Was ist ein ISMS und wo kann eine ISMS-Software unterstützen?

Ein Informationssicherheitsmanagementsystem (kurz: ISMS) ist ein wesentlicher Bestandteil für die Informationssicherheit im gesamten Unternehmen. Mit fortschreitender Digitalisierung wird es für die Unternehmen jetzt und in Zukunft immer wichtiger für ein angemessenes Schutzniveau zu sorgen, um die wichtigsten Unternehmenswerte etwa vor Cyberangriffen und Malware zu schützen.

„Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.“

Quelle: Security-Insider.de

Für eine erfolgreiche und reibungslose Implementierung sollte von Anfang an eine gesamtheitliche ISMS-Software zur Unterstützung der definierten Prozesse eingesetzt werden. Die Software erleichtert dabei etwa das Management von Risiken, Audits, Feststellungen und Maßnahmen.

7 Gründe für ein softwaregestütztes ISMS

Im Folgenden werden 7 gute Gründe für die Umsetzung eines ISMS unter Zuhilfenahme einer geeigneten ISMS-Software genannt und erläutert:

1. Schutz der geschäftskritischen Unternehmenswerte und Prozesse

Zur Identifikation der kritischen Assets und Prozesse ist es wichtig eine initiale Schutzbedarfsfeststellung durchzuführen. Die Assets und Prozesse können in einer ISMS-Software wie ibi systems iris verwaltet und sogar zueinander modelliert werden. Dadurch ergibt sich dann auch die Vererbung des erfassten Schutzbedarfs nach dem Maximalprinzip.

Für die kritischen Assets und Prozesse ist im nächsten Schritt eine Risikobetrachtung durchzuführen. Diese sollte in jedem Fall die gewählte Risikobehandlungsstrategie und zugehörige, geeignete Maßnahmen beinhalten. Der Umgang mit den Risiken über den Zeitverlauf ist somit perfekt dokumentiert, jederzeit vorzeigbar und für den Schutz der wichtigsten Unternehmenswerte und Prozesse ist gesorgt.

2. Generierung eines Wettbewerbsvorteils

Das Vertrauen in ein Unternehmen, welches seine (Kunden-)Daten besser schützt, ist in der Regel größer als in ein Unternehmen, das hierfür nichts unternimmt. Im Geschäftskundenbereich wird zunehmend darauf bestanden, dass Lieferanten ein bestimmtes IT-Sicherheitsniveau vorweisen können. Wer dies vielleicht sogar mit einem Zertifikat (z. B. ISMS nach ISO 27001) nachweisen kann, hat einen klaren Wettbewerbsvorteil gegenüber seiner Konkurrenz. In jedem Fall läuft dieses Unternehmen dann nicht in Gefahr im Vergabeprozess nicht berücksichtigt zu werden.

3. Einhaltung von Compliance-Richtlinien mit Hilfe der ISMS-Software

Zunehmende regulatorische Anforderungen verdichten den bestehenden Gesetzesdschungel fortlaufend. So sind Betreiber Kritischer Infrastrukturen mit Inkrafttreten des IT-Sicherheitsgesetzes (2015) sogar verpflichtet ein ISMS zu betreiben (KRITIS-Schwellwerte). Durch die systemgestützte Umsetzung eines ISMS kann ebenso die Einhaltung diverser andere Gesetze und Richtlinien gewährleistet werden. Hierzu unterstützt etwa der Funktionsbereich „Prüfungen“ in der ISMS-Software ibi systems iris. Dadurch lassen sich individuelle Checklisten zu diversen Standards, Gesetzen und Normen erstellen sowie darauf aufbauend Prüfungen planen, durchführen und deren Ergebnisse in gängige Formate exportieren.

4. Kosteneinsparung durch Vorsorgemaßnahmen

Durch die im Rahmen einer ISMS-Einführung umgesetzten Vorsorgemaßnahmen lassen sich teure Informationssicherheitsvorfälle vermeiden. Diese Maßnahmen werden durch den Einsatz einer ISMS-Software systematisch definiert, getrackt und umgesetzt. Kataloge können dazu in der Software ibi systems iris ebenfalls angelegt und zu Rate gezogen werden. Auch ein aufgetretener Sicherheitsvorfall und der Umgang damit kann so festgehalten und dokumentiert werden.

5. Saubere Trennung der Datensätze durch Benutzerrollen und Organisationseinheiten

Das Rechtesystem in der Software ibi systems iris gewährleistet stets eine saubere Trennung aller angelegten Datensätze. Durch die Vergabe von Benutzerrollen und die Zuweisung von Organisationseinheiten wird gewährleistet, dass Die Benutzer nur das sehen, was sie sehen sollen und dürfen (Need-to-know-Prinzip).

6. Sicherstellung einer einheitlichen Vorgehensweise und Datenerfassung

Die Prozesse und die Software sollten von Beginn an aufeinander abgestimmt werden. Ein solches Vorgehen gewährleistet eine konsistente und strukturierte Einführung eines ISMS und vermeidet einen „Wildwuchs“ von Dokumenten und Excel-Listen. So werden etwa im Rahmen einer Prüfung gewisse Schwachstellen identifiziert. Diese werden dann mit den Risiken in Verbindung gebracht und nach erfolgter Risikobewertung und Auswahl einer geeigneten Behandlungsstrategie, sind geeignete Maßnahmen zu definieren um das Risiko zu mitigieren. Somit ist der komplette Prozess und die daraus resultierenden Zusammenhänge ganzheitlich in der Software ibi systems iris abgebildet.

7. Überblick und Auswertungen auf Knopfdruck in der ISMS-Software

Mit einer ganzheitlichen ISMS Software haben Sie jederzeit den vollen Überblick über alle Aspekte der unternehmenseigenen Informationssicherheit. Mit Hilfe von Dashboards und Reports in der ISMS Software ibi systems iris ist ein übersichtlicher Statusbericht nur wenige Mausklicks entfernt.

Fazit

Die Einführung eines ISMS bringt also viele Vorteile mit sich und sollte in jedem Fall in Verbindung mit einer geeigneten Software wie ibi systems iris umgesetzt werden. Im Bereich der IT-Sicherheit gibt es diverse Förderprogramme um Unternehmen auch finanziell zu unterstützen – zum Beispiel bei der Softwarebeschaffung für eine ISMS-Implementierung. Der Freistaat Bayern bietet hier mit dem Digitalbonus für kleine und mittlere Unternehmen eine attraktive Möglichkeit, um sich für die Herausforderungen der digitalen Welt zu rüsten.

