risk2value GRC Solutions

risk2value
ISMS ISO Solution

Für Informationssicherheits-Verantwortliche, die ein standardkonformes ISMS ohne komplizierte Excel-Anwendungen innerhalb kürzester Zeit aufbauen wollen.

Sparen Sie wertvolle Zeit mit der risk2value ISMS ISO Solution und profitieren Sie von einem professionellen, automatisierten Tool für Ihre Informationssicherheit.

 Lernen Sie die risk2value BCM Solution in unserem Demo Video kennen! Sie sehen einige konkrete Anwendungsbeispiele live im Tool.
Fordern Sie gleich das Video an!

Highlights der risk2value ISMS
ISO Solution

Mit der risk2value ISMS ISO Solution setzen Sie auf modernste Technologie und profitieren von einer effizienten Abbildung Ihrer Informationssicherheits-Prozesse.

Interaktive Dashboards

Das Dashboard ist die zentrale Einstiegsseite für jeden Anwender und bietet einen umfassenden Überblick. Es werden Statusinformationen und Kennzahlen zu Risikoanalysen, Maßnahmen und Wirksamkeitsnachweisen dargestellt. Weiters findet jeder Nutzer im Dashboard seine aktuellen To-do’s. CISO und Top-Management bekommen im Dashboard alle für sie wichtigen Informationen inklusive eventueller Handlungsaufforderungen übersichtlich angezeigt.

Workflows in risk2value schemenhafte Darstellung

Workflow gesteuerte Risiko- und Maßnahmenerfassung

Für das gesamte ISMS sind Workflows festgelegt, die Benutzern im Zuge der Erfassung als Unterstützung dienen. Sie definieren anhand vom Berechtigungssystem, welche Daten in welchem Status von welchem Benutzer bearbeitet werden dürfen. So wird klar festgelegt, welcher Benutzer welche Art von Erstellung, Bearbeitung oder Freigabe in risk2value vornehmen darf und in welchen Bereichen Lese- oder Schreibrechte bestehen.

Vordefinierte Berichte

Berichte nutzen die umfangreichen Auswertungs-Möglichkeiten von risk2value um Informationen kompakt und für das Management optisch ansprechend darzustellen. So liefert beispielsweise ein „Statement of Applicability“ Bericht eine Gesamtübersicht über die Anwendbarkeit und den Reifegrad von Kontrollen aus dem Annex A der ISO 27001 und den dazugehörigen Maßnahmen, die im Unternehmen umgesetzt werden. Die Berichte sind auf Knopfdruck für Management-Reviews sowie interne und externe Audits verfügbar.

automatischer E-Mail Versand in risk2value

Automatischer E-Mail Versand

risk2value versendet beim Eintritt eines definierten Ereignisses automatisch E-Mails an die betroffenen Benutzer, um diese über die Anpassungen zu informieren. So wird etwa bei einem Statuswechsel auf einer Aktivität, der eine Änderung der Zuständigkeit nach sich zieht, die nun verantwortliche Person automatisch darüber informiert.

einfache Administration in risk2value

Automatische Weiterschaltung

Die Weiterschaltung führt definierte Vorgänge durch, die eine automatisierte Ausführung von einzelnen Schritten auslösen. Diese Vorgänge können automatisch ausgeführt oder je nach Bedarf ausgelöst werden, etwa zum Neustart des ISMS, zum Neustart von Assessments oder zur kontinuierlichen Verbesserung des ISMS.

Archivierung in der risk2value ERM Solution

Revisionssichere Archivierung

risk2value stellt eine revisionssichere Archivierung bereit. Im Zuge der Archivierung werden sämtliche Daten gesichert, um sie später für Dashboards oder Reports verwenden zu können. Damit lassen sich beispielsweise Periodenvergleiche von Einzelrisiken sehr einfach darstellen. Eine Archivierung kann zu einem beliebigen Zeitpunkt manuell oder automatisch durchgeführt werden.

risk2value ISMS ISO Solution: der fachliche Hintergrund

Die risk2value Standard Solution für ISMS (Informationssicherheitsmanagement) wurde auf Basis von ISO 27001 entwickelt. Darüber hinaus wurde bei der Umsetzung der risk2value ISMS ISO Solution aus der praktischen Erfahrung zahlreicher Implementierungsprojekte geschöpft. 

