QSEC - ISMS und GRC nach internationalen Standards und Methoden
2
„Best in Class ist nie ein Zufall!“
Consulting ISMS & GRC SoftwareBranchen
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
3
WMC GmbH – GRC & ISMS Software + Consulting
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Unsere Kernthemen unsere Referenzen
QSEC Multi-Standard Compliance Management
nach internationalen Regelwerken und Gesetzen
Projektmanagement
CO
NS
UL
TI
NG
Organisationsberatung
Informationssicherheitsmanagement
SO
FT
WA
RE
+
S
UP
PO
RT
Compliance Management
IT-Sicherheit
Risikomanagement
Business Impact Analyse (BIA)
Business Continuity Management
Datenschutz
Maßnahmenmanagement
Reporting
Mehr: PCI DSS; ISO 9001; ISO 20 000
4
Best Practice mit der QSEC-Suite
Governance
StandardsGesetze
Transparenz und Minimierung
Leitlinien Richtlinien
QSECReifegradbewertung für Normen und Gesetze
gesteuerteIT-GRCMaßnahmen
nachhaltigganzhaltig
organisationsweit
Strategie
Technologie
Prozesse Menschen
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
RiskManagement
Compliance
5
QSEC – die USP‘s auf einen Blick
Multi-Norm Compliance
Mehrwert durch die Unterstützung weiterer weltweit anerkannten Standards wie ISO 9001 (Qualitätsmanagement), ISO 14001 (Umweltmanagement), ISO 20000
(IT Service Management), ISO 22301 (BIA & BCM), ISO 27001/2 (Information Security Management), ISO 27005 (IT Risk Management) PCI DSS, SOX, Basel II,
OHSAS 18001 (Arbeitssicherheit). Individuelle Anforderungen mit eigenem Inhalte oder branchenspezifische Standards können integriert werden
Wettbewerbsvorteil
Keine andere IT-GRC-Lösung ist so umfassend in Bezug auf Best Practices im Bereich des Maßnahmenmanagements
Umfassender Content in „all in one“
In QSEC sind die Normen mitFragenkatalogen komplett vorhanden
Schnittstellen
Über Schnittstellen QSEC integriert sich in die vorhandene IT-Infrastruktur
Usability
Die Referenzen bestätigen die hohe operative Integration und eine übersichtliche Benutzeroberfläche
Schnelle Implementierung
QSEC ist eine flexible webbasierte Software, die in kurzer Zeitimplementiert werden kann –
bei exakter Zeit-/ und Kostenplanung
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
6
QSEC - Vorteile im Ergebnis
Für jeden berechtigten Mitarbeiter verwendbar
hohe Transparenz über alle Aktivitäten und Status im Bereich des Compliance- und IT-Risikomanagements
permanente Information über Veränderungen und Verbesserungen
Optimierung der IT-Investitionen durch Transparenz der geschäftskritischen Prozesse (Spitzenrisiken)
Einsparung von ca. 30-50% der internen und externen ISMS-Einführungs- und Betriebskosten
Reduzierung der Aufwendungen für Zertifizierung /Rezertifizierung
Nachweisbarkeit der Compliance
Imagegewinn und Wettbewerbsvorteil
Usability und Benutzerfreundlichkeit (WEB- / Wizard Technologie)
Flexibilität und umfassende Konfigurationsmöglichkeit
Content je Standard (Norm / Gesetz) komplett integriert
IT-Risikomanagement auf der Basis der Geschäftsprozesse und Informationen vollintegriert
Zentrales Dokumentenmanagement
Workflow- und Prozessunterstützung nach Aufgaben und Rollen (Experten und Anwender)
Musterprozesse, Muster-Assets, Maßnahmenvorschläge, Musterdokumente nach Branchen hinterlegbar
Produktsupport – permanente Updates / Weiterentwicklung
Leistungen
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Nutzen
7
QSEC – "all in one compliance“
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
QSEC schneller mehr Ergebnis
Easy Express Enterprise Edition GRC Edition BSI Edition
QSEC - Varianten Standardbrowseranwendung Administrations-Tool / User-BerechtigungenTechnology
Internationale Regelwerke (ISO 27001/2/5; ISO 20000 etc.) Musterdokumente, Maßnahmenvorschläge, Risikokataloge Muster-Geschäftsprozess, -Assets nach Branchen
Content
Mailsystem, Active Directory, Ticket System etc. Individuelle Datenübernahme (CSV, XML etc.)Schnittstellen
ISMS Prozesse (Compliance-, Risikobewertung, BIA/BCM) Maßnahmen-, Dokumenten- und IncidentmanagementIS-Prozesse
Mehr als 65 Berichte mit Reifegraddarstellungen DashboardReporting
Hohe Anwenderakzeptanz durch Benutzerkomfort Anwendungsführung mit der Wizard - Technology Ständige Softwarepflege, Support und Verbesserungsprozesse
Usability
8
QSEC – Integriertes Managementsystem - Effiziente Unterstützung für alle Mitarbeiter!