Die typische Vorgehensweise und weitere Vorteile der Softwareunterstützung bei der ISMS-Einführung haben wir in einem weiteren Beitrag für Sie aufgezeigt.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

Bedeutung und Verortung von Nachhaltigkeitsmanagement

Das Thema Nachhaltigkeit betrifft und beschäftigt uns alle. Die EU versucht durch Investitionen und Konzepte eine nachhaltige und klimaneutrale Wirtschaft zu fördern. Die Europäische Kommission stellte Ende des Jahres 2019 den European Green Deal vor. In diesem Konzept ist das Ziel verankert bis 2050 die Netto-Emissionen von Treibhausgasen innerhalb der Europäischen Union auf null zu reduzieren. Somit will Europa hier Vorreiter und Vorbild sein und als erster Kontinent klimaneutral werden. Der European Green Deal umfasst zur Erreichung dieses Ziels eine Reihe von Maßnahmen in den Bereichen Finanzmarktregulierung, Energieversorgung, Verkehr, Handel, Industrie sowie Land- und Forstwirtschaft.

European Green Deal

Nachhaltiges Wirtschaften ist für Unternehmen, Gesellschaft und vor allem für die Umwelt von großer und wachsender Bedeutung. Die Kundennachfrage nach klimafreundlichen, nachhaltigen Produkten und Dienstleistungen steigt weiter an. Durch die Gesetzgebung sind zunehmende regulatorische Anforderungen in den kommenden Jahren zu erwarten. Die BaFin hat etwa angekündigt, dass spätestens ab 2021 geprüft werden soll, ob im Risikomanagement von Banken das Thema Nachhaltigkeit berücksichtigt wird. Die Unternehmen sollten dies berücksichtigen und das Thema Nachhaltigkeitsmanagement fest in die bestehenden Prozesse zu verankern.

Chancen und Vorteile

Das Thema Nachhaltigkeit wird zwar von Gesellschaft und Gesetzgebung verstärkt gefordert, aber es sollte nicht nur als lästige Pflicht von den Unternehmen angesehen werden. Es besteht sogar die Chance einen Wettbewerbsvorteil gegenüber der Konkurrenz zu kreieren.

Mögliche Vorteile durch die softwaregestützte Implementierung des Nachhaltigkeitsmanagements sind u.a.:

  • Hohe Reputation durch erworbene Zertifikate und Siegel
  • Gesamtheitliche Betrachtung des Themas Nachhaltigkeit im Unternehmen
  • Vermeidung von fehleranfälligen, manuellen Verfahren und Checklisten
  • Berechtigungsbasierte Freigaben und To-Do´s
  • Revisionssichere Ablage von Kontrollen inkl. Feststellungen, Dokumente, Risiken und Maßnahmen
  • Flexible Reportingmöglichkeiten

Nachhaltigkeitsmanagement mit der Software ibi systems iris

Durch ibi systems iris erhalten Sie einen vollständigen Blick auf das Thema Nachhaltigkeit bei Ihnen im Unternehmen. Ihre Prozesse werden dabei individuell abgebildet und Sie vermeiden fehleranfällige Kontrollverfahren.

Mit ibi systems iris betreiben Sie ein effektives und effizientes systemgestütztes Nachhaltigkeitsmanagement, ganz nach Ihren Ansprüchen und immer individuell anpassbar. So unterstützt die Software bei der revisionssicheren Abbildung des vollständigen Kontrollprozesses inklusive der Identifikation von Feststellungen, Risiken und Maßnahmen.

Zum Vorgehen:

  1. Strukturierung der Risiken (Wesentlichkeit)
  2. Hinterlegung von nationalen und internationalen CSR Rahmenwerken und Standards
  3. Erstellung von Prüfungsvorlagen und Ableitung von Prüfungen inkl. Planung und Durchführung
  4. Verwalten von Feststellungen und Umsetzung von Maßnahmen inklusive Statusüberwachung
  5. Reports und Dashboards

Lesen Sie für weitere Details zum Vorgehen auch unser Whitepaper zu Nachhaltigkeitsmanagement mit ibi systems iris.

Partnerschaft von ibi systems Gmbh und syracom

ibi systems und das Business- und IT-Beratungshaus syracom gehen eine strategische Partnerschaft ein und bieten gemeinsam auf Basis der webbasierten Software ibi systems iris einen integrierten, toolbasierten Lösungsansatz zum Thema Nachhaltigkeitsmanagement und dessen ganzheitlicher Verankerung in Ihrem Unternehmen an.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • https://ec.europa.eu/info/sites/info/files/european-green-deal-communication_de.pdf
  • https://www.pressebox.de/pressemitteilung/syracom-ag/syracom-und-ibi-systems-mit-innovativer-Loesung-fuer-das-Nachhaltigkeitsmanagement/boxid/1018115?utm_source=Belegmail&utm_medium=Email&utm_campaign=Aktiv
  • https://www.syracom.de/news/blog/banken/nachhaltigkeitsmanagement-ein-echter-wettbewerbsvorteil.html

Arbeitsschutz in Zeiten der Pandemie

Gesundheit und Sicherheit am Arbeitsplatz sollten gerade in kleinen und mittleren Unternehmen und Behörden eine große Rolle spielen. Die Gesundheit der Mitarbeiter als die wichtigste „Ressource“ eines Unternehmens besitzt dabei selbstverständlich den höchsten Stellenwert. Sicherheitschecks bieten hier eine gute Orientierungshilfe. Nicht zuletzt geht es schließlich gerade bei Unternehmen dieser Größe auch um die Aufrechterhaltung des Geschäftsbetriebs und somit auch um die eigene Existenz.

„Als Arbeitsschutz bzw. Arbeitnehmerschutz werden die Maßnahmen, Mittel und Methoden zum Schutz der Beschäftigten vor arbeitsbedingten Sicherheits- und Gesundheitsgefährdungen verstanden.“

Quelle: Wikipedia

In Zeiten der Corona-Pandemie haben viele Unternehmen ihre Mitarbeiter ins Homeoffice geschickt, um das Infektionsrisiko zu minimieren. Gerade in bestimmten Branchen wo man „nur“ auf die Nutzung von PC, Telefon und Internet angewiesen ist, hat man gute Erfahrungen mit dem Arbeiten von Zuhause aus gemacht.

Softwaregestützte Sicherheitschecks für die geplante Rückkehr ins Büro

Nachdem vielerorts in Deutschland ein Rückgang der Neuinfektionen zu verzeichnen war, planen dennoch viele kleinen und mittleren Unternehmen die Rückkehr ins Büro. Was aber sollte zum Thema Arbeitsschutz in Zeiten der Pandemie durch das Coronavirus (SARS-CoV-2) dabei beachtet werden? Welche Punkte sollte ein angemessenes Sicherheits- bzw. Hygienekonzept beinhalten?

Die gesetzliche Unfallversicherung Verwaltungs-Berufsgenossenschaft (VBG) hat beispielsweise eine Checkliste „Gesund und sicher durch die Pandemie“ veröffentlicht. Diese bietet schließlich eine gute Hilfestellung, um angemessene Vorkehrungen für den Arbeitsschutz zu treffen.

