Ergebnisse des Workshops, die Sie erhalten:

  • Snapshot vom Risk Dashboard der Risiken
  • Geordnete Liste der Informationssicherheitsrisiken
  • Graphische Darstellung zur Einordnung der grundlegenden Sicherheitsrisikofelder
  • Kurzfassung des Scope für ein ISO27001 Zertifikat mit begrenztem Umfang, Ziel und Aktionen für eine ISO27001-Risikobewertung zur Erstellung einer kompletten ISO/IEC 27001 ISMS-Dokumentierung

Quick Start Assessment:

Mithilfe einer standardisierten Risikobewertungsmethode führen unsere Security-Experten eine Risikobewertung durch und erstellen die für ein ISO/IEC 27001 Audit (Stufe 1) erforderlichen Dokumente:

  • Einführung in das Information Security Management System (ISMS)
  • Information Security Policy (ISP)
  • Risk Dashboard mit den Risiken gemäß dem abgestimmten Umfang
  • Risk Assessment Report (RAR)
  • Optionale Service Security Policy (SSP)
  • Statement Of Applicability (SOA)
  • Risk Treatment Plan (RTP)

BT definiert außerdem Umfang, Ziele und Aktionen als Entwurf für ein ISO27001-Sicherheitsprogramm, passend zur zuvor erstellten Dokumentation.

Leistungen für die öffentliche Verwaltung:

Für Kunden im öffentlichen Sektor in Deutschland setzt BT die aktuellen BSI Standards 100-1, 100-2, 100-3 und 100-4 nach dem Vorgehensmodells des BSI (Einsatz GSTOOL) um.

Die Sicherheitskonzepte werden nach folgenden Schritten erstellt:

  • IT-Strukturanalyse
  • Schutzbedarfsanalyse
  • Modellierung des IT-Verbunds
  • Erweiterte vereinfachte Risikoanalyse
  • Basis-Sicherheitscheck

Security Management:

Nach erfolgreicher Einführung eines ISMS stellt BT einen Sicherheitsmanager als Verantwortlichen für Pflege und Betrieb des ISMS nach ISO/IEC 27001:2005.

Der Sicherheitsmanager bereitet ISO/IEC 27001:2013 Audits bzw. Prüfungen auf Basis von IT-Grundschutz nach Prüfschema des BSI vor und führt regelmäßige Compliance Reviews durch.