Die ISO 27001 stellt einen weltweit anerkannten Standard für die Steuerung der Informationssicherheit dar. Der Standard beschreibt dabei die Ansprüche an die erfolgreiche Dokumentation und Inbetriebnahme eines Informationssicherheitsmanagement-Systems. Ziel des ISMS ist es, die Informationssicherheit systematisch zu managen und so Informationen und Assets in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit zu schützen, potenzielle Bedrohungen effizient zu identifizieren und zu reduzieren. Die ISO/IEC 27001 Normfamilie besteht aus über 30 Dokumenten, welche Unternehmen bei der Implementierung eines ISMS Unterstützung bieten. 

Auch für eine Zertifizierung des Unternehmens ist der Standard ISO/IEC 27001:2013 die erste Wahl, sofern nicht weitere spezifische Rahmenbedingungen (Cloud-Dienste, Cloud-Computing, Energiewirtschaft, etc) für das Unternehmen relevant sind. 

Unsere ISMS ISO Solution orientiert sich an folgendem grundsätzlichen Ablauf: 

 

Identifizieren Sie Prozesse und Assets.

Das Ziel dieser Phase ist eine Auflistung aller (kritischen) verwendeten Assets. Ein Asset kann jeglichen Vermögenswert darstellen, der für das Unternehmen essenziell ist. Gemäß ISO 27002 und ISO 27005 können sich Assets folgendermaßen gliedern: Informationen, Software, Gebäude, Einrichtungen, Fahrzeuge, Betriebsmittel, Hardware, Datenträger, Rechen- und Kommunikationsdienste, Versorgungseinrichtungen, MitarbeiterInnen mit ihren Qualifikationen und immaterielle Werte wie beispielsweise Ruf und Image der Organisation. 

Neben der Identifikation der Vermögenswerte wird auch ein Verantwortlicher für jedes Asset bestimmt, da die ISO 27001:2013 die Zuweisung von Asset Ownern vorschreibt. Unter dem Asset-Owner versteht die Norm eine Person oder eine Einheit von Personen, die für die Verwaltung des entsprechenden Vermögenswerts sowie etwaige verbundene Risiken und Maßnahmen zuständig ist. 

Die BIA (Business Impact Analyse) stellt eines der effektivsten Instrumente zur Identifikation von kritischen Schutzobjekten dar, da diese Bewertungen aufzeigen, welche Prozesse und Assets besonders schützenswert sind. Im Rahmen der BIA wird der Ausfall von Schutzobjekten hinsichtlich der finanziellen Auswirkungen, der Beeinträchtigung der Aufgabenerfüllung, des Verstoßes gegen Gesetze, Vorschriften und Verträge oder der negativen Innen- und Außenwirkung bewertet.

Die zweite Phase widmet sich der Risiko Identifikation. Das Unternehmen ermittelt eine umfassende Liste an Risiken, die für die Geschäftstätigkeit relevant sind und Unternehmensziele beeinträchtigen könnten. Dies sollte idealerweise prozessorientiert erfolgen. Meist wird anhand von Workshops mit den ISMS Verantwortlichen und den jeweiligen Abteilungsleitern durch die Ausarbeitung von Risikoszenarien ein umfassendes Ergebnis erzielt. Die Erarbeitung von Risikoszenarien stellt eine Methode dar, mithilfe derer festgestellt wird, ob Risiken bestehen, die die Schutzziele Vertraulichkeit, Integrität oder Verfügbarkeit des Informationssystems und somit die Geschäftsziele beeinträchtigen könnten.  

Identifizieren Sie Bedrohungen und Schwachstellen.

Identifizieren Sie bereits umgesetzte oder geplante Maßnahmen.

Ein weiterer Teilbereich der Risiko Identifikation stellt die Identifikation von bereits bestehenden Maßnahmen dar. Ausgangspunkt dieser Vorgehensweise ist die Überlegung, dass Unternehmen bereits Maßnahmen umgesetzt haben und gewisse Kontrollen des Annex A, ISO 27001 erfüllen, wie beispielsweise eine Passwort Policy. Jedoch kann es vorkommen, dass der Reifegrad dieser Maßnahmen noch nicht einer Zertifizierung entspricht, daher sollten sie hinsichtlich ihrer Aktualität, Effektivität und Normkonformität analysiert werden. Damit werden Duplikate und unnötige Kosten vermieden. 

Die in der Risiko Identifikation festgestellten Risiken werden im Rahmen der Risiko Analyse weiter untersucht. Durch die Einschätzung von Eintrittswahrscheinlichkeit und potenziellem Schaden ergibt sich die Errechnung eines Risikowerts, welcher in der ISMS ISO Solution qualitativ anhand einer Heatmap oder quantitativ erhoben werden kann.