Die Vorteile eines systemgestützten Sicherheitschecks mit ibi systems iris sind:

  • Strukturierung von Kontrollen und Checklisten in Form von Prüfungen
  • Hinterlegung von Regelwerken (z.B. Richtlinien für Mitarbeiter und Besucher)
  • Identifikation von Feststellungen (Schwachstellen, Verbesserungspotentiale)
  • Definition und Tracking von Maßnahmen
  • Übersichtliche Exportmöglichkeiten in Form von Reports und Dashboards

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

Relevanz und Vorteile der Softwareunterstützung in der Informationssicherheit

Jede Organisation, unabhängig der Branche, Rechtsform oder Größe, ist heute und in Zukunft auf eine angemessene Informationssicherheit angewiesen. Dies liegt daran, dass nahezu kein Geschäftsprozess ohne IT-Unterstützung effektiv und effizient ausgeführt werden kann und Daten und Informationen von immenser Wichtigkeit für die einzelnen Organisationen sind. Angriffe auf die Informationssicherheit stellen daher eine nicht zu verachtende Bedrohungslage dar, die von existentiellen wirtschaftlichen Verlusten bis hin zu personenbezogenen Schäden führen kann. Daher ist ein angemessener Schutz der Informationen bzw. ein angemessenes Niveau der Informationssicherheit inhärentes Interesse jeder Organisation und zudem Inhalt diverser rechtlicher und regulatorischer Anforderungen.

Stellt sich die Frage, wie setzt man Informationssicherheit angemessen um? Die international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS) ISO/IEC 27001 bietet Organisationen einen Rahmen, die Informationssicherheit zu planen, umzusetzen, zu überwachen und kontinuierlich zu verbessern. Durch die optionale Zertifizierung kann die Einhaltung des Standards bestätigt und damit die Wettbewerbsfähigkeit gesteigert sowie das Unternehmensimage in der Öffentlichkeit und bei Geschäftspartnern gestärkt werden.

Doch wie lässt sich eine ganzheitliche und umfassende Informationssicherheit im Unternehmen garantieren bzw. wie lässt sich der Zertifizierungsprozess unterstützen und somit leichter bewältigen? Die Antwort ist ein ISMS, das mit Hilfe einer integrativen Software implementiert wird und damit einen nachhaltigen Mehrwert bei gleichzeitiger Kostenreduktion für das Unternehmen generiert.

Die 6 Schritte des systemgestützten ISMS

Zu Beginn ist es entscheidend die Unterstützung des Managements sicherzustellen und im Anschluss den Anwendungsbereich des ISMS genau zu definieren. Als dritter Schritt sollte überprüft werden, welche Controls aus dem Anhang A der ISO 27001 umgesetzt werden müssen bzw. welche Controls ausgeschlossen werden können. Das Ergebnis aus dem dritten Schritt ist das Statement of Applicability. Anschließend sollten alle Assets und Prozesse des Unternehmens inventarisiert werden, damit das Unternehmen weiß, welche Informationswerte geschützt werden müssen. Erst danach können die Informationssicherheitsrisiken effektive gemanagt werden. Unter dem sechsten Schritt ISMS-Betrieb verbergen sich Teilbereiche wie Audits, Indikatoren und Sicherheitsvorfälle. Die nachfolgende Abbildung zeigt Ihnen die 6 Schritte des systemgestützten ISMS.

Schritt 1 und 2: Sicherstellung der Management Unterstützung und Definition des ISMS Anwendungsbereichs

Zu Beginn gilt es, durch Initiative der Geschäftsführung den Stein ins Rollen zu bringen. Hierbei ist es nicht von Bedeutung, ob die Einführung eines ISMS durch Gesetze oder Kunden vorgeschrieben wird oder auf internen Vorschlägen beruht – der Sicherheitsprozess muss von der Geschäftsführung angestoßen, genehmigt und auch (kontinuierlich) vorgelebt werden. Außerdem muss der Geltungsbereich des ISMS festgelegt werden. Mithilfe einer Informationssicherheitsleitlinie legt das Management fest, mit welcher Strategie das angestrebte Sicherheitsniveau im Geltungsbereich erreicht werden soll und definiert die Organisation des Sicherheitsprozesses.

Schritt 3: Statement of Applicability

Um die Erklärung zur Anwendbarkeit (=Statement of Applicability, SoA) nach ISO 27001 auszufüllen, bietet sich eine Prüfung in ibi systems iris an. Hier ist die Prüfvorlage schon vorhanden und muss nur entsprechend befüllt werden. Somit ist es ein Leichtes, Controls der ISO 27002 (bzw. Anhang A der ISO 27001) auszuschließen und den Ausschlussgrund zu dokumentieren oder auch anwendbare Controls näher zu beschreiben.

Schritt 4: Inventarisierung der Assets / Prozesse

Sind der Scope und die anwendbaren Controls definiert, können die Geschäftsprozesse der Organisation inklusive Verantwortlichen sowie die verarbeiteten Informationen ermittelt werden – sei es innerhalb oder außerhalb von IT-Systemen. In einem ersten Schritt ist es auch sinnvoll, sich schon über den Schutzbedarf dieser Informationen Gedanken zu machen: Gibt es also Informationen, die bezüglich der Vertraulichkeit, Integrität oder Verfügbarkeit von besonderer Wichtigkeit sind? Sie können softwaregestützt den Schutzbedarf erfassen, die Objekte modellieren und Angaben zur Business Impact Analyse und Business Continuity Management definieren.

Schritt 5: Management der Informationssicherheitsrisiken

Die ISO 27001 fordert u. a. Maßnahmen zum Umgang mit Risiken und deren regelmäßige Beurteilung und Behandlung festzulegen. Die geforderten Punkte aus der ISO 27001 können mithilfe der Software ibi systems iris umgesetzt werden. Nach erfolgter Risikoerfassung und Risikobewertung können Sie im nächsten Schritt Maßnahmen definieren.

Schritt 6: ISMS-Betrieb

Mithilfe der Software ibi systems iris lässt sich Ihr ISMS effektiv betreiben. Sie können u. a. Audit / Prüfungen durchführen, Indikatoren bzw. Kennzahlen definieren und tracken und Sicherheitsvorfälle dokumentieren. Audit bzw. Prüfungen werden zuerst geplant, durchgeführt und anschließend können Berichte erzeugt werden. Des Weiteren können Sie Kennzahlen definieren und diese grafisch aufbereitet beobachten. Sicherheitsvorfälle können ebenfalls in ibi systems iris softwaregestützt dokumentiert und mit Risiken verknüpft werden.

