Lösungsbereiche
ISMS und GRC Management

Überblick

Die Lösungen der ibi systems GmbH basieren auf den Leistungen und Produkten rundum den „ibi systems iris Diamond“. Die vier Seiten stehen dabei für konkrete Lösungsbereiche hinsichtlich „Security-Management“, „Governance-Management“, „Risk-Management“ und „Compliance-Management“. Der Lösungsbereich „Nachhaltigkeitsmanagement“ ist als übergreifend anzusehen.

Dies umfasst sowohl einzelne Aspekte wie zum Beispiel Prüfungen ausgelagerter Einheiten oder ein Informations-Sicherheits-Risiko-Management nach ISO 27001 bzw. ISO 27005, als auch übergreifende Themen wie zum Beispiel Integration von IT-Risiken in zentralem Unternehmens-Risiko-Management.

Die aus unterschiedlichen Vorgaben (BaFin-Audit, Kritis-Audit, Datenschutzprüfung, Provider- und Kunden-Audits etc.) notwendigen Tätigkeiten können dabei optional vereinheitlicht und zusammengefasst werden. Dies ermöglicht nicht nur eine deutliche Arbeitsersparnis, sondern resultiert zudem in einer signifikanten Verbesserung der Folgetätigkeiten (Feststellungen, Risikobetrachtungen und Maßnahmen etc.) sowie in einem umfassenden und übergreifenden Reporting.

„Der Mehrwert der Lösungen sowie Leistungen und Produkte von ibi systems beruht auf interdisziplinärem fachlichen und technischen Know-how in den Bereichen ISMS und GRC.“

Dr. Stefan WagnerGeschäftsführer, ibi systems GmbH

Security Management

Information Security Management System (ISMS)

ibi systems iris unterstützt bei Einführung, Betrieb und optional Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) nach gängigen Standards.

Das Statement of Applicability kann mit Hilfe der Software erstellt und weitere relevante Dokumente (Richtlinien, Protokolle etc.) verwaltet werden. Die Durchführung von Gap‐Analysen und Audits sowie die Erfassung von Feststellungen (z. B. Schwachstelle, Abweichung, Verbesserungspotenzial) sind ebenso möglich wie die Erfassung, Bewertung, Behandlung und Überwachung der Risiken inkl. Verwaltung und Tracking von Maßnahmen. Darüber hinaus können in ibi systems iris Informationssicherheitsvorfälle verwaltet werden.

Branchenspezifische Sicherheitsstandards (B3S) IT-Grundschutz CISIS12 Bankaufsichtliche Anforderungen an die IT (BAIT)

Security Audits

Mit ibi systems iris planen und verwalten Sie alle internen und externen Security Audits in Ihrem Unternehmen sowie ein umfangreiches Follow-up mit allen identifizierten Audit-Feststellungen und den daraus resultierenden Risiken und Maßnahmen.

Dabei ist es möglich, zu jedem Audit ein Prüfobjekt (Asset, Prozess etc.) anzugeben und die Aufgaben im Audit-Prozess (Erstellung von Prüfvorlagen, Prüfungsplanung, Prüfer, Revisor etc.) zu verteilen. Zu den im Rahmen des Audits identifizierten Feststellungen (z. B. Schwachstellen) können direkt Maßnahmen zu deren Behebung zugewiesen oder Risiken abgeleitet werden.

Cloud Computing (C5) VDA – ISA TISAX Individuelle Prüfkataloge

Business Continuity Management

Mit ibi systems iris setzen Sie ein systemgestütztes Notfall-Management nach gängigen Standards um.

Die Software ibi systems iris ermöglicht die Durchführung von Business-Impact-Analysen (BIA) sowie die Erfassung von Geschäftsfortführungs‐ und Wiederanlaufplänen (Notfallhandbücher). Notfallszenarien und -ereignisse werden erfasst, dokumentiert und behandelt. ibi systems iris unterstützt ein gesamtheitliches Notfallmanagement inkl. Risikoanalyse.

BSI 200-4

Governance Management

Internal Control System (ICS)

Mit ibi systems iris betreiben Sie ein effektives und effizientes Internes Kontrollsystem (IKS) und reduzieren den Aufwand bei gleichzeitiger Erhöhung der Transparenz.

