Management Summary

Nachdem bislang der BSI-Standard 100-4 „Notfallmanagement“ eine Hilfestellung für das Business Continuity Management (BCM) bietet, wird derzeit der BSI-Standard 200-4 „Business Continuity Management“ als Modernisierung des bisherigen Standards aufbereitet. Der neue BSI-Standard 200-4 wird den BSI-Standard 100-4 ablösen. Dieser soll als alleinstehender Standard anwendbar sein und den Aufbau und die Etablierung eines Business Continuity Management Systems (BCMS) mithilfe praxisnaher Anleitungen unterstützen.

Die umfassenden Neuerungen können bereits in der vorläufigen Version, die auf der Webseite des BSI heruntergeladen werden kann, eingesehen werden.

Kerninhalte des BSI-Standards 200-4

Anschließend möchten wir Ihnen einen kurzen Überblick über die Kerninhalte des BSI-Standards 200-4 geben.

Planung des BCMS (Plan)

In der ersten Phase „Planung des BCMS“ werden die Anforderungen relevanter Interessensgruppen an das BCMS analysiert, die Dokumentation wird näher festgelegt und die Leitlinie verfasst.

Umsetzung des BCMS (Do)

Im Rahmen der zweiten Phase „Umsetzung des BCMS“ wird die Besondere Aufbauorganisation (BAO) aufgebaut und befähigt. Das heißt, dass sie im Krisen- und Notfall erreichbar und handlungsfähig ist. Im Fokus dieser Phase stehen die Geschäftsprozesse. Sie sollen erfasst und angemessen abgesichert werden. Die Software ibi systems iris bietet hier umfassende Unterstützungsmöglichkeiten, welche in einem der folgenden Kapitel aufgezeigt werden.

Überprüfung des BCMS (Check)

Bei der „Überprüfung des BCMS“ wird anhand von Tests und Übungen überprüft, ob die in der Theorie beschriebenen Strukturen, Notfallpläne und im Besonderen die reaktiven Maßnahmen auch in der Praxis wirksam sind. Darüber hinaus wird mittels Leistungsüberprüfungen untersucht, ob die Vorgaben des BCMS eingehalten und die Ziele erreicht werden.

Korrektur und Verbesserung des BCMS (Act)

In der vierten Phase „Korrektur und Verbesserung des BCMS“ werden mithilfe der identifizierten Verbesserungsmöglichkeiten und Korrekturbedarfe konkrete Verbesserungs- und Korrekturmaßnahmen entwickelt, umgesetzt und weiter nachverfolgt.

Absicherung der Geschäftsprozesse mit der Software ibi systems iris nach BSI-Standard 200-4

Im Folgenden wird aufgezeigt, welche Schritte zur angemessenen Absicherung der Geschäftsprozesse notwendig sind und wie Sie unsere Software ibi systems iris bei der Umsetzung der Schritte unterstützen kann.

Vorgehen zur Absicherung der Prozesse nach BSI-Standard 200-4

Voranalyse

Um die Anzahl an Geschäftsprozessen zu beschränken, die in der anschließenden Business Impact Analyse untersucht werden, kann im ersten Schritt eine Voranalyse durchgeführt werden. Hierbei wird eine Vorauswahl getroffen, durch die auf die potenziell zeitkritischsten Prozesse eingegrenzt wird. Um auf zeitkritische Prozesse eingrenzen zu können, muss allerdings zuerst der Begriff „zeitkritisch“ definiert werden. Dies geschieht, indem ein Untersuchungszeitraum (z.B. innerhalb von 7 Tagen), Schadensszenarien (z.B. negative Außenwirkung) und Schadenskategorien (z.B. gering – sehr hoch) festgelegt werden. Durch ein Untragbarkeitsniveau wird dann in Form einer Schadenskategorie (z.B. hoch) die Grenze bestimmt, ab der die Auswirkungen durch den Ausfall eines Geschäftsprozesses nicht länger toleriert werden können.

Aufbauend darauf können die potenziell zeitkritischsten Prozesse identifiziert werden, indem ausgewählte Organisationseinheiten dazu befragt werden, ob bei einem Ausfall der Geschäftsprozesse dieser Organisationseinheit z.B. innerhalb von 7 Tagen hohe Schäden für die Institution zu erwarten sind.

In der Software ibi systems iris können die bei der Voranalyse festgelegten Schadensszenarien und Schadenskategorien bereits als Vorarbeit für die anschließende BIA individuell für Sie konfiguriert werden. Alternativ steht Ihnen diesbezüglich aber auch eine Standardkonfiguration zur Verfügung. Nachdem die zeitkritischsten Prozesse mittels der Befragungen bestimmt wurden, können diese in ibi systems iris bei den Prozessen erfasst und als kritisch vermerkt werden. In der Software werden alle Prozesse in einer filterbaren Listenansicht ausgegeben, wodurch mittels des Filters nach kritischen Prozessen eine schnelle Übersicht über alle kritischen Prozesse möglich ist.

Listenansicht kritischer Prozesse in iris

Business Impact Analyse (BIA)

Mittels der anschließenden Business Impact Analyse wird die Voranalyse verfeinert. Diesbezüglich wird untersucht, welche Geschäftsprozesse hinsichtlich des Analysebereichs zeitkritisch sind und ab wann es zu nicht tolerierbaren Auswirkungen durch deren Ausfall kommt.

In der Software ibi systems iris kann dies über die Schadensbewertung der Geschäftsprozesse ermittelt werden.

BIA in ibi systems iris

Hierbei wird das Schadenspotenzial (z.B. gering – sehr hoch) unterschiedlicher Schadensszenarien (z.B. negative Außenwirkung) zu unterschiedlichen Zeiten (z.B. 24 Stunden – 30 Tage) aufgezeigt. Daraus kann in Zusammenhang mit dem zuvor in der Voranalyse festgelegtem Untragbarkeitsniveau die maximal tolerierbare Ausfallzeit abgelesen und angegeben werden.

Für zeitkritische Geschäftsprozesse können zusätzlich die Prozessabhängigkeiten, die zugrundeliegenden Ressourcen und Wiederanlaufzeiten in der Software erfasst werden.

Soll-Ist-Vergleich

Bei dem folgenden Soll-Ist-Vergleich werden die geforderte Wiederanlaufzeit und die erreichbare Wiederanlaufzeit gegenübergestellt. Es wird überprüft, ob die Wiederanlaufzeit durch vorhandene organisatorische und technische Maßnahmen erreicht werden kann.

Um den Soll-Ist-Vergleich von Wiederanlaufzeiten in ibi systems iris durchführen zu können, werden die entsprechenden Zeiten inkl. Notfallaktivitäten bei den Prozessen eingetragen.

Für eine Übersicht des Vergleichs werden zuerst Notfallszenarien, die theoretisch eintreten könnten, mit Prozessen und Assets verknüpft, deren Ausfall sie verursachen können. Aus einem Notfallszenario für betroffene Assets und Prozesse kann anschließend ein Notfallereignis als Übung abgeleitet werden, bei dem der Soll-Ist-Vergleich der Wiederanlaufzeiten zu sehen ist.