Vorteile des Einsatzes von ibi systems iris

  • Direkte Hinterlegung von Dokumenten und Erstellung von Feststellungen bzw. Schwachstellen
  • Ständig aktueller und verfügbarer Nachweis im ISMS Betrieb und bei der Zertifizierung (SoA)
  • Zuständigkeiten für Assets und Prozesse sind klar definiert
  • Automatisierte Handlungsempfehlungen je Kategorie (Gefährdungen und Maßnahmen)
  • Modellierung inkl. (vererbten) Schutzbedarf
  • Erfassung, Bewertung und Behandlung der Risiken nach definiertem Risikoprozess
  • Regelmäßige oder Ad-hoc-Reports über aktuelle Risikolage abrufbar
  • Aktuelle Prüfergebnisse, Kennzahlen und Informationen zu Vorfällen etc.
  • Reportfunktion für Prüfungen bzw. Audits

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Leitfaden – Systemgestütztes ISMS nach ISO 27001

Branchenspezifischer Sicherheitsstandard (B3S) für Krankenhäuser

Um die IT-Sicherheit zu erhöhen wurde im Jahr 2015 das IT-Sicherheitsgesetz verabschiedet. Laut dem Gesetz sind branchenspezifische Maßnahmen zu treffen, um kritische Infrastrukturen besser zu schützen. So wurde für den Gesundheitssektor der B3S für Krankenhäuser im Jahr 2019 in der Version 1.1 veröffentlicht. Der Schwellenwert zur Identifikation kritischer Infrastrukturen wurde auf 30.000 vollstationäre Behandlungsfälle festgelegt. Der B3S dient dem Anwender als Hilfestellung und als Prüfgrundlage zum Umsetzungsstand. Der B3S beinhaltet neben allgemeinen Anforderungen an Betreiber kritischer Infrastrukturen auch spezifische Anforderungen an das Risikomanagement sowie eine Übersicht über Kernprozesse von Krankenhäusern. Darüber hinaus werden diverse Bedrohungsszenarien beschrieben und abschließend branchenspezifische Anforderungen und Maßnahmenempfehlungen behandelt.

Übersicht der Kernprozesse und Funktionszuordnungen

Nutzung des B3S als Kompendium in ibi systems iris

In unserer Software ibi systems iris haben Sie die Möglichkeit den B3S für Krankenhäuser als Regelwerk zu nutzen. Somit können Sie die verschiedenen Kapitel als Grundlage bzw. betroffene Elemente zu diversen Datensätzen (u. a. Risiken, Prüfungen und Maßnahmen) verknüpfen. Dadurch dokumentieren Sie die komplette Umsetzung inkl. der gesetzlichen Grundlage auf der diese basiert.

B3S im Funktionsbereich „Regelwerke“

Risikobehandlung bzw. Maßnahmenumsetzung in ibi systems iris

Des Weiteren ist es möglich die Empfehlungen aus dem B3S direkt in der Software ibi systems iris in Form von Maßnahmen umzusetzen. Sie haben die Möglichkeit sich per Knopfdruck den derzeitigen Stand der Maßnahmenplanung und Maßnahmenumsetzung zu generieren. Mit Hilfe des Benachrichtigungssystems wird die Kollaboration zwischen den Benutzern gefördert und auf anstehende Aufgaben hingewiesen. Außerdem können Sie die Maßnahmen näher beschreiben, einen Zieltermin setzen und weitere Daten wie beispielsweise die Priorität oder ein Themengebiet definieren. Durch die Export/Import-Funktion innerhalb der Software können Sie sich darüber hinaus sämtliche Listenansichten ausgeben lassen oder bereits bestehende Daten (u. a. Maßnahmen und Risiken) in ibi systems iris migrieren.

B3S im Funktionsbereich „Maßnahmen“

Prüfgrundlage in ibi systems iris

Vor einer Prüfungsdurchführung ist es selbstverständlich möglich die Prüfung zu planen. Folglich haben Sie in ibi systems iris die Möglichkeit Prüfer, Reviewer, die Prüfzeiträume und den Prüfungsabschluss zu definieren. Der B3S kann in der Software ibi systems iris ferner als Prüfgrundlage verwendet werden. Sie haben dadurch die Möglichkeit während der Prüfungsdurchführung jederzeit die Anforderungen aus dem B3S einsehen zu können. Bei der Prüfungsdurchführung können schließlich Feststellungen wie z. B. Abweichungen oder Verbesserungspotenziale identifizieren und Dokumente anhängen.

B3S im Funktionsbereich „Prüfungen“

Nachdem Sie den Umsetzungsstatus des B3S bewertet haben, können Sie in der Software ibi systems iris einen Auditbericht erstellen. Dabei können Sie aus einer Vielzahl von Standardreports wählen. Des Weiteren ist es jederzeit möglich eigene Berichte durch unsere angebundene Reporting-Engine zu erstellen und als Vorlage zu hinterlegen. Unser Standardreport für Prüfungen gibt Ihnen eine Übersicht der Anforderungen aus dem B3S aus. Sie erhalten zu jeder Anforderung die vom Prüfer angegebenen Informationen hinsichtlich Umsetzungsergebnis, Status und Kommentar.

Mehr zum Vorgehen mit ibi systems iris für Kliniken finden Sie hier.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

Allgemeines und Zielgruppe von ISIS12

ISIS12 ist ein sequenzielles Vorgehensmodell (bestehend aus Katalog und Handbuch) zur Implementierung eines Informationssicherheitsmanagementsystems (ISMS). Die im Katalog definierten Bausteine von ISIS12 enthalten allerdings Anforderungen aus der ISO/IEC 27000-Normenreihe, dem IT-Grundschutz und der Datenschutzgrundverordnung (DSGVO). Somit kann das mit Hilfe von ISIS12 aufgebaute ISMS auch als Grundlage für eine später angestrebte ISO/IEC 27001-Zertifizierung dienen. Schließlich besteht das Vorgehen aus zwölf Schritten, die sich in drei Phasen einteilen lassen:

  • Initialisierungsphase
  • Aufbau- und Ablauforganisation
  • Entwicklung und Umsetzung ISIS12Konzept

Die Zielgruppe von ISIS12 ist dabei klar definiert. Es richtet sich an kleine und mittlere Unternehmen (KMUs) sowie kommunale Verwaltungen und zeichnet sich durch Kompaktheit, Überschaubarkeit und Strukturierung aus.  

Neuerungen und Änderungen in ISIS12 2.0

Neuerungen ISIS12 2.0

In ISIS12 2.0 sind nicht alle zwölf Schritte von Änderungen betroffen. Schritt 9 und 10 werden zu „Planen und Umsetzen“ zusammengefasst. Darüber hinaus werden optionale Einstiegsmöglichkeiten für wichtige Anforderungen aus der ISO/IEC 27000-Normenreihe und IT-Grundschutz ergänzt. Das Thema Risikomanagement (BSI-Standard 200-3 bzw. ISO/IEC 27005) wird ferner optional als neuer Schritt 8 hinzugenommen. Die Modellierung der Sicherheitsmaßnahmen (bis ISIS12 1.9 in Schritt 8) wird unter Schritt 6 ebenfalls mit der Identifikation kritischer Applikationen zusammengeführt. Darüber hinaus wird in Schritt 11 mit dem internen Audit ein optionaler Pfad aufgenommen, was insbesondere im Rahmen der ISO/IEC 27000-Normenreihe ein wichtiger Punkt ist.