Anhand der Definition der Risikosteuerung wird entschieden wie mit dem betrachteten Risiko im Unternehmen umgegangen wird. Abhängig von der Risikoneigung, die von Risikoaversion über Risikoneutralität bis hin zur Risikofreude gehen kann, gibt es vier unterschiedliche Arten einem Risiko zu begegnen: Akzeptanz, Reduzierung, Vermeidung und Transfer. Ziel ist es, in weiterer Folge das Risiko so weit zu reduzieren, dass das verbleibende Restrisiko quantifizierbar und akzeptierbar wird.

Untersuchen Sie die festgestellten Risiken.

Legen Sie Maßnahmen im Risiko-behandlungsplan fest.

Im nächsten Schritt wird festgelegt, wie die analysierten Risiken zu bewältigen sind. Ein externer Auditor erwartet einen Risikobehandlungsplan, in dem die Maßnahmen zur Risiko Behandlung aufgeführt sind, die durchgeführt worden oder geplant sind. Dieser Plan wird von den zugewiesenen Risikomanagern/Maßnahmenmanagern und/oder vom Management genehmigt und gibt Auskunft über den Implementierungsstatus jeder Maßnahme.

In der risk2value ISMS ISO Solution können Maßnahmen anhand ihrer Risikobehandlungsstrategie, den Implementierungs- und Umsetzungsverantwortlichkeiten, Kosten, Schadens- und der Eintrittswahrscheinlichkeitsreduktion dokumentiert werden.

Im Statement of Applicability (SoA) wird dokumentiert, dass sich das Unternehmen mit allen Kontrollen aus Annex A beschäftigt hat und diese für sich und seine Unternehmensziele bzw. Informationssicherheitsrisiken berücksichtigt hat. Das SoA beschreibt die Maßnahmenziele und Maßnahmen innerhalb des Geltungsbereichs (Scope) des Unternehmens und bezieht sich auf die 114 Maßnahmen/Kontrollen aus Annex A von ISO/IEC 27001:2013 bzw. ISO/IEC 27002. Für eine ISO-Zertifizierung des ISMS stellt das SoA – zusammen mit dem Geltungsbereich (Scope) – eine Kernanforderung dar.

Dokumentieren Sie die Anwendbarkeit (Statement of Applicability).

Überprüfen Sie das ISMS im Rahmen von Management Reviews.

Mindestens einmal jährlich sollte das Top-Management mit Unterstützung der ISMS Verantwortlichen die Aktualität und Angemessenheit des Informationssicherheitssystems überprüfen, da die kontinuierliche Verbesserung der operativen Wirksamkeit ein Erfordernis von ISO 27001 darstellt. Die Themen eines solchen Management Reviews umfassen unter anderem folgende Bereiche: Ergebnisse der Risiko Analyse und Umsetzungsstatus der Maßnahmen, Wirksamkeit von den bereits umgesetzten Maßnahmen, interne bzw. externe Auditergebnisse, etwaige Nichtkonformitäten, entsprechende Korrekturmaßnahmen, Ergebnisse aus Messungen (unternehmensspezifische KPI’s, allgemeine Informationssicherheitsleistung und Entwicklungen im ISMS uvm. 

Um die Informationssicherheit im operativen Betrieb aufrechtzuerhalten, führen Unternehmen entsprechend dem Standard ISO 27001:2013, Annex A – Abschnitt 16 (Handhabung von Informationssicherheitsvorfällen) Verfahren für die Erfassung von Informationssicherheitsvorfällen ein. Dadurch wird effizientes Handeln bei Eintritt eines sicherheitsrelevanten Vorfalls sichergestellt. Die Verfahren beinhalten nicht nur die Meldung von Vorfällen, sondern auch die anschließende Bewertung und Behandlung inklusive der Sammlung von Beweismaterialien.  

In der Regel stellen Vorfälle Nichtkonformitäten dar, welche Einfluss auf den kontinuierlichen Verbesserungsprozess des Unternehmens und somit auf den Reifegrad des ISMS haben. Aus der Bewertung von Vorfällen und den daraus resultierenden Erkenntnissen werden Korrekturmaßnahmen eingeleitet, die darauf abzielen, eine Beeinträchtigung der Verfügbarkeit, Integrität oder Vertraulichkeit von Informationen zu minimieren und Schwachstellen im ISMS aufzudecken, zu korrigieren und folglich zukünftigen Vorfällen vorzubeugen. 