Neben der Definition des Kontrollkontextes (Organsiationsstruktur, Assets, Prozesse, Regelwerke etc.) ermöglicht ibi systems iris die Verwaltung individueller Kontrollvorlagen sowie die Planung und Zuweisung der Kontrollen inkl. E-Mail-Benachrichtigungen. Kontrollen werden wizardgestützt inkl. der Hinterlegung von Nachweisen, Dokumenten und Feststellungen durchgeführt. Darüber hinaus können daraus resultierende Risiken erfasst, bewertet und behandelt werden.

IDW PS 951 ISAE 3402

Corporate und IT Governance

ibi systems iris führt Ihr Unternehmen durch intern und extern definierte Vorgaben und Richtlinien. Achten Sie auf die Einhaltung dieser Vorgaben, definieren und planen Sie Maßnahmen, die deren Umsetzung und somit die Erreichung der Unternehmensziele gewährleisten.

ibi systems iris ermöglicht dabei die Erfassung, Verwaltung und Versionierung aller internen und externen Vorgaben und Richtlinien. Audits sowie Maßnahmen zur Prüfung bzw. Gewährleistung der Einhaltung von Vorgaben und Richtlinien können definiert, geplant und durchgeführt werden.

COBIT ITIL Sarbanes-Oxley Act (SOX) Versicherungsaufsichtliche Anforderungen an die IT (VAIT) Bankaufsichtliche Anforderungen an die IT (BAIT) Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)

Risk Management

Enterprise Risk

Erfassen Sie alle relevanten Risiken in nur einem System und gewährleisten Sie durch die einheitliche Vorgehensweise eine optimale Vergleichbarkeit aller Risiken.

ibi systems iris ermöglicht die Erfassung, Bewertung, Behandlung und Überwachung aller relevanter Risiken im Unternehmen. Diese können kategorisiert (operationell, finanziell, strategisch) sowie Maßnahmen zur Risikobehandlung und -prävention definiert und getrackt werden. Eine Bewertung der Risiken erfolgt in den Dimensionen Schadenauswirkung und Eintrittswahrscheinlichkeit mit frei konfigurierbaren Werten (z. B. 5×5-Risikomatrix).

COSO ERM

IT Risk

Mit ibi systems iris betreiben Sie ein effektives und effizientes IT-Risikomanagement nach gängigen Standards.

Es werden alle relevanten Assets, Prozesse, Bedrohungen/Gefährdungen und Schwachstellen in ibi systems iris erfasst. Das Risiko kann identifiziert, beschrieben und bewertet werden. Zur Risikobehandlung werden Maßnahmen definiert und getrackt. Die Risikobewertung und -behandlung erfolgt in einem iterativen Prozess. Dabei wird eine kontinuierliche Überwachung des Risikos und der Maßnahmen mit Hilfe von Kontrollen und Kennzahlen sichergestellt.

BSI 100-3 BSI 200-3

Operational Risk

Mit ibi systems iris erfassen Sie das Risiko von Verlusten, die durch die Unangemessenheit oder das Versagen von internen Verfahren, Menschen und Systemen oder durch externe Ereignisse verursacht werden. Dies schließt Rechtsrisiken ein, die insbesondere bei Banken und Versicherungen relevant sind.

ibi systems iris ermöglicht die Verknüpfung von Risiken mit gesetzlichen Regelungen sowie eine Kategorisierung der Risiken z. B. nach Basel II/III. Die Überwachung der Risiken erfolgt etwa mit Hilfe von Kennzahlen, welche in die Risikobewertung einfließen kann. Darüber hinaus kann zu jedem Risiko ein Risk Owner zugewiesen werden, welcher das Risiko z. B. bewertet und die Maßnahmen für die Behandlung definiert.

Basel II Basel III Solvabilität II

Compliance Management

Compliance Audits

ibi systems iris unterstützt und gewährleistet die Einhaltung der zunehmend komplexen und heterogenen externen Anforderungen, Gesetzen und Vorgaben. Mit ibi systems iris haben Sie ein wirksames Compliance-Management-Tool nach Best Practice zur Hand.