Soll-Ist-Vergleich in ibi systems iris

Wird die geforderte Wiederanlaufzeit nicht erreicht, ermöglicht dies die Einschätzung möglicher Risiken. Diese können in der Software ibi systems iris unter anderem mit betroffenen Prozessen und Assets verknüpft werden.

BCM-Risikoanalyse und Business-Continuity-Strategien und -Lösungen

Die BCM-Risikoanalyse betrachtet die möglichen Ursachen für den Ausfall des Geschäftsbetriebs. Es wird ermittelt, gegen welche Gefährdungen der Geschäftsbetrieb abgesichert werden soll, bzw. bei welchen Gefährdungen das Risiko so hoch ist, dass abgesichert werden soll.

Um dies abzubilden, werden in ibi systems iris zuerst Risiken hinterlegt und mit den betroffenen Prozessen und Assets verknüpft. Mithilfe des Widgets „Zuordnungen“ oder geeigneter Filter lassen sich die Verknüpfungen übersichtlich darstellen und einfach erkennen. Im Anschluss kann die Risikoeinschätzung und -bewertung hinsichtlich der Schadenshöhe und Eintrittswahrscheinlichkeit eines Risikos anhand mehrerer alternativer Bewertungsmethoden (einfach, kategoriebasierte Bewertung mit Durchschnitt bzw. Maximalwert) durchgeführt werden. Hierbei wird zuerst eine (IST-)Bewertung vorgenommen. Danach kann als rein kalkulatorischer Wert noch eine SOLL-Bewertung angegeben werden, die die gewünschte Risikoentwicklung darstellt.

Risikobewertung mit ibi systems iris

Mittels einer Risikomatrix kann die erfolgte (IST-)Bewertung übersichtlich dargestellt und der weitere Handlungsbedarf im Sinne der Risikobehandlungsstrategie (z.B. Risikoreduktion) abgeleitet und der Software hinterlegt werden.

Risikomatrix in ibi systems iris

Die abgeleiteten Handlungsbedarfe bilden die Grundlage der weiteren Notfallplanung. Folglich müssen die Handlungsbedarfe mit Business-Continuity-Strategien und -Lösungen behandelt werden.

Hierfür können in ibi systems iris mögliche Maßnahmen mit den Risiken verknüpft werden. Nachdem eine Maßnahme umgesetzt und das Risiko behandelt wurde, erfolgt eine Neubewertung des Risikos in Form einer neuen (IST-)Bewertung.

Dieser iterative Vorgang wird solange wiederholt, bis das Risiko auf einem Niveau ist, welches so hingenommen werden kann (Risikobehandlung = Risikoakzeptanz).

Geschäftsfortführungs-, Wiederanlauf- und Wiederherstellungsplanung

Die Geschäftsfortführungs- Wiederanlauf- und Wiederherstellungspläne bilden zusammen mit den Informationen aus dem Aufbau und der Befähigung der BAO die Inhalte des Notfallhandbuchs, welches die zentrale Dokumentensammlung zur erfolgreichen Notfallbewältigung ist.

In der Software ibi systems iris gibt es die Möglichkeit anhand von Berichten einen Wiederanlauf- und Wiederherstellungsplan zu erstellen. Ersterer baut beispielsweise auf den hinterlegten Notfallaktivitäten hinsichtlich der Wiederanlaufzeit bei den Prozessen auf. Des Weiteren können auch bei den Notfallszenarien Notfallaktivitäten hinterlegt und durch einen Bericht ausgegeben werden.

Wiederanlaufplan mit ibi systems iris

Fazit zum BSI-Standard 200-4 mit ibi systems iris

Die Software ibi systems iris kann Ihnen also bei den Schritten zur Umsetzung der angemessen Absicherung der Geschäftsprozesse nach BSI-Standard 200-4 behilflich sein. Kommen Sie bei Interesse daran oder offenen Fragen gerne jederzeit auf uns zu.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Datenschutz nach EU-DSGVO

In einem früheren Blogbeitrag haben wir bereits Inhalt und Anforderungen die mit der Europäischen Datenschutzgrundverordnung (EU-DSGVO) einhergehen vorgestellt. In diesem Blogbeitrag wollen wir die Unterstützungsmöglichkeiten genauer betrachten, die Ihnen die Software ibi systems iris hinsichtlich der EU-DSGVO bietet. Hierzu legen wir den Fokus auf zwei zentrale Bestandteile, die nach dem europäischen Gesetz bei der Implementierung des Datenschutzmanagements nicht fehlen sollten. Die Erstellung des Verfahrensverzeichnisses und die Durchführung einer Datenschutzfolgenabschätzung.

Softwaregestützte Erstellung des Verfahrensverzeichnisses

Nach Art. 30 der EU-DSGVO soll jeder Verantwortliche und gegebenenfalls sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen führen. Welche Angaben dieses Verzeichnis beinhaltet, wird in der Verordnung aufgeführt. Das Verzeichnis aller Verarbeitungstätigkeiten wird auch als „Verfahrensverzeichnis“ bezeichnet.

Verfahrensverzeichnis in ibi systems iris

In ibi systems iris lassen sich die Verarbeitungstätigkeiten als „Prozesse“ anlegen. Zu jedem dieser Prozesse kann dann eine Checkliste (in iris „Prüfung“) angelegt und befüllt werden, die die erforderlichen Informationen zur Erfassung der Verarbeitungstätigkeiten nach Datenschutzgrundverordnung enthält. Diese Prüfung kann dabei entweder an die verschiedenen Prozessverantwortlichen zugewiesen und durchgeführt werden oder diese Schritte werden von wenigen Personen an zentraler Stelle übernommen.

Diese Prüfungen stellen zusammen schließlich das Verfahrensverzeichnis nach EU-DSGVO dar und können in verschiedenen Formaten (z.B. Word, Excel, PDF) exportiert werden.

Datenschutzfolgenabschätzung (oder auch: Risikomanagement) mit ibi systems iris

In Art. 35 (1) der EU-DSGVO heißt es: „Hat eine Form der Verarbeitung, […] voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“ Ebenso wird unter dem Art. 35 (7) festgelegt, was für eine Folgenabschätzung mindestens enthalten sein soll:

  1. Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke der Verarbeitung
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
  3. Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  4. Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen
Datenschutzfolgenabschätzung bzw. Risikomanagement mit ibi systems iris

Punkt 1 und 2 aus obiger Liste sind bereits im Verfahrensverzeichnis enthalten und können alternativ auch im Feld „Beschreibung“ eines Prozesses in ibi systems iris angegeben werden.

Bewertung der Risiken

Hinsichtlich Punkt 3 sind die Risiken in ibi systems iris zuerst anzulegen und mit den betroffenen Prozessen (= betrachtete Verarbeitungstätigkeiten) zu verknüpfen. Dadurch ist ein Risiko genauer beschrieben und in den semantischen Kontext der Organisation eingebettet. Über den Verknüpfungspfad und geeignete Filter lassen sich so die Zusammenhänge jederzeit, schnell erkennen und darstellen.

Sobald das Risiko textuell und mit Hilfe der erforderlichen Verknüpfungen beschrieben wurde, ist die Bewertung hinsichtlich Eintrittswahrscheinlichkeit und Schadensauswirkung vorzunehmen. Hierzu stehen mehrere Alternative Bewertungsmethoden zur Verfügung (Einfach, kategoriebasierte Bewertung mit Durchschnitt bzw. Maximalwert).