ISIS12 2.0 zeichnet sich insbesondere durch die Flexibilität hinsichtlich des möglichen Ausbaus hin zu IT-Grundschutz und/oder der ISO/IEC 27000-Normenreihe aus. Des Weiteren wird die Einbindung individueller Anforderungen wie eine alleinstehende Risikobetrachtung deutlich verbessert.

Vor allem die Einbindung optionaler Pfade wird es dem Anwender erleichtern, ISIS12 auf seine Bedürfnisse und perspektivischen Anforderungen hin anzupassen.

Sandra Wiesbeck, Vorstandsvorsitzende & Leiterin Bayerischer IT-Sicherheitscluster e.V.

Softwaregestützte Umsetzung von ISIS12 2.0 mit ibi systems iris

ISIS12 2.0 mit ibi systems iris

Die Software ibi systems iris unterstützt neben den gängigen Standards wie IT-Grundschutz und der ISO/IEC 27000-Normenreihe selbstverständlich auch ISIS12 2.0, welches einen sehr guten Einstieg in das Thema Informationssicherheit für KMUs darstellt. ibi systems iris findet dabei insbesondere für die Schritte 6 – 11 Anwendung:

Schritt 6, Kritische Applikationen identifizieren + Sicherheitsmaßnahmen modellieren

In ibi systems iris können alle kritischen Applikationen als Assets angelegt, als kritisch gekennzeichnet und später danach gefiltert werden. Maßnahmen (inkl. Angabe der Verantwortlichkeiten) werden auf Basis von Maßnahmenkatalogen, Handlungsempfehlungen und/oder manuell definiert.

Schritt 7, IT-Struktur analysieren

Die IT-Struktur wird in ibi systems iris unter dem Funktionsbereich Architektur abgebildet. Hier werden Assets und Prozesse erfasst und zueinander modelliert sowie eine Schutzbedarfsfeststellung durchgeführt. Auf Basis der Modellierung findet eine Vererbung des Schutzbedarfs nach dem Maximalprinzip statt.

Schritt 8, Risikomanagement (optional)

ibi systems iris ermöglicht ein umfassendes Risikomanagement. Bei der Beschreibung eines Risikos kann dabei eine Vielzahl an Verknüpfungen (u. a. mit Bedrohungen/Gefährdungen, Schwachstellen, Assets) hinzugefügt werden. Das Risiko wird im Anschluss bewertet und dabei auh eine Risikobehandlungsstrategie inkl. Maßnahmen zugewiesen. Nach der Risikobehandlung erfolgt eine Neubewertung des Risikos. Dieser iterative Bewertungs- und Behandlungsprozess wird so lange durchlaufen, bis das Risiko akzeptiert werden kann und dann so im Unternehmen verbleibt. Die Dokumentation der Risikobehandlung (auch über den Zeitverlauf) kann dabei jederzeit eingesehen und exportiert werden. Außerdem wird mit der Software ein schneller Überblick über den Status quo aller aktuellen Risiken ermöglicht.

Schritt 9, SOLL-IST vergleichen

Ein SOLL-IST-Vergleich wird in ibi systems iris durch eine Prüfung ermöglicht. Bei den einzelnen Kontrollen wird festgehalten, ob eine Anforderung umgesetzt wurde oder ob Nachbesserung erforderlich ist. Allgemein können bei den Kontrollen einer Prüfung Feststellungen (z. B. Abweichungen, Schwachstellen, Verbesserungspotenziale) identifiziert und darauf wiederum Maßnahmen zugewiesen werden.

Schritt 10, Umsetzung planen + Umsetzung

Die unter Schritt 6 definierten Maßnahmen werden in iris den Empfängern zur Umsetzung zugewiesen. Die Software unterstützt folglich eine Rollentrennung zwischen Maßnahmenverantwortlichem und Maßnahmenumsetzer.

Schritt 11, Jährlicher Bericht des Informationssicherheitsbeauftragten + internes Audit (optional)

Durch Dashboards, Exportmöglichkeiten der Listenansichten und Generierung von Reports basierend auf Vorlagen sind die Berichtsmöglichkeiten durch ibi systems iris sehr umfangreich. Ein internes Audit inkl. Feststellungen und weiterem Follow-up durch Maßnahmen ist in Form von Prüfungen in ibi systems iris möglich.

Übergreifend zum Thema DSGVO

Hinsichtlich DSGVO unterstützt ibi systems iris bei der Erstellung eines Verfahrensverzeichnisses und der Risikofolgeabschätzung.

Fazit

Durch den Einsatz der Software ibi systems iris wird die Umsetzung von ISIS12 maßgeblich unterstützt. Mit der softwaregestützten ISIS12-Umsetzung als Einstiegspunkt zur Informationssicherheit schlagen Sie eine Brücke zur möglichen Zertifizierung z. B. nach ISO 27001. Mit ibi systems iris haben Sie von Anfang an ein verlässliches Tool zur Hand, welches Sie in allen Belangen der Informationssicherheit unterstützt.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

Hintergrund und Vorteile von Cloud Vendor Assessments (CVA)

Auf dem aktuellen Markt existieren unzählige Cloud-Dienstleister mit unterschiedlichen Sicherheitskonzepten und -zertifizierungen. Unternehmen, die Cloud-Lösungen nutzen wollen, sind dabei oftmals um die Sicherheit ihrer Daten besorgt. Durch Cloud Vendor Assessments wird das Sicherheitsniveau von Cloud-Dienstleistern beurteilt.

Mit einem individuellen Assessment kann das Sicherheitsniveau der Provider toolgestützt, nachvollziehbar und vergleichbar beurteilt werden. Die Ergebnisse des Assessments fließen danach u. a. in die unternehmenseigenen Risikobewertungen ein. Die Prüfung der Anbieter (Vendoren) sollte ferner in regelmäßigen Abständen wiederholt werden. Der aktuelle Status eines bewerteten Cloud Vendors kann darüber hinaus jederzeit eingesehen und die Entwicklung des Sicherheitsniveaus über den Zeitverlauf nachvollzogen werden. Des Weiteren sollten für die im Rahmen des Assessments identifizierten Feststellungen geeignete Maßnahmen zu deren Behandlung definiert und umgesetzt werden.

Zu den Vorteilen von Cloud Vendor Assessments sind neben der aktuellen Information über den Status der Informationssicherheit die folgenden Punkte zu nennen:

  • Schutz des unternehmenseigenen geistigen Eigentums
  • Schutz von Kundendaten und damit Schaffung von Vertrauen bei eigenen Kunden
  • Erfüllung gesetzlicher Verpflichtungen
  • Größere Genauigkeit bei eigenen Risikobewertungen

Cloud Vendor Assessment (CVA) mit ibi systems iris

Durch den Einsatz der Software ibi systems iris, können Cloud Vendor Assessments für jeden Vendor zentral geplant und durchgeführt werden. Durch die Sammlung der Ergebnisse in nur einem Tool, ist somit die gesamtheitliche Übersicht über alle relevanten Informationen stets gewährleistet. Die Software ermöglicht also eine zentrale Einsicht auf die Ergebnisse der Self-Assessments, identifizierte Feststellungen und durchgeführte (Gegen)Maßnahmen bei jedem Vendor.