Mit ibi systems iris können alle externen Anforderungen, Gesetze und Vorgaben erfasst werden. Ein umfassendes Management der Compliance-Risiken ist ebenso möglich wie die Kontrolle der Einhaltung der Compliance-Vorschriften mit Hilfe von Compliance-Audits. Compliance-Verstöße werden erfasst und im Rahmen des Follow-up Maßnahmen zu deren Behandlung definiert.

MaRisk Technische und organisatorische Maßnahmen (TOMs)

Data Protection

ibi systems iris unterstützt beim Aufbau und Betrieb eines effektiven Datenschutzmanagementsystems (DSMS). So erfüllen Sie die Anforderungen nach EU-DSGVO und weiteren relevanten Gesetzen und Standards mit Hilfe eines intelligenten Tools.

ibi systems iris ermöglicht die Anlage und Verwaltung von datenschutzrelevanten Prozessen sowie die Erfassung der Verarbeitungstätigkeiten nach EU‐DSGVO. Mit Hilfe der Software können Datenschutzrisiken inkl. Verwaltung und Tracking von Maßnahmen erfasst, bewertet und behandelt werden (Art. 35 EU‐DSGVO, Datenschutz‐Folgenabschätzung). Darüber hinaus sind Datenschutzvorfälle erfassbar und bearbeitbar. So können etwa bei der Durchführung von Assessments Feststellungen identifiziert und daraus wiederum Risiken abgeleitet und behandelt werden.

EU-DSGVO BDSG

Directives & Policies

Mit ibi systems iris stellen Sie stets sicher, dass Ihre relevanten Weisungen und Regelungen eingehalten werden und bilden diese direkt im System ab. Prüfen Sie deren Einhaltung und dokumentieren Sie den Genehmigungsprozess von Ausnahmen.

Neben der Erfassung und Verwaltung aller Weisungen und Richtlinien ist es möglich, Ausnahmen inkl. Dokumentation von Anfragen und ggf. zugehörigen Genehmigungen zu managen. Anfragen werden dabei kategorisiert (z. B. Freigaben, Stellungnahmen) und konsistente Entscheidungen bei ähnlichen Anfragen durch intelligente Übernahme von historischen Genehmigungen gewährleistet.

Verhaltenskodex Anti Corruption Guidelines Compliance Guidelines

Praxisbeispiele

IKS – Softwaregestütztes IKS nach PS 951/ISAE 3402

Kunde: Bank, München
Thema: IKS – PS 951/ISAE 3402
Aufgaben: Konzeption, Softwareunterstützung, Projektunterstützung

Ausgangslage und Zielsetzung

Ausrichtung der Prozess- und Steuerungsziele nach dem international anerkannten Framework Cobit 5
Überführung des bestehenden IKS in ein softwaregestütztes Vorgehen mit systematischen Prüfungen zur Kontrolle und Vermeidung von Risiken

Vorgehen und Lösung

Unterstützung bei der Erstellung konkreter Kontrollen aus Cobit 5-Vorlagen
Sicherstellung der Mehrfachverwendung dieser Kontrollen in verschiedenen Prüfungen (z. B. in parallelen Prüfungen mit verschiedenen Prüfobjekten)
Definition standardisierter Prüfungsbögen für einzelne Themen (z. B. Incidentmanagement, Patchmanagement)
Gewährleistung der Berücksichtigung aller relevanten und risikoreichen Prozesse durch standardisierte Prüfungsbögen
Verbindung der angepassten Kontrollen mit den Prozess- oder Steuerungszielen des Cobit 5-Standards (dadurch: vereinfachte Koordination der Prüfinhalte bei den Dienstleistern der Kunden)

OpRisk Management – Erfassung, Berechnung und Reporting nach Basel II

Kunde: Bank, München
Thema: Basel II (OpRisk) – Erfassung, Berechnung und Reporting
Aufgaben: Anpassung (Schnittstellen), Einführung und Betrieb der Software „ibi systems iris“