Risikobewertung

Nachdem die erste (IST-)Bewertung vorgenommen wurde, ist eine geeignete Risikobehandlungsstrategie (z.B. Risikotransfer) inklusive zugehöriger Maßnahme(n) (z.B. Abschließen einer Versicherung) zu definieren. Danach kann noch eine zugehörige SOLL-Bewertung angegeben werden, die die beabsichtigte Risikoentwicklung abbildet und im Wesentlichen dieselben Möglichkeiten bietet wie die IST-Bewertung. Die SOLL-Bewertung ist hier ein rein kalkulatorischer Wert (z.B. „Risikotransfer“ mit der zugehörigen Maßnahme „Abschließen einer Versicherung“ soll zu einer Minderung der Schadenauswirkung führen).

Die tatsächliche Neubewertung (neue IST-Bewertung) findet dann nach abgeschlossener Risikobehandlung bzw. umgesetzter Maßnahme statt. Dieser iterative Vorgang wiederholt sich so lange, bis das Risiko ein Niveau erreich, welches so akzeptiert werden kann (Risikobehandlung = Risikoakzeptanz).

Abhilfemaßnahmen

Wie zuvor beschrieben finden sich also die weiter oben unter Punkt 4 erwähnten Abhilfemaßnahmen zur Bewältigung der Risiken bei den jeweiligen Bewertungen im beschriebenen iterativen Vorgehen wieder. Diese Maßnahmen können von verantwortlichen Personen definiert und zur Umsetzung ggf. auch an andere Personen zugewiesen werden. Die Definition umfasst die Setzung angemessener Fristen und die Beschreibung was getan werden soll. Die Umsetzung wird beinhaltet ein Umsetzungsdatum, ein Ergebnis in Form eines Freitextfeldes und die Möglichkeit Dokumente als Nachweis anzuhängen. All diese so definierten (Abhilfe)Maßnahmen sind in übersichtlicher Art und Weise in Form einer Liste dargestellt und durch geeignete Filter, Reports und Dashboards zu tracken.

Tracking der Abhilfemaßnahmen

Fazit zur EU-DSGVO mit ibi systems iris

Die Software ibi systems iris unterstützt Sie also vor allem bei der Erstellung des Verfahrensverzeichnisses sowie bei der Datenschutzfolgenabschätzung. Falls wir Ihr Interesse geweckt haben, freuen wir uns auf Ihre Anfrage und beantworten Ihnen gerne eventuell offene Fragen.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

TISAX®: Rollen, Vorgehen und Vorteile

TISAX® steht für Trusted Information Security Assessment eXchange. Vor dem Hintergrund der Informationssicherheit in der Automobilindustrie stellt TISAX® ein unternehmensübergreifendes Prüf- und Austauschverfahren dar. Das Ziel ist, den Schutz der Daten, ihrer Integrität und Verfügbarkeit im Herstellungsprozess sowie letztlich im Betrieb von Fahrzeugen sicherzustellen.

Dies erfolgt über ein Informationssicherheitsmanagementsystem (ISMS) analog zur Norm ISO 27001. Auf Basis der Norm ISO 27001 hat der Verband der Automobilindustrie e. V. (VDA) den speziellen Information Security Assessment (ISA) Anforderungs- und Prüfkatalog entwickelt.

Die Wirksamkeit eines ISMS kann über Assessments (Prüfungen) gegen den VDA ISA nachgewiesen werden. Bei erfolgreicher Prüfung, z.B. durch TÜV NORD, wird von ENX – der Administrator des TISAX®-Programms – in dessen Datenbank ein TISAX®-Label ausgestellt. Dieses wird von allen VDA-Mitgliedern und Fahrzeugherstellern wie z.B. Audi, Volkswagen oder BMW anerkannt und gefordert.

Rollen

Rollen innerhalb des TISAX®-Vorgehens:

ENX Association: Die ENX Association verwaltet und entwickelt die „Audit Provider Criteria and Assessment Requirements“ (TISAX ACAR). Sie autorisiert Prüfdienstleister und überwacht die Qualität der Umsetzung sowie der Ergebnisse.

Prüfdienstleister: Der Prüfdienstleister ist von der ENX Association zugelassen und führt die Bewertung beim Teilnehmer durch. Der Prüfdienstleister stellt schließlich dem bewerteten Teilnehmer das Ergebnis zur Verfügung.

Teilnehmer: Der Teilnehmer ist ein in TISAX registriertes Unternehmen und wird vom Prüfdienstleister nach VDA ISA auditiert.

Vorgehen

Prüfungen nach VDA TISAX werden von Prüfdienstleistern durchgeführt. Die ENX Association agiert in dem System als Governance-Organisation. Sie lässt die Prüfdienstleister zu und überwacht die Qualität der Durchführung sowie der Assessment-Ergebnisse. So soll sichergestellt werden, dass sowohl die Resultate am Ende einer gewünschten Qualität und Objektivität entsprechen als auch die Rechte und Pflichten der Teilnehmer gewahrt werden. Damit kann ein Unternehmen entscheiden, ob der sich ergebende Reifegrad des Zulieferers (Dienstleister und Lieferanten) den Anforderungen des Käufers entspricht.

Sollte die Prüfung ergeben, dass das Managementsystem noch nicht vollständig konform ist, kann der Teilnehmer einen Korrekturplan vorlegen. Dieser kann vom Prüfdienstleister anerkannt werden, sodass temporäre TISAX-Label vergeben werden können. Im Nachaudit werden diese dann ggf. in permanente Labels umgewandelt.

Wurde im Rahmen der TISAX-Prüfung keine Haupt- und Nebenabweichung festgestellt, dann ist die TISAX Zertifizierung erfolgreich verlaufen. Der Prüfdienstleister übermittelt das TISAX Zertifizierungsergebnis an die ENX. Diese wiederum veröffentlicht es auf der ENX TISAX Plattform. 

Vorteile

Das Prüf- und Austauschverfahren nach TISAX® bietet diverse Vorteile:

  • Erleichterte Erneuerung bestehender Lieferantenbeziehungen
  • Eröffnung neuer Geschäftsbeziehungen durch branchenweite Anerkennung
  • Schaffung von Preistransparenz für Prüfungen
  • Etablierung eines gemeinsamen Niveaus der Informationssicherheit in der Branche
  • Schaffung von Wettbewerb zwischen Prüfdienstleistern
  • Allgemeine Anerkennung der Prüfergebnisse
  • Einsparung von Kosten und Aufwand bei Herstellern und Lieferanten

Systemgestützte Prüfungsdurchführung des VDA ISA…

Die Software ibi systems iris unterstütz sowohl den Teilnehmer beim Self-Assessment als auch den Prüfdienstleister bei der Prüfung nach dem Fragenkatalog des VDA ISA.

…für den Teilnehmer

Der Teilnehmer kann sich in Form eines Self-Assessments ideal auf die Prüfung durch den Prüfdienstleister vorbereiten. Beim Self-Assessment muss ein Reifegrad von 3 erreicht werden.