Toolgestützte Cloud Vendor Assessments (CVA)
Cloud Vendor Assessments (CVA) mit ibi systems iris

Im Folgenden die Schritte für ein beispielhaftes Vorgehen mit der Software ibi systems iris:

  1. Zentrale Erstellung von Prüfvorlagen für die (Self-)Assessments
  2. Zentrale Planung und Zuweisung der (Self-)Assessments
  3. Durchführung der (Self-)Assessments bei bzw. durch die Vendoren
  4. Reporting der Assessment-Ergebnisse inkl. Feststellungen an zentrale Stelle
  5. Zentrale Definition und Verteilung von Maßnahmen als Reaktion auf identifizierten Feststellungen
  6. Umsetzung der zugewiesenen Maßnahmen durch die Vendoren
  7. Rückmeldung bzw. Reporting des Umsetzungsstatus der Maßnahmen an zentrale Stelle

Fazit

Ein Unternehmen sollte zur Verbesserung der Informationssicherheit in jedem Fall Cloud Vendor Assessments durchführen. Am besten werden diese dabei durch ein Tool unterstützt, an zentraler Stelle geplant und die Ergebnisse gesammelt. Damit ist es möglich die Vendoren hinsichtlich des Status der Informationssicherheit schnell und einfach zu vergleichen sowie bei Mängeln mit angemessenen Maßnahmen bzw. Maßnahmenzuweisungen zu reagieren.

Die Webanwendung ibi systems iris unterstützt Sie bei der Planung, Steuerung und Kontrolle von Cloud Vendor Assessments. So kann zum Beispiel nach dem Anforderungskatalog Cloud Computing (C5) mit Hilfe der Software geprüft werden. Starten daher auch Sie mit ibi systems iris und optimieren Sie Ihr Vorgehen!

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Warum ein ISMS-Tool eine sinnvolle Investition darstellt

Nach einer Umfrage von bitkom, die Ende 2018 durchgeführt wurde, gaben sieben von zehn befragten Unternehmen an, in den vergangenen beiden Jahren Opfer von Sabotage, Datendiebstahl oder Spionage gewesen zu sein. Dabei entstand ein Gesamtschaden von über 43 Milliarden Euro! Diese Zahl veranschaulicht daher die Dringlichkeit, in die Verbesserung der IT-Sicherheit zu investieren und angemessene Maßnahmen zu ergreifen.

„Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.“

www.security-insider.de

Eine toolgestützte ISMS-Implementierung etwa auf Basis der ISO 27001 ist dabei aus folgenden Gründen sinnvoll:

Generierung eines Wettbewerbsvorteils

Einem Unternehmen, das seine sensiblen Daten schützt, wird folglich in der Regel mehr Vertrauen entgegengebracht. Häufig wird auch darauf geachtet, dass Zulieferer ein bestimmtes Niveau an IT-Sicherheit einhalten. Wer nachweisen kann, dass Informationssicherheitsmaßnahmen umgesetzt werden, sichert nicht nur die Zukunft des Unternehmens, sondern schafft dafür auch einen Wettbewerbsvorteil.

Vermeidung teurer IT-Vorfälle

Maßnahmen zu ergreifen und damit Vorsorge zu leisten, ist grundsätzlich immer besser als nichts zu tun. Dies sollte ferner natürlich in einem angemessenen Kosten-Nutzen-Verhältnis stehen und die Umsetzung dokumentiert sein.

Erhöhung der Transparenz

Darstellung des Status der Informationssicherheit eines Unternehmens in übersichtlicher Art und Weise, um so einen regelmäßigen Management-Review zu ermöglichen.

Erhöhung der Qualität

Verfolgung eines bewährten und nachvollziehbaren Vorgehens bei der Implementierung eines ISMS nach dem PDCA-Zyklus. Das ISMS kann dadurch kontinuierlich überwacht und verbessert werden.

Senkung von Kosten

Vermeidung von Redundanzen und Doppelarbeiten durch die einheitliche Erfassung der ISMS-Aktivitäten in einem einzigen Tool.

Welche Anforderungen sollte ein ISMS-Tool erfüllen

Bei der Auswahl eines ISMS-Tools sind die Anforderungen abhängig von der Unternehmensgröße, dem bereits definierten Prozessen als auch von bevorzugter Technik und Betriebsform (Webanwendung? SaaS? On Premises?). Welche Anforderungen erfüllt sein sollten, sind im Folgenden aufgeführt:

Dashboards und Report-Generierung

Grafischer Überblick über alle relevanten Informationen und umfassende Exportmöglichkeiten in Form von Reports.

Integrierte Regelwerke, Standards und Richtlinien

Möglichkeit der Abbildung bzw. Unterstützung verschiedener Standards (z. B. ISO 27001, ISO 27019, IT-Sicherheitskatalog, TISAX, VDA etc.) sowie deren Verknüpfung zu anderen Datensätzen in der Software (Risiken, Schwachstellen, Maßnahmen etc.).

Durchführung von Audits

Softwareunterstützung beim gesamten Audit inklusive Follow-Up (Zuweisung von Aufgaben und Verantwortlichkeiten, Durchführung von Kontrollen, Erstellung des Statement of Applicability, Schwachstellenmanagement, Maßnahmendefinition etc.)

Management von Risiken

Beschreibung, Bewertung und Behandlung des Risikos sollten unbedingt Bestandteil eines ISMS-Tools sein. Am Ende sollten die aktuellen Bewertungen der Risiken in einer Risikomatrix visualisiert werden und der Umgang mit den Risiken über den Zeitverlauf einsehbar bzw. nachvollziehbar sein.

Workflowfähigkeit

Um die Vorgehensweise z. B. bei der Anlage von Datensätzen genauer einzugrenzen und den Benutzer an die Hand zu nehmen (User Guidance), sollten individuelle Workflows vorgegeben werden können.

Mandantenfähigkeit

Basierend auf einem Berechtigungskonzept sollte die Trennung von Datensätzen für verschiedene Mandanten möglich sein. Darüber hinaus wäre es sinnvoll, wenn die Möglichkeit bestünde, individuelle Berechtigungen auf Datensatzebene (zeitlich befristet oder dauerhaft) anzupassen.

Flexibilität

Es sollte möglich sein, die Datensätze und die Verknüpfungen untereinander in beliebiger Reihenfolge anzulegen.

Konfigurierbarkeit

Die Software sollte umfangreiche Konfigurationsmöglichkeiten aufweisen, um den Kunden eine bestmögliche Anpassung der Software an deren individuelle Anforderungen und Wünsche zu ermöglichen.