Leiten Sie Verfahren zum Umgang mit Vorfällen ein.

Überprüfen Sie die Wirksamkeit des ISMS in Internen Audits.

Die planmäßige Überprüfung der Wirksamkeit des ISMS wird anhand von internen Audits durchgeführt und hat die kontinuierliche Verbesserung des Management-Systems zum Ziel. Der ISO Standard definiert, dass mindestens einmal im Zertifizierungszyklus ein interner Audit durchgeführt wird. Der Ablauf eines internen Audits ähnelt dem externer Audits. Im Rahmen eines Audits kann entweder die gesamte können Organisationseinheit oder Teilbereiche betrachtet werden.  

Die Ergebnisse werden für zukünftige Zertifizierungs-Audits genutzt und in Form von Findings weiter behandelt. 

Um die Konformität des Management-Systems mit ISO 27001 zu gewährleisten, finden externe Zertifizierungsaudits statt, die von qualifizierten Auditoren im Namen einer Zertifizierungsstelle durchgeführt werden. Im Audit wird festgestellt, welche Defizite und Abweichungen das Unternehmen noch hinsichtlich ihres ISMS im Vergleich zur Norm aufweist. 

In der risk2value ISMS ISO Solution stehen für die Planung unterschiedliche Typen von Audits zur Auswahl zur Verfügung: Pre-Audit, Zertifizierungsaudit, Überwachungsaudit und Re-Zertifizierungsaudit. 

Lassen Sie externe Audits von Zertifizierungs-stellen durchführen.

Behandeln Sie Findings aus Audits oder Management Reviews.

Findings werden in unterschiedlichen Kontexten erstellt. Sie stellen Resultate von externen und internen Audits oder von Management Reviews dar. Sie decken Norm-Abweichungen bzw. generelle Sicherheitsschwachstellen auf, die von den ISMS Verantwortlichen begutachtet und behandelt werden. Findings werden je nach Kritikalität als „Wesentliche Nicht-Konformität“, „Unwesentliche Nicht-Konformität“, „Beobachtung“, „Empfehlung oder „Verbesserungswunsch“ klassifiziert. Wesentliche Nicht-Konformitäten bzw. mehrere unwesentliche Nicht-Konformitäten stellen oftmals ein Hindernis für die Zertifizierung dar und sollten schnellstmöglich beseitigt werden. 

Wesentliche Voraussetzung für die erfolgreiche Implementierung eines Informationssicherheits-managementsystems ist die Dokumentation der getroffenen Entscheidungen und der angestrebten Ziele des ISMS. Dokumentierte Informationen werden benötigt, um beispielsweise Informationssicherheitsziele, -politik, -richtlinien, -anweisungen, -prozesse und -prozeduren zu definieren und zu kommunizieren. Des Weiteren werden Dokumentierte Informationen für Zertifizierungsaudits herangezogen. In der ISO Norm finden sich einige dokumentationspflichtige Abschnitte, die offiziell freigegeben und den interessierten Parteien revisionssicher zur Verfügung gestellt werden müssen. Darüber hinaus dokumentieren Unternehmen, je nach Zielsetzung und angestrebtem Reifegrad, zusätzliche Informationen, weshalb der Umfang der Dokumente variieren kann. 

Dokumentieren Sie getroffene Entscheidungen und angestrebte Ziele.

Erhalten Sie die risk2value ISMS ISO Solution Demo

Vielen Dank für Ihr Interesse an der risk2value ISMS ISO Solution Demo.
Nach erfolgter Prüfung Ihrer Anfrage erhalten Sie einen Link zur vollständigen Demo per E-Mail zugesendet.

    Ja, ich möchte mich zum GRC alert anmelden. Durch Auswählen dieses Kästchens gebe ich meine Einwilligungserklärung zur kostenlosen Bestellung des GRC alerts und erkläre mich damit einverstanden, dass die avedos GRC GmbH meine personenbezogenen Daten für die Versendung des GRC alerts zur Verbesserung des Leistungsangebots, zu Werbezwecken für Produkte und Dienstleistungen der avedos sowie zur Ermöglichung der Anbahnung von Geschäftsbeziehungen nach Maßgabe dieses Datenschutzhinweises speichert und verarbeitet. Diese Zustimmung kann jederzeit von mir widerrufen werden. 

    Daniel Szamosvari avedos Mitarbeiter

    Haben Sie Fragen?
    Wir sind gerne für Sie da!

    Daniel Szamosvari

    Sales Specialist & Account Manager