Die Prüfung nach VDA ISA kann mithilfe der Software ibi systems iris systemgestützt über die Weboberfläche durchgeführt werden. Im Rahmen dieser Prüfung ist als Ergebnis ein Reifegrad zwischen 0 und 5 für die verschiedenen Kontrollen anzugeben. Die Umsetzung kann gegebenenfalls durch Hochladen und Anhängen der relevanten Dokumente belegt werden. Falls bei einzelnen Kontrollen Abweichungen oder Nachbesserungsbedarf besteht, können direkt bei der Kontrolle Feststellungen (z.B. Abweichung) und/oder Maßnahmen (zur Nachbesserung) angehängt werden.

Screenshot 1: Systemgestützte Prüfungsdurchführung

Ein umfangreiches Reporting über Berichte und Dashboards ist ebenso mit der Software möglich. Dadurch werden die Ergebnisse übersichtlich dargestellt und Abweichungen vom angestrebten Reifegrad fallen sofort ins Auge.

Screenshot 2: Spinnennetzdiagramm mit Zielreifegrad
Screenshot 3: Ergebnisübersicht VDA ISA

Ein Prüfdienstleister darf hier den Teilnehmer nicht unterstützen, sonst ist dieser Prüfdienstleister von der Prüfung ausgeschlossen. Das Self-Assessment erfolgt daher meist mit Unterstützung eines externen Beraters, um dem Teilnehmer zur Erreichung des Reifegrades 3 zu verhelfen.

…für den Prüfdienstleister

Für den Prüfdienstleister stellt die Software die ideale Plattform dar, um alle Prüfungen für die verschiedenen Teilnehmer in nur einem Tool abzubilden. Die Teilnehmer werden als „betroffene Assets“ mit der Prüfung verknüpft und die Ergebnisse vom Prüfer eingetragen. Der Prüfdienstleister hat somit stets den Überblick über den aktuellen Stand und die Ergebnisse der durchgeführten Audits.

Screenshot 4: Prüfungsüberblick des Prüfdienstleisters

Wie in den Screenshots zwei und drei weiter oben ersichtlich, stehen umfangreiche Möglichkeiten zur Verfügung Berichte über die durchgeführten Audits zu erstellen. Auch eine Offline-Durchführung der Prüfung ist möglich, wenn der Auditor etwa gerade beim Teilnehmer vor Ort keinen Netzwerkzugriff haben sollte. Weitere Details zur Offline-Durchführung von Prüfungen finden Sie hier.

Screenshot 5: Prüfungsdurchführung beim Teilnehmer via Excel und späteres Hochladen ins System

Fazit

Durch ibi systems iris werden sowohl die Prüfdienstleister als auch die Teilnehmer bei den Audits bzw. den Self-Assessments nach VDA ISA unterstützt. Die Prüfungsdurchführung nach VDA ISA stellt dabei Dreh- und Angelpunkt des TISAX®-Vorgehens dar.

Neben den Funktionalitäten zum Prüfungsmanagement und dem zugehörigen Reporting, bietet die Software ibi systems iris noch viele weitere nützliche Features und Lösungen. Sprechen Sie uns gerne darauf an und wir zeigen Ihnen welche das sind.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Kerninhalte der Versicherungsaufsichtlichen Anforderungen an die IT (VAIT)

Die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) sind Verwaltungsanweisungen für die sichere Ausgestaltung der IT-Systeme in der Versicherungsbranche. Diese ziehen die zugehörigen Prozesse und die in diesem Zusammenhang stehenden Anforderungen an die IT-Governance mit ein. Die VAIT wurden von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mit dem Rundschreiben 10/2018 (VA) vom 02. Juli 2018 veröffentlicht und danach im März 2019 erstmals aktualisiert.

In den VAIT ist ein Rahmen für die technisch-organisatorische Ausstattung der Unternehmen formuliert. Hierbei wird insbesondere auf das Management der IT-Ressourcen und das IT-Risikomanagement näher eingegangen. Da die Versicherungsgesellschaften mit zunehmender Häufigkeit IT-Dienstleistungen beziehen, fordert die VAIT nun unabhängig vom Umfang der Dienstleistung (als Teil der Hauptdienstleistung) beispielsweise vorab zwingend eine Risikoanalyse.

Ebenso wird durch die VAIT in der Informationssicherheit gefordert, dass mindestens der aktuelle Stand der Technik umzusetzen ist.

Neuerungen der VAIT-Novelle vom 03. März 2022

Die neuen VAIT sind mit dem Rundschreiben vom 03. März 2022 direkt in Kraft getreten. Die vorherige Version des Rundschreibens vom 20. März 2019 tritt damit gleichzeitig außer Kraft.

Übergangsfristen sind nicht erforderlich, da in die neue VAIT-Novelle keine grundlegend neuen Anforderungen aufgenommen, sondern lediglich bereits zuvor bestehende Anforderung präzisiert wurden.

Versicherungsaufsichtliche Anforderungen an die IT (VAIT) – Inhalte

Insbesondere die operative Informationssicherheit und das IT-Notfallmanagement wurden zusammen mit den anderen Kapitel weiter konkretisiert und finden sich nun in jeweils einem eigenen Kapitel wieder.

Operative Informationssicherheit

Im Bereich Operative Informationssicherheit wird weiter spezifiziert, was konkret darunter zu verstehen ist. Es wird insbesondere erläutert, was bei Informationssicherheitsmaßnahmen, -prozessen und -vorfällen zu berücksichtigen ist. Erwähnt und erläutert ist hier unter anderem die Wichtigkeit des Schwachstellenmanagements, der Dokumentation und Reaktion auf Sicherheitsvorfälle und der Abweichungsanalysen (Gap-Analyse). Letztere sollten für kritische Systeme im Sinne der Überprüfung mindestens jährlich erfolgen. Der Turnus sollte sich dabei insbesondere am tatsächlichen Schutzbedarf orientieren.

IT-Notfallmanagement

Im Bereich IT-Notfallmanagement wird konkretisiert, welche Szenarien im IT-Notfallkonzept mindestens berücksichtigt werden müssen, welche Inhalte IT-Notfallpläne enthalten sollen und wie Risikoanalysen (hinsichtlich IT-Prozessen, Systeme und Ressourcen) auf das IT-Notfallmanagement Einfluss nehmen. IT-Notfallpläne umfassen demnach u. a. Wiederanlauf- und Wiederherstellungspläne sowie alle erforderlichen Informationen für eine effektive Kommunikation im Notfall. Die Risikoanalyse soll bei der Erstellung der IT-Notfallpläne berücksichtigt werden und die Entwicklung geeigneter Maßnahmen ermöglichen, die entweder der Risikoreduzierung oder der Wiederherstellung der Prozesse dienen.

Informationsrisikomanagement und Informationssicherheitsmanagement

Der Bereich Informationsrisikomanagement wurde um folgende Aussage ergänzt: „Die Risikokriterien berücksichtigen die Kritikalität der Geschäftsprozesse und -aktivitäten sowie bekannte Gefährdungen und Vorfälle, welche das Unternehmen bereits in der Vergangenheit beeinflusst haben.“ Der Fokus des Risikomanagements wird demzufolge noch stärker auf die Darstellung der Gesamtzusammenhänge sowie der historischen Risikobetrachtung gerichtet. Neben der reinen Risikoanalyse ist es hierbei insbesondere relevant, die dem Risiko zugrundeliegenden bzw. das Risiko beeinflussenden Prozesse, Vorfälle und Gefährdungen zu berücksichtigen.