Fazit

Im Rahmen der erwähnten Umfrage von bitkom gaben schließlich zwei Drittel der befragten Unternehmen als künftige Bedrohung den Mangel an IT-Sicherheitskräften an. Um diesem Mangel an IT Sicherheitskräften mit Effizienzsteigerungen entgegenzuwirken, sollte daher unbedingt ein ISMS-Tool wie die ibi systems iris genutzt werden. Damit lassen sich die ISMS-Prozesse nicht nur effizienter durchführen, sondern auch der Überblick über den Status quo bleibt erhalten und es können jederzeit und bequem Reports für das Management generiert werden. Eine toolgestützte ISMS-Implementierung ist also sehr zu empfehlen.

Die Wichtigkeit der erwähnten Anforderungen an ein ISMS-Tool ergibt sich ebenfalls aus den individuellen Präferenzen der Anwender. Die Auflistung hat dahe keinen Anspruch auf Vollständigkeit, stellt aber eine gute Basis für eine erfolgversprechende Auswahl eines ISMS-Tools dar.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

Bußgeldregelungen bei Verletzung der Pflichten des Verantwortlichen

Regelungen zu den Bußgeldern sind in Artikel 83 der DSGVO zu finden. Geldbußen müssen demnach wirksam, verhältnismäßig, aber auch abschreckend sein.

  • Bei Verstößen gegen die Pflichten des Verantwortlichen oder des Auftragsverarbeiters werden Bußgelder von bis zu 10 Millionen Euro fällig oder bei Unternehmen von bis zu zwei Prozent des weltweiten Umsatzes des Vorjahres. Der jeweils höhere Betrag zählt.
  • Das Gleiche gilt, wenn Zertifizierungsstellen oder Überwachungsstellen ihre Pflichten verletzen.
  • In diesen Bereich fällt auch die Einhaltung der Vorschrift, dass Kinder erst ab 16 Jahren selbst in die Datenverarbeitung einwilligen dürfen. Das hatte übrigens auch Auswirkungen auf die Nutzung von Facebook und WhatsApp.
  • Beispiele: fehlendes Vorhandensein eines Verzeichnisses der Verarbeitungstätigkeiten, unzureichende Sicherheitsvorkehrungen bei der Datenverarbeitung oder nichtrdnungsgemäße Erfüllung der Aufgaben durch den betrieblichen Datenschutzbeauftragten.

Ausgangslage

Die im Jahr 2016 verabschiedete europäische Datenschutzgrundverordnung (DSGVO) schafft einen gemeinsamen rechtlichen Rahmen für das Datenschutzrecht innerhalb der Europäischen Union (EU). Dabei ergeben sich für viele Unternehmen Veränderungen und neue Pflichten. Ein besonderes Augenmerk sollte dabei auf den verfolgten risikobasierten Ansatz hinsichtlich technisch-organisatorischer Maßnahmen gelegt werden.

Seit dem 25. Mai 2018 ist die neue DSGVO direkt anwendbar. Somit löst das neue EU-Recht das bisherige Bundesdatenschutzgesetz (BDSG) und die Datenschutzrichtlinie (Richtlinie 95/46/EG) ab. Gleichzeitig zur neuen DSGVO tritt ferner eine neue Fassung des BDSG in Kraft, welches die DSGVO konkretisiert. Des Weiteren sind Neuerungen mit der EU-e-Privacy- Verordnung abzusehen. Dabei sorgte die neue Regelung nicht nur für eine einheitliche Datenschutzregelung innerhalb der EU, sondern auch für Furore und Verängstigungen, denn die Regelungen erscheinen kompliziert und die Strafmaßnahmen im Fall von Verstößen sind empfindlich.

Bußgeldregelungen bei Verstößen gegen Grundsätze der Datenverarbeitung

Härter sind die Strafen im Falle eines Verstoßes gegen die Grundsätze der Datenverarbeitung. Der Fokus liegt hierbei auf der Frage ob Daten überhaupt erhoben bzw. verarbeitet werden dürfen und hierfür die entsprechenden Bestimmungen eingehalten wurden.

  • Wer Daten verarbeitet, obwohl er es eigentlich gar nicht darf, muss mit Geldbußen von bis zu 20 Millionen Euro rechnen oder bis zu vier Prozent des Unternehmensumsatzes des Vorjahres. Auch hier gilt der Betrag, der höher ist.
  • Wer sich einer Anweisung der Aufsichtsbehörde widersetzt, muss mit denselben Bußgeldern rechnen.
  • Vergehen in dieser Kategorie liegen beispielsweise vor, wenn Daten ohne vorherige Einwilligung des Betroffenen verarbeitet werden oder die Rechte des Betroffenen verletzt werden.
  • Das kann schon der Fall sein, wenn ein Unternehmen seiner Informationspflicht gegenüber den Betroffenen über die Datenverarbeitung nicht nachkommt oder es kein Löschkonzept gibt. Betroffene haben das Recht auf Vergessenwerden, wenn der Zweck für die Datenverarbeitung weggefallen ist.
  • Dieselben Strafen werden verhängt, wenn personenbezogene Daten in Drittländer oder internationale Organisationen übermittelt werden und die extra dafür vorgesehenen Paragrafen der DSGVO missachtet werden.

Die Schonfrist ist vorbei

Die erste Zeit der Zurückhaltung ist vorbei. Das erste höhere Bußgeld in Europa kam von der Datenschutzbehörde in Portugal. Aufgrund mangelhafter Zugriffsbeschränkungen wurde ein Bußgeld von 400.000 Euro gegen ein Krankenhaus verhängt. Im November 2018 wurde in Baden-Württemberg das erste Bußgeld nach Art 83. DSGVO verhängt. Und auch gegen den Internetriesen Google wurde in Frankreich eine Rekordstrafe in Höhe von 50 Millionen Euro verhängt.

Zahlreiche Verfahren laufen noch – allein in Bayern sind es über 80. Dabei wurde der Großteil der Verfahren durch Beschwerden Betroffener ausgelöst. Bußgelder, Schadenersatzforderungen bis hin zu Freiheitsstrafen bei Vorsatz.

Werden Sie aktiv!

Das Risiko infolge mangelhafter Datenverarbeitung oder suboptimaler Datensicherheit zur Rechenschaft gezogen zu werden, ist deutlich gestiegen. Folgende strategische Überlegungen sollten Unternehmen treffen:

Effektive Umsetzung der DSGVO

„Angriff ist die beste Verteidigung“. Um Strafen zu vermeiden sollten die Anforderung der DSGVO und der jeweiligen nationalen Vorschriften erfolgreich umgesetzt werden. Nicht nur belastbare Strukturen und Prozesse, sondern auch ein effektives Datenschutz- bzw. Compliance-Managementsystem sind unerlässlich.

Schwachstellen identifizieren

Wie bereits erwähnt entsteht der Großteil der Bußgeldverfahren durch die Beschwerde betroffener Personen. Es ist daher ratsam gerade in besonders gefährdeten Bereichen, bspw. Beschwerden von Beschäftigten, besonders genau hinzusehen. Ein besonderes Konfliktpotential bergen Kontrollmechanismen.