Ausgangslage und Zielsetzung

Ablösung der Excel-basierten Erfassung und Berechnung aller operationellen Risiken durch geeignete Softwarelösung
Anbindung der bestehenden Verlustdatenbank
Abbildung der aktualisierten Organisations- und Prozessstruktur
Automatisiertes internationales Konzern-Reporting nach Basel II

Vorgehen und Lösung

Einführung der Software „ibi systems iris“ inkl. Erfassung und Hinterlegung der Organisations- und Prozessstruktur sowie Anbindung der bestehenden Verlustdatenbank
Erweiterung/Programmierung individueller Reports für das automatische internationale Konzern-Reporting nach Basel II
Unterstützung beim Abgleich aller relevanter Daten
Erfüllung der Historisierungsanforderungen für OpRisk-Daten
Laufende Ermittlung der Datenqualität (Provider, Prozesse, Assets) sowie Koordination notwendiger Korrekturen

Informationssicherheit – Aufbau eines ISMS inkl. Begleitung der Zertifizierung nach ISO 27001

Kunde: Energieversorger, Regensburg
Thema: Zertifizierung nach dem IT-Sicherheitskatalog für Energieversorger (ISO 27001 sowie 27019)
Aufgaben: Projektunterstützung, Einführung eines Informationssicherheitsmanagementsystems anhand der Software ibi systems iris, Zertifizierungsunterstützung

Ausgangslage und Zielsetzung

Einführung eines ISMS auf Basis des von der Bundesnetzagentur veröffentlichten IT-Sicherheitskatalogs sowie dessen Zertifizierung gemäß ISO 27001 bis zum 31. Januar 2018
Gewährleistung eines angemessenen Schutzes gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme, die für einen sicheren Netzbetrieb notwendig sind

Vorgehen und Lösung

Einführung der Software ibi systems iris inkl. Erfassung und Hinterlegung der Organisations- und Asset-/Prozessstruktur
Workshops sowie Schulungen zur Etablierung der Normanforderungen sowie Maßnahmenumsetzung und Dokumentation
Abbildung und kontinuierliche Verbesserung des ISMS mithilfe der Software ibi systems iris
Durchführung des Risikomanagements mit ibi systems iris
Vorbereitung der erfolgreichen Zertifizierung
Vorbereitung auf das Ausrollen des ISMS auf den Gesamtkonzern

Informationssicherheit – Business-Impact-Analysen und Risikobewertungen

Kunde: Medienunternehmen, Luxemburg
Thema: ISMS – BIA, Self-Assessments, Risikobewertung
Aufgaben: Customizing und Einführung der Software „ibi systems iris“

Ausgangslage und Zielsetzung

Ablösung der Excel-basierten Erfassung und Bewertung von Assets, Abweichungen, Risiken und Maßnahmen
Bereitstellung einer Softwarelösung für die Unterstützung bei der Durchführung von Assessments zum ISMS
Weltweite zentrale Datenhaltung zur Verbesserung der Datenqualität und Konsistenz
Verringerung der in der Vergangenheit hohen Kosten für externe Berater

Vorgehen und Lösung

Einführung der Software „ibi systems iris“ inkl. Erfassung und Hinterlegung der Organisations- und Prozessstruktur
Übernahme historischer Bestandsdaten (Assets, Risiken, Maßnahmen) aus den vorangegangenen ISMS-Zyklen
Erweiterung/Anpassung der Software um kundenspezifische Anforderungen
Erstellung von Reports sowie Exportmöglichkeiten, um in „ibi systems iris“ erfasste Daten zur Steigerung der Akzeptanz auch in die „alte Welt“ übertragen zu können (z. B. Nutzung bestehender Excel-Makros zur Risikoaggregation)

Informationssicherheit – Einführung eines ISMS auf Basis ISO 27001

Kunde: Medienunternehmen, München
Thema: Datenschutz und ISMS nach bestehenden Standards (EU-DSGVO, ISO 27001)
Aufgaben: Bereitstellung und Customizing der Software „ibi systems iris“

Ausgangslage und Zielsetzung

Einführung eines ISMS auf Basis der ISO 27001
Integration relevanter Kompendien und Prüfvorlagen
Berücksichtigung der Anforderungen der EU-DSGVO im Tool