Umsetzung mit der Software ibi systems iris

Die Software ibi systems iris unterstützt Sie auch in der neuen Fassung der VAIT vollumfänglich bei der Umsetzung der im vorangegangenen Kapitel erläuterten Anforderungen. Im Folgenden sind diese Bereiche in der Grafik hervorgehoben, kurz beschrieben und in Form von Screenshots weiter veranschaulicht.

Versicherungsaufsichtliche Anforderungen an die IT (VAIT) - Umsetzung mit der Software ibi systems iris
Versicherungsaufsichtliche Anforderungen an die IT (VAIT) – Umsetzung mit ibi systems iris

Operative Informationssicherheit

Zur Umsetzung der VAIT aus dem Bereich Operative Informationssicherheit unterstützt die ISMS Software ibi systems iris etwa bei der Durchführung einer Abweichungsanalyse (Gap-Analyse) und dem Management der identifizierten Schwachstellen. Gap-Analysen (siehe Screenshot 1) werden mit Hilfe von individuell gestaltbaren Prüfungen durchgeführt. Mit der durch die Software angebotenen Flexibilität kann jede beliebige Checkliste softwaregestützt durchlaufen werden. Im Rahmen der Prüfungsdurchführung können bei Bedarf eine (oder mehrere) Schwachstelle(n) an die jeweilige Kontrolle hinterlegt werden. Im nächsten Schritt erfolgen Definition und Umsetzung von Maßnahmen zur Schließung dieser Schwachstellen. Abhängig davon wird schließlich der Status der Schwachstelle angepasst (z. B. Offen, Geschlossen).

Auch Sicherheitsvorfälle können umfassend im Tool dokumentiert und angemessene Reaktionen (durch Maßnahmen) definiert werden. Zudem können sowohl aus Feststellungen wie auch aus Vorfällen neue Risiken abgeleitet bzw. bestehende Risiken verknüpft werden.

Screenshot 1: Gap-Analyse

IT-Notfallmanagement

Im Sinne des IT-Notfallmanagement können für alle Prozesse und Assets in ibi systems iris Wiederanlauf- und Wiederherstellungspläne sowie alle erforderlichen Informationen für eine effektive Kommunikation im Notfall angegeben werden. Auf Knopfdruck kann ein komplettes Notfallhandbuch als PDF-Report erstellt werden.

Ein Notfallszenario, welches nach VAIT mindestens betrachtet werden sollte, ist der „Ausfall von Dienstleistern (z. B. Zulieferer, Stromversorger)“. Für diesen Anwendungsfall können neben den Verknüpfungen zu direkt betroffenen Assets und Prozessen auch Prozess- und Asset-unabhängige Aktivitäten im Notfall festgelegt werden. Sobald dieses Szenario tatsächlich eintritt, kann direkt aus dem Szenario heraus ein konkretes Notfallereignis mit detaillierter Beschreibung angelegt werden. Schließlich folgt die Verknüpfung von Maßnahmen um auf das Ereignis angemessen zu reagieren und dieses zu behandeln.

Screenshot 2: Notfallszenario

Informationsrisikomanagement und Informationssicherheitsmanagement

Hinsichtlich der VAIT zum Informationsrisikomanagement bzw. Informationssicherheitsmanagement gilt anzumerken, dass mithilfe der Software ibi systems iris Risiken umfangreich beschrieben, bewertet und behandelt werden können und dabei auch vergangene Vorfälle Einfluss auf diesen Prozess nehmen.

Zur Beschreibung eines Risikos gilt es grundlegende Angaben zu machen und u.a. die Verknüpfungen zu Bedrohungen, Schwachstellen und Assets und/oder Prozessen anzugeben. Danach erfolgt die Bewertung des Risikos hinsichtlich Schadenauswirkung und Eintrittswahrscheinlichkeit, wobei dem Anwender hierbei für die Bewertung verschiedene Optionen zur Verfügung stehen. Beispielsweise kann bei Durchführung der Bewertung (je nach konfigurierter Einstellung) die Anzahl und die Schadensumme der Vorfälle aufgelistet werden, die direkt mit dem Risiko verknüpft sind. Diese Informationen stehen dann dem Anwender anschaulich als Bewertungshilfe für die durchzuführende IST- Bewertung des Risikos zur Verfügung. Im nächsten Schritt erfolgen die Angabe und die Definition einer konkreten Risikobehandlungsstrategie inklusive zugehöriger Maßnahmen und einer angestrebten SOLL-Bewertung. Das Risiko kann danach im Zeitverlauf durch eine Iteration des beschriebenen Ablaufs gemanaged werden, bis es akzeptiert werden kann oder nicht mehr existiert.

Das Risiko verbleibt auf diese Art und Weise perfekt dokumentiert im Tool. Der Umgang in der Vergangenheit mit einzelnen Risiken als auch die aktuelle Risikolage können jederzeit in ibi systems iris eingesehen und nachvollzogen werden.

Screenshot 3: Risikomanagement

Fazit zur VAIT mit ibi systems iris

Eine Besonderheit der ISMS Software ibi systems iris ist die Darstellungen eines gesamtheitlichen Zusammenhangs zwischen den relevanten Elementen der Informationssicherheit in nur einem Tool. Zudem kann der Pfad einer Verknüpfung zu jeder Zeit eingesehen und nachverfolgt werden.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Herausforderungen und Risiken

Die Anzahl an unterschiedlichen Software-Applikationen innerhalb der eigenen Firma nimmt stetig zu, von On Premise-Applikationen oder Cloudanwendungen über sämtliche  Schnittstellen zu Fremdsystemen inbegriffen. Aufgrund einer immer weiter voranschreitenden Digitalisierung steigt das Bedürfnis nach Sicherheit generell bei Anwendungen des IT-Systems. Allerdings wird durch die zunehmende Heterogenität des Anwendungstools auch die Gefahr immer größer, dass Dritte über Schwachstellen unerlaubt Zugriff auf die komplette IT-Infrastruktur einer Firma erlangen können. Wodurch ebenfalls das Sicherheitsbedürnis im IT-Bereich verstärkt wird.

Dabei tun sich Fragen von, welche Applikationen denn überhaupt in der Firma genutzt werden bis hin zu den Risiken, die durch die Nutzung der einzelnen Applikationen entstehen können, auf.

Toolgestützter Application Security Check

Um den offenen Fragen gerecht werden und dabei den Überblick behalten zu können, ist es möglich Ihre Applikationen toolgestützt, individuell und strukturiert über einen Application Security Check der notwendigen Prüfung zu unterziehen.

Ausgangspunkt kann hierbei das identifizierte Risiko darstellen, von welchem aus die entsprechende Applikation, ob aus dem Bestandssystem oder ebenso eine Neueinführung, in eine Prüfung überführt wird. Dabei wird ein Überblick über die vorhandenen Risiken und Schwachstellen erzeugt.

Der Application Owner des IT-Systems muss dafür einen Application Security Check durchführen, der zuvor individuell festgelegt und mit Detailfragen ausgearbeitet wurde.