Prozessorientierte Dokumentation

Mit der neuen DSGVO wurde das sogenannte Rechenschaftsprinzip, Art. 5 Abs. 2 DSGVO, eingeführt. Die verantwortliche Person, häufig die Unternehmensleitung, muss durch eine umfangreiche Dokumentation nachweisen, dass die Datenschutzregel eingehalten werden. Neben Verfahrensverzeichnisses bis hin zu Checklisten für eventuelle Datenschutzpannen- die Liste ist lang und die Dokumentation daher unübersichtlich. Medienbrüche, Informationsverluste und ein damit einhergehendes steigendes Risikopotential sind die Folge.

Fazit

Unternehmen sollten daher nicht tatenlos abwarten, sondern auf professionelle Unterstützung bauen. Die Anforderungen hieran sollten nicht zu niedrig liegen, denn die Verantwortung für die korrekte Umsetzung des Datenschutzes liegt ausschließlich beim Unternehmen selbst.

ibi systems iris ist eine ISMS- und GRC-Software durch die Sie nicht nur die Einhaltung der DSGVO mittels Audits überprüfen, sondern gleichzeitig Schwachstellen und Risiken erkennen und mittels geeigneter Maßnahmen beseitigen. ibi systems iris unterstützt damit nachgewiesen die Einhaltung der Anforderungen der DSGVO.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • Art. 82 DSGVO: Allgemeine Bedingungen für die Verhängung von Geldbußen, Online im Internet: https://dsgvo-gesetz.de/art-83-dsgvo/, Abfrage: 04.02.2018, 15:49 Uhr.
  • IHK Osnabrück, Emsland, Grafschaft Bentheim: Stichtag 25. Mai 2018: EU-Datenschutzrecht, Online im Internet: https://www.osnabrueck.ihk24.de/blob/osihk24/recht_und_fair_play/recht/Downloads/3936174/8b15a20815b682588d036e5076d51a72/Ueberblick-EU-DSGVO-data.pdf, Abfrage: 05.02.2018, 15:07 Uhr.
  • ePrivacy-Verordnung: Die Ergänzung zur EU-Datenschutzverordnung, Online im Internet: https://www.datenschutz.org/eprivacy-verordnung/, Abfrage: 13.02.2019, 10:44 Uhr.
  • DSGVO-Verstoß: Krankenhaus in Portugal soll 400.000 Euro zahlen, Online im Internet: https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Portugal-soll-400-000-Euro-zahlen-4198972.html, Abfrage: 13.02.2019, 10:36 Uhr.

Inhalte der BAIT

Die BaFin veröffentlichte am 3.11.2017 ein verbindliches Regelwerk über die Bankaufsichtlichen Anforderungen an die IT (BAIT). Darin werden KWG und MaRisk konkretisiert bzw. ergänzt. In dem 20-seitigen Schreiben spezifiziert die BaFin des Weiteren Anforderungen an IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte, Anwendungsentwicklung, IT-Betrieb (inkl. Datensicherung) und Auslagerungen von IT-Dienstleistungen. Darüber hinaus sollen bei der Ausgestaltung der IT-Systeme und der dazugehörigen Prozesse auch gängige Standards wie die IT-Grundschutzkataloge oder ISO/IEC 2700X herangezogen werden.

Nach der BAIT ist eine Informationssicherheitsleitlinie durch die Geschäftsleitung zu definieren. Zu deren Unterstützung und zur Vermeidung von Interessenskonflikten ist zudem verbindlich, die organisatorisch und prozessual unabhängige Funktion eines Informationssicherheitsbeauftragten einzurichten. Zudem verfasst der Informationssicherheitsbeauftragte quartalsweise Berichte an die Geschäftsleitung über alle Probleme und besonderen Vorkommnisse, die die IT-Sicherheit betreffen.

Zentrale Aspekte der BAIT sind ein sicheres und nachvollziehbares IT-Management und ein konkretisiertes IT-Risikomanagement. So sind konsistente Prozesse für die Vergabe von Benutzerberechtigungen zu definieren und das Vorgehen soll dabei nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) erfolgen. Im Rahmen des Informationsrisikomanagements sollen Informationsverbünde mit gegenseitigen Abhängigkeiten modelliert werden und dabei Schutzziele für die einzelnen Bestandteile festgehalten werden. Die Geschäftsleitung ist ferner quartalsweise über die Ergebnisse der Risikoanalyse und Veränderungen an der Risikosituation zu unterrichten.

Unterstützung durch ibi systems iris

In ibi systems iris werden viele Teilbereiche einzeln, aber auch in Verbindung mit anderen Bereichen und somit gesamtheitlich betrachtet. ibi systems iris unterstützt bei der Umsetzung der Anforderungen aus den BAIT und gewährleistet stets einen umfassenden Überblick über alle Aspekte der Informationssicherheit.

Die BAIT – aber auch KWG, MaRisk, ISO/IEC 2700X und die IT-Grundschutzkataloge des BSI – werden in ibi systems iris unter den Regelwerken hinterlegt und mit anderen relevanten Elementen in Verbindung gebracht.

Der Informationsverbund eines Unternehmens wird mittels Assets und Prozessen abgebildet und deren Abhängigkeiten zueinander modelliert. Für jedes Asset und jeden Prozess ist es möglich, den Schutzbedarf für die vier Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und „Authentizität“ festzustellen. Dabei kann der Schutzbedarf manuell eingegeben werden und/oder sich durch Vererbung basierend auf der Modellierung ergeben. Des Weiteren können Dokumente, Feststellungen (z.B. Schwachstellen), Prüfungen und Kennzahlen in der Software angelegt werden.

Der Informationssicherheitsbeauftragte kann mit dem Tool alle Belange der Informationssicherheit managen und z.B. Maßnahmen definieren sowie ein effektives Informationsrisikomanagement für das Unternehmen etablieren. Die Risiken werden dabei angelegt, mit den relevanten Elementen verknüpft (u.a. bestimmte Kapitel eines Regelwerks wie den BAIT, betroffene Assets und/oder Prozesse, Schwachstellen), in einem iterativen Vorgehen bewertet und mit geeigneten Maßnahmen zur Risikobehandlung in Verbindung gebracht.

Ein umfangreiches Reporting mit individueller Berichtserstellung gewährleistet stets einen gesamtheitlichen Überblick über alle Belange der Informationssicherheit. So werden etwa die quartalsweisen Berichte an die Geschäftsleitung im Handumdrehen und mit nur wenigen Klicks erstellt.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • Bundesanstalt für Finanzdienstleistungsaufsicht (2017): Bankaufsichtliche Anforderungen an die IT (BAIT), Online im Internet: https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.pdf?__blob=publicationFile&v=6, Abfrage: 11.01.2018, 14:43 Uhr.