Vorgehen und Lösung

Bereitstellung und Installationsunterstützung zur Softtware „ibi systems iris“
Aufbereitung und Bereitstellung relevanter Kompendien und Prüfvorlagen zum Import in „ibi systems iris“
Customizing der Software „ibi systems iris“ hinsichtlich EU-DSGVO

Informationssicherheit – ISMS mit toolgestütztem Risikomanagement

Kunde: Versicherer, Neunkirchen
Thema: ISMS mit Fokus Risikomanagement
Aufgaben: Einführungsunterstützung und Konfiguration der Software „ibi systems iris“

Ausgangslage und Zielsetzung

Einführung eines Informationssicherheitsmanagementsystem (ISMS)
Berücksichtigung des IT-Grundschutz
Toolgestütztes Risikomanagement

Vorgehen und Lösung

Installationsunterstützung und Konfiguration der Software „ibi systems iris“
Schulung zur Vorgehensweise beim toolgestützten Risikomanagement mit „ibi systems iris“

Informationssicherheit – ISMS nach ISO 27001/2

Kunde: Dienstleistungsunternehmen, Gütersloh
Thema: ISMS – BIA, Self-Assessments, Risikobewertung
Aufgaben: Customizing und Einführung der Software „ibi systems iris“

Ausgangslage und Zielsetzung

Ablösung der Excel-basierten Erfassung und Bewertung von Assets, Abweichungen, Risiken und Maßnahmen
Bereitstellung einer Softwarelösung für die ganzheitliche Unterstützung des ISMS
Weltweiter Einsatz und zentrale Datenhaltung zur Verbesserung der Datenqualität und Konsistenz

Vorgehen und Lösung

Einführung der Software „ibi systems iris“ inkl. Erfassung und Hinterlegung der Organisations- und Prozessstruktur
Übernahme historischer Bestandsdaten (Assets, Risiken, Maßnahmen) aus den vorangegangenen ISMS-Zyklen
Erweiterung/Anpassung der Software um kundenspezifische Anforderungen
Erstellung von Reports sowie Exportmöglichkeiten, um in „ibi systems iris“ erfasste Daten zur Steigerung der Akzeptanz auch in die „alte Welt“ übertragen zu können (z. B. Nutzung bestehender Excel-Makros zur Risikoaggregation)

Informationssicherheit – ISMS nach VDA-ISA

Kunde: Produzierendes Unternehmen, Nürnberg
Thema: VDA-ISA Self-Assessments, Risikomanagement
Aufgaben: Customizing und Einführung der Software „ibi systems iris“

Ausgangslage und Zielsetzung

Ablösung einer bestehenden Softwarelösung (verinice)
Weltweiter Einsatz durch lokale ISOs
Aufbau eines zentralen Repositories für VDA-ISA Self-Assessments aller Konzerneinheiten
Aufbau eines systemgestützten Risikomanagements

Vorgehen und Lösung

Einführung der Software „ibi systems iris“ inkl. Erfassung und Hinterlegung der Organisations- und Prozessstruktur
Datenübernahme aller vorangegangenen VDA-ISA-Assessments seit 2011
Bereitstellung einer VDA-ISA Vorlage für Self-Assessments
Erstellung eines individuellen Reports zur Auswertung der Self-Assessments
Schulung zur Ausgestaltung eines Risikomanagements in „ibi systems iris“

Informationssicherheit – Management von Anfragen/Ausnahmen

Kunde: Automobilkonzern, Wolfsburg
Thema: Management von IT-Security-Anfragen/-Ausnahmen
Aufgaben: Konzeption, Implementierung, Einführung

Ausgangslage und Zielsetzung

Management von Ausnahmen zu definierten Regeln bei bestimmten Geschäftsprozessen (z. B. Anfrage des Vertriebs, den USB-Port freizugeben)
Sicherstellung von konsistenten Entscheidungen

Vorgehen und Lösung

Entwicklung eines Systems zur Verwaltung von Anfragen
Empfehlung zur Ablehnung oder Genehmigung von Anfragen basierend auf historischen Entscheidungen

Lösungsbereiche
ISMS und GRC Management

Überblick

Security Management