Möglich ist es, die Prüfung dabei direkt in ibi systems iris, oder aber als Offline Prüfung via Excel durchzuführen.

Als Ergebnis der Prüfung wird automatisch der Schutzbedarf des IT-Systems festgestellt und dokumentiert. Der ermittelte Schutzbedarf kann dann einer erweiterten Risikobetrachtung zugrunde gelegt werden.

Andererseits ergeben sich mit den internen Richtlinien in Verbindung mit den technischen und organisatorischen Anforderungen Maßnahmenvorschläge, aus deren Umsetzung der gewünschte Sicherheitsgrad für die jeweilige Applikation resultiert.

Auf verschiedenen Dashboards kann das Sicherheitsniveau im Zeitverlauf überwacht werden. Da im Bereich der Software eine regelmäßige Überprüfung der einzelnen Applikationen von großer Bedeutung ist, ist es auch möglich, Prüfungen immer wieder von neuem durchzuführen und wie oben bereits beschrieben, mit den Ergebnissen der Prüfungen in die weiterführenden Bereiche abzuspringen.

Fazit

Über den Application Security Check können vier wesentliche Punkte auf einmal abgedeckt werden:

  1. Bestimmung und Dokumentation des Schutzbedarfs je nach Applikation.
  2. Automatische Ableitung von Maßnahmen, ebenso in Abhängigkeit der Applikation.
  3. Überblick über offene Flanken und Schwachstellen der kompletten Applikationslandschaft.
  4. Ableitung und Behandlung der resultierenden Risiken.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Neuerungen in CISIS12

ISIS12 wurde in seiner neuen Version 3.0 in CISIS12 umbenannt. CISIS12 steht dabei für Compliance InformationsSIcherheitsmanagementSystem in 12 Schritten. Der Grund für die Umbenennung war insbesondere die Hervorhebung des Themas „Compliance“ und der damit verbundene erweiterte Fokus. Dadurch soll auch die Führungsebene einer Organisation verstärkt angesprochen werden.

Im Zuge dessen wurden die Dokumente umfangreich überarbeitet (Handbuch, Katalog, Norm). Dabei wurde die inhaltliche Orientierung näher an die ISO 27000er Reihe angelehnt. Die Maßnahmen sind nun z.B. mit „Muss“, „Soll“, und „Kann“ klassifiziert.

Des Weiteren wurde die Bedeutung der Prozesse in den Vordergrund gerückt und spezifische Bausteine hierzu ergänzt. Intention dahinter war durch die Verknüpfung von Assets und Prozessen einen weiteren Schritt in Richtung ganzheitliches Managementsystem zu gehen.

Softwaregestützte Umsetzung von CISIS12

In einem vorherigen Blogbeitrag haben wir bereits auf die softwaregestützte Umsetzung der Schritte in ISIS12 mit ibi systems iris hingewiesen.

Die ISMS und GRC Software unterstützt Sie auch bei der Umsetzung von CISIS12 und hier insbesondere bei den folgenden Aufgaben:

  • Erfassung von Assets und Prozessen (Modellierung von Anwendungen, IT-Infrastruktur und Gebäuden u.a. über Bausteine bzw. Kategorisierung)
  • Risikomanagement
  • Compliancemanagement (Berücksichtigung von internen und externen Vorgaben)
  • Maßnahmen (Festlegung und Tracking sowie Ableitung bzw. inhaltliche Übernahme aus den in der Software integrierten Bausteinen)
  • Prüfungsmanagement (z.B. Internes Audit)
  • Datenschutz (u.a. Verfahrensverzeichnis, Datenschutzfolgenabschätzung)
  • Abbildung des gesamtheitlichen Zusammenhangs (u.a. Verknüpfung von Normen, Maßnahmen, Kontrollen, Risiken)
  • Reporting (diverse Dashboards und Berichtsvorlagen)

Fazit

Die Umsetzung von CISIS12 wird durch den Einsatz der Software ibi systems iris entscheidend erleichtert. CISIS12 ist dabei ein geeigneter Einstiegspunkt in das Thema Informationssicherheit sowie für eine angestrebte Zertifizierung nach ISO 27001 oder IT-Grundschutz. Dabei haben Sie mit ibi systems iris von Anfang an ein verlässliches Tool zur Hand, das Sie beim Management der Informationssicherheit unterstützt.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Gründe für ein Lieferkettengesetz

Bereits im Juni 2011 haben die Vereinten Nationen Leitprinzipien für Wirtschaft und Menschenrechte verabschiedet, welche die Verletzung von Menschenrechten durch Unternehmen verhindern sollen. Diese Leitprinzipien zielten darauf ab, die staatlichen Pflichten sowie die unternehmerische Verantwortung in globalen Lieferketten zu definieren.

Da die Leitlinien offen lassen, ob die Verantwortung freiwillig oder verbindlich übernommen werden soll, hatte Deutschland zunächst auf ein Gesetz verzichtet. Umfrageergebnissen zufolge, erfüllen bislang jedoch zu wenige Unternehmen die menschenrechtliche Sorgfaltspflicht. Der Koalitionsplan der Regierung sieht daher vor weitere gesetzliche Regelungen auf den Weg zu bringen.

Die folgenden Gründe sprechen für eine gesetzliche Regulierung:

  • Geringes (freiwilliges) Engagement: Weniger als 20 Prozent der Unternehmen erfüllen die Vorgaben.
  • Fehlende Bereitschaft zur Verantwortungsübernahme: Wer Schäden anrichtet muss sich dafür verantworten. In den vergangenen Jahren ereigneten sich weltweit immer wieder Katastrophen, an denen deutsche Unternehmen durch ihre Geschäftstätigkeit (direkt oder indirekt) beteiligt waren.
  • Menschenrechtsverletzungen dürfen kein Wettbewerbsvorteil sein: Weltweit müssen 152 Millionen Kinder laut Schätzungen der Internationalen Arbeitsorganisation (ILO) unter Bedingungen arbeiten, die sie ihrer elementaren Rechte und Chancen berauben.
  • Deutschland als Vorreiter: Deutschland ist nach den USA und China das drittgrößte Importland und nimmt somit eine wichtige Rolle im globalen Lieferkettennetzwerk ein. Frankreich, Großbritannien und die USA haben die Verantwortung in Lieferketten bereits gesetzlich geregelt. Die Niederlande bereiten ein Gesetz vor.

„Die Ausbeutung von Mensch und Natur sowie Kinderarbeit darf nicht zur Grundlage einer globalen Wirtschaft und unseres Wohlstandes werden.“

Bundesentwicklungsminister Dr. Gerd Müller

Funktionen des Lieferkettengesetzes

Das Lieferkettengesetz soll die Unternehmen in die Verantwortung nehmen und diese verpflichten, ihre Aktivitäten daraufhin zu überprüfen, ob sie sich nachteilig auf Menschenrechte auswirken.

Die folgenden drei Funktionen des Gesetzes sollen dabei faire Lieferketten gewährleisten:

  • Definition der Pflichten: Das Lieferkettengesetz soll definieren welche Pflichten Unternehmen beim Schutz von Menschenrechten haben und wie sie diesen in ihren Lieferketten nachkommen können.
  • Berichterstattung: Unternehmen sollen über Ihre Anstrengungen Bericht erstatten.
  • Stärkung der Arbeitsrechte: Das Gesetz soll die Rechte von Arbeitern vor Gericht stärken und einen Weg eröffnen, Schadensersatzansprüche in Deutschland geltend zu machen.

Umsetzung des Lieferkettengesetzes

Was sollen die Unternehmen also machen und wie sollten Sie die Umsetzung angehen? Würde das Gesetz in Kraft treten, müssen die Firmen Verfahren entwickeln, um Risikofelder zu identifizieren. Als Risikofelder sind etwa Zwangs- und Kinderarbeit, Diskriminierung, Verstöße gegen den Arbeitsschutz und die Schädigung der Gesundheit und Umwelt zu nennen.

Das Lieferkettengesetz sieht vor, dass die Unternehmen geeignete Maßnahmen ergreifen, um negativen Auswirkungen vorzubeugen und die Geschäftsbeziehungen sauber zu halten. Einmal im Jahr müssen die Unternehmen öffentlich darüber Bericht erstatten, wie Menschenrechtsverletzungen verhindert werden. Kommt es entlang der Lieferkette zu einer Verletzung der Menschenrechte, obwohl das Unternehmen im Rahmen der tatsächlichen und rechtlichen Möglichkeiten alles Angemessene getan hat, haftet es dagegen nicht.

Um die Einhaltung des Gesetzes zu gewährleisten, ist es ratsam als Unternehmen auf eine softwaregestützte Umsetzung zu setzen.

Vorgehen zum Lieferkettengesetz in ibi systems iris

Die Software ibi systems iris unterstützt dabei ganzheitlich. Es können Prüfungen auf Basis von individuellen Katalogen für das Lieferkettengesetz angelegt und durchgeführt werden. Im Rahmen der Prüfung werden Risiken identifiziert, bewertet und mit Hilfe von Maßnahmen behandelt.

So wird etwa ein konkretes Risiko zum Thema Arbeitsschutz hinsichtlich Eintrittswahrscheinlichkeit und Schadenauswirkung zunächst bewertet. Nachdem die Bewertung vorliegt, können Maßnahmen zur Behandlung definiert werden. Nach Umsetzung der Maßnahmen wird das Risiko dann erneut bewertet. Dadurch lässt sich feststellen, welche Auswirkung die ergriffene(n) Maßnahme(n) auf das Risiko hatte (z. B. Reduktion der Eintrittswahrscheinlichkeit).

Alle so erfassten Risiken werden in einer Heatmap sowie in einer filterbaren Liste dargestellt und sind als Bericht exportierbar. Die kritischen Risiken sind also sofort ersichtlich und der Bewertungs- und Behandlungsverlauf der Einzelrisiken jederzeit einsehbar.

Durch die Unterstützung der Software ibi systems iris ist ein strukturiertes Vorgehen garantiert. Die erforderlichen Berichte sind mit wenigen Klicks erzeugbar und der Überblick über den aktuellen Stand ist stets gewährleistet.

Fazit

Nach dem vorgesehenen Gesetz kann die zuständige Bundesbehörde Bußgelder verhängen, wenn die ergriffenen Maßnahmen zum Schutz der Menschenrechte nicht ausreichen. Unternehmen, gegen die ein höheres Bußgeld verhängt wurde, sollen darüber hinaus für eine gewisse Zeit von öffentlichen Aufträgen ausgeschlossen werden.

Teile der Wirtschaft lehnen das Vorhaben für ein solches Gesetz dennoch strikt ab. Es wird kritisiert, dass Unternehmen für das Verhalten Dritter in Haftung genommen werden könnten, auf die sie gar keinen direkten Einfluss haben.

Um Bußgelder zu vermeiden und Imageschäden vorzubeugen ist es in jedem Fall sinnvoll für die Umsetzung des Lieferkettengesetzes zu sorgen. Dafür sind angemessene Prozesse zu etablieren und notwendige Maßnahmen zu ergreifen. Die Software ibi systems iris kann bei der Umsetzung und Berichterstattung erheblich unterstützen.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

Bedeutung und Verortung von Nachhaltigkeitsmanagement

Das Thema Nachhaltigkeit betrifft und beschäftigt uns alle. Die EU versucht durch Investitionen und Konzepte eine nachhaltige und klimaneutrale Wirtschaft zu fördern. Die Europäische Kommission stellte Ende des Jahres 2019 den European Green Deal vor. In diesem Konzept ist das Ziel verankert bis 2050 die Netto-Emissionen von Treibhausgasen innerhalb der Europäischen Union auf null zu reduzieren. Somit will Europa hier Vorreiter und Vorbild sein und als erster Kontinent klimaneutral werden. Der European Green Deal umfasst zur Erreichung dieses Ziels eine Reihe von Maßnahmen in den Bereichen Finanzmarktregulierung, Energieversorgung, Verkehr, Handel, Industrie sowie Land- und Forstwirtschaft.

European Green Deal

Nachhaltiges Wirtschaften ist für Unternehmen, Gesellschaft und vor allem für die Umwelt von großer und wachsender Bedeutung. Die Kundennachfrage nach klimafreundlichen, nachhaltigen Produkten und Dienstleistungen steigt weiter an. Durch die Gesetzgebung sind zunehmende regulatorische Anforderungen in den kommenden Jahren zu erwarten. Die BaFin hat etwa angekündigt, dass spätestens ab 2021 geprüft werden soll, ob im Risikomanagement von Banken das Thema Nachhaltigkeit berücksichtigt wird. Die Unternehmen sollten dies berücksichtigen und das Thema Nachhaltigkeitsmanagement fest in die bestehenden Prozesse zu verankern.

Chancen und Vorteile

Das Thema Nachhaltigkeit wird zwar von Gesellschaft und Gesetzgebung verstärkt gefordert, aber es sollte nicht nur als lästige Pflicht von den Unternehmen angesehen werden. Es besteht sogar die Chance einen Wettbewerbsvorteil gegenüber der Konkurrenz zu kreieren.

Mögliche Vorteile durch die softwaregestützte Implementierung des Nachhaltigkeitsmanagements sind u.a.:

  • Hohe Reputation durch erworbene Zertifikate und Siegel
  • Gesamtheitliche Betrachtung des Themas Nachhaltigkeit im Unternehmen
  • Vermeidung von fehleranfälligen, manuellen Verfahren und Checklisten
  • Berechtigungsbasierte Freigaben und To-Do´s
  • Revisionssichere Ablage von Kontrollen inkl. Feststellungen, Dokumente, Risiken und Maßnahmen
  • Flexible Reportingmöglichkeiten

Nachhaltigkeitsmanagement mit der Software ibi systems iris

Durch ibi systems iris erhalten Sie einen vollständigen Blick auf das Thema Nachhaltigkeit bei Ihnen im Unternehmen. Ihre Prozesse werden dabei individuell abgebildet und Sie vermeiden fehleranfällige Kontrollverfahren.

Mit ibi systems iris betreiben Sie ein effektives und effizientes systemgestütztes Nachhaltigkeitsmanagement, ganz nach Ihren Ansprüchen und immer individuell anpassbar. So unterstützt die Software bei der revisionssicheren Abbildung des vollständigen Kontrollprozesses inklusive der Identifikation von Feststellungen, Risiken und Maßnahmen.

Zum Vorgehen:

  1. Strukturierung der Risiken (Wesentlichkeit)
  2. Hinterlegung von nationalen und internationalen CSR Rahmenwerken und Standards
  3. Erstellung von Prüfungsvorlagen und Ableitung von Prüfungen inkl. Planung und Durchführung
  4. Verwalten von Feststellungen und Umsetzung von Maßnahmen inklusive Statusüberwachung
  5. Reports und Dashboards

Lesen Sie für weitere Details zum Vorgehen auch unser Whitepaper zu Nachhaltigkeitsmanagement mit ibi systems iris.

Partnerschaft von ibi systems Gmbh und syracom

ibi systems und das Business- und IT-Beratungshaus syracom gehen eine strategische Partnerschaft ein und bieten gemeinsam auf Basis der webbasierten Software ibi systems iris einen integrierten, toolbasierten Lösungsansatz zum Thema Nachhaltigkeitsmanagement und dessen ganzheitlicher Verankerung in Ihrem Unternehmen an.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

____________________

Quellen:

  • https://ec.europa.eu/info/sites/info/files/european-green-deal-communication_de.pdf
  • https://www.pressebox.de/pressemitteilung/syracom-ag/syracom-und-ibi-systems-mit-innovativer-Loesung-fuer-das-Nachhaltigkeitsmanagement/boxid/1018115?utm_source=Belegmail&utm_medium=Email&utm_campaign=Aktiv
  • https://www.syracom.de/news/blog/banken/nachhaltigkeitsmanagement-ein-echter-wettbewerbsvorteil.html

Arbeitsschutz in Zeiten der Pandemie

Gesundheit und Sicherheit am Arbeitsplatz sollten gerade in kleinen und mittleren Unternehmen und Behörden eine große Rolle spielen. Die Gesundheit der Mitarbeiter als die wichtigste „Ressource“ eines Unternehmens besitzt dabei selbstverständlich den höchsten Stellenwert. Sicherheitschecks bieten hier eine gute Orientierungshilfe. Nicht zuletzt geht es schließlich gerade bei Unternehmen dieser Größe auch um die Aufrechterhaltung des Geschäftsbetriebs und somit auch um die eigene Existenz.

„Als Arbeitsschutz bzw. Arbeitnehmerschutz werden die Maßnahmen, Mittel und Methoden zum Schutz der Beschäftigten vor arbeitsbedingten Sicherheits- und Gesundheitsgefährdungen verstanden.“

Quelle: Wikipedia

In Zeiten der Corona-Pandemie haben viele Unternehmen ihre Mitarbeiter ins Homeoffice geschickt, um das Infektionsrisiko zu minimieren. Gerade in bestimmten Branchen wo man „nur“ auf die Nutzung von PC, Telefon und Internet angewiesen ist, hat man gute Erfahrungen mit dem Arbeiten von Zuhause aus gemacht.

Softwaregestützte Sicherheitschecks für die geplante Rückkehr ins Büro

Nachdem vielerorts in Deutschland ein Rückgang der Neuinfektionen zu verzeichnen war, planen dennoch viele kleinen und mittleren Unternehmen die Rückkehr ins Büro. Was aber sollte zum Thema Arbeitsschutz in Zeiten der Pandemie durch das Coronavirus (SARS-CoV-2) dabei beachtet werden? Welche Punkte sollte ein angemessenes Sicherheits- bzw. Hygienekonzept beinhalten?

Die gesetzliche Unfallversicherung Verwaltungs-Berufsgenossenschaft (VBG) hat beispielsweise eine Checkliste „Gesund und sicher durch die Pandemie“ veröffentlicht. Diese bietet schließlich eine gute Hilfestellung, um angemessene Vorkehrungen für den Arbeitsschutz zu treffen.

Die Vorteile eines systemgestützten Sicherheitschecks mit ibi systems iris sind:

  • Strukturierung von Kontrollen und Checklisten in Form von Prüfungen
  • Hinterlegung von Regelwerken (z.B. Richtlinien für Mitarbeiter und Besucher)
  • Identifikation von Feststellungen (Schwachstellen, Verbesserungspotentiale)
  • Definition und Tracking von Maßnahmen
  • Übersichtliche Exportmöglichkeiten in Form von Reports und Dashboards

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht

Auditmanagement in der Webanwendung ibi systems iris

Mit ibi systems iris planen und verwalten Sie alle internen und externen Audits in Ihrem Unternehmen. Die Prüfungen lassen sich entweder direkt in der Software oder als Offline-Prüfungen via Excel durchführen. Bei der Prüfungsdurchführung besteht die Möglichkeit Feststellungen (z.B. Abweichungen oder Schwachstellen), Dokumente, Maßnahmen und Risiken zu verknüpfen. Dabei macht es keinen Unterschied, ob Sie die Prüfung über die Benutzeroberfläche durchführen oder das Excel dazu nutzen.

In der Webanwendung ibi systems iris werden individuelle Prüfvorlagen eingepflegt und verwaltet. Auf Basis dieser Vorlagen werden dann Prüfungen erstellt und die weitere Durchführung geplant. Dazu wird ein Benutzer der Software als „Prüfer“ eingetragen. Diese Zuweisung berechtigt dann den Benutzer die Prüfung innerhalb der Anwendung durchzuführen. Während der Prüfungsdurchführung kann der Prüfer verschiedene weitere Informationen bei den einzelnen Kontrollen erfassen (u.a. Feststellungen und Dokumente). Die Ergebnisse mit allen angegebenen Informationen können danach in Form von Reports in diversen Formaten (z.B. als PDF) exportiert werden.

Offline-Prüfungen via Excel

Neben der Prüfungsdurchführung direkt in ibi systems iris kann ein Excel für Offline-Prüfungen erzeugt werden. In diesem Zusammenhang besteht die Möglichkeit die Inhalte von beliebig vielen, auswählbaren Excel-Vorlagen frei zu definieren. Eine individuelle Anpassung der Vorlagen ist sowohl hinsichtlich des Layouts als auch der abgefragten Informationen möglich. Ein Standard-Excel ist in ibi systems iris bereits bei Auslieferung hinterlegt.

Vorteile

Vorteile durch Offline-Prüfungsdurchführung via Excel in ibi systems iris:

  • Große Flexibilität im Vorgehen
  • Unabhängigkeit von Internet- bzw. Netzverfügbarkeit
  • Hohe Kompatibilität des Formats (Excel)
  • Lizenzeinsparungen (Bearbeitung des Excels auch von einem Mitarbeiter ohne iris-Zugang möglich)
  • Individuelle Anpassung der abgefragten Informationen und des Layouts im Prüfungs-Excel

Anwendungsfälle

Es gibt viele mögliche Anwendungsfälle in denen Offline-Prüfungen mit ibi systems iris vorteilhaft sein können. In einem anderen Blog-Beitrag erläutern wir etwa das Cloud Vendor Assessment (CVA) mit ibi systems iris. Auch hier kann eine Prüfungsdurchführung via Excel vorteilhaft sein.

 

Haben wir Ihr Interesse geweckt?

 

Zurück zur Übersicht