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Ein Expertensystem für jeden Mitarbeiter
Tech
nik
Ris
iko
Co
mp
lian
ceU
sab
ility
1. Usability und Benutzerfreundlichkeit- einfache Bedienung durch Wizard-Technologie
2. Geringe Schulungsaufwendungen
3. Konfigurationsmöglichkeit - flexibel und umfassend
4. Automatisierte Wiedervorlagen, System Task
5. Internationale Standards (ISO, DSGVO, ITIL)
6. Einheitliches Vorgehen und Führung nach PDCA-Methode und umfassende Maßnahmenvorschläge
7. Risikomanagement nach ISO 27005 (31000)
8. Historie aller relevanten Veränderungsdaten
9. Verantwortungsdistribution und Aufgabenteilung
10. WEB-Anwendung – Browser basierend
11. Integration in die bestehende IT-Infrastruktur (AD, SAP, Asset System)
12. Zentrale Datenbank, inkl. Dokumentenablage
- Kosteneinsparung- Transparenz- Effizienz
9 © 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
QSEC-Enterprise und GRC Edition - die Module im Überblick
QSEC Enterprise Edition QSEC GRC Edition QSEC Erweiterungen
QSEC Versionen:
Business Continuity
BCMBusiness Continuity
BIAStammdaten Administration
Core Server, Gemeinsame Plattform, Berechtigungen
QSEC Schnittstellen:Mailsystem, Asset Management (z. B. SAP, Spider),
AD, Ticketsystem (z. B. SAP, helpLine)
Katalog Erfassungs-und Pflege-Tool (KEP)
AdministrationsTool
Wizards (Prozess-Workflow) Information Assets
Task-Manager
DashboardCompliance Security-Incidents
ReportingRisiko Maßnahmen DokumentDatenschutzEU DSGVO
Neu ab V6.1: zusätzlich ein Modul für den Datenschutz für die Zusammenführung aller datenschutzrelevanter Informationen für eine komprimierte Übersicht und Bearbeitung.
10
QSEC - Wizard Technologie
Einfache, selbsterklärende Bedienerführung
Geringe Schulungsaufwendungen
Beschreibungen und Erklärung der Bearbeitungsschritte
Geführte Arbeitsweise
Ohne Expertenwissen nutzbar
Kein ungewolltes Verlassen des Bearbeitungsprozesses
Start über Link-Aufruf ermöglich
Beispiel Prozessschritte für einen Interview-Wizard
Ein ISO interviewt einen Prozessowner in den Businessbereichen
Anforderungen
Wizards Interview Wizard Interview Übernahme Wizard Compliance Wizard Maßnahmen Bewertungs Wizard Risiko Assessment Wizard Security Level Wizard
Interview
Einleitung Auswahl Vorbereitung Interviewpartner Speicherung Geschäftsprozesse Informationen
21 3 4 5 6 7
Assetgruppen
8
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Interview
11
QSEC - Wizards
Prozessorientiertes, effizientes Arbeiten
1. 2.
3.
4. 5.
6.
7.
IS-Status
Risiko-Status
Security Level
2.
Experten
Businessowner
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
12
QSEC - Multinormensystem
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Alle Normen können in QSEC verwaltet werden, bereits vorhandene Normenkataloge (Stand: 06/2017)
Qualitätsmanagement DIN EN ISO 9001:2015-11 (DE/EN)
Umweltmanagement DIN EN ISO 14001:2015-11 (DE/EN)
Payment Card Industrie PCI DSS 3.2 (EN)
IT-Servicemanagement ISO 20000-1:2005 Chapter 3-10 (EN)
IT-Grundschutz Bausteinkataloge (DE)
ISMS DIN ISO/IEC 27001:D2015-03 (DE/EN)
ISMS für Steuerungssysteme DIN ISO/IEC TR 27019:2015-03 (DE/EN)
27001 / 27019 in einem KatalogDIN ISO/IEC 27001:D2015-03 +TR 27019:2015-03
IT-Sicherheitskatalog IT-Sicherheitskatalog 2015 (DE)
Arbeitssicherheit OHSAS 18001:2007 inkl. 18002:2008
Informationssicherheit von Cloud ISO/IEC 27017:2015 (EN)
Personenbezogene Daten/Public Cloud ISO/IEC 27018:2014-08 (DE/EN)
Bundesdatenschutzgesetz BDSG (DE)
EU Datenschutz Grundverordnung EU DS-GVO 2015
Business Continuity Management DIN EN ISO 22301:2014-12 (EN)
VDA - ISMS VDA Version 2.13 (DE/EN)
Energiemanagement DIN EN ISO 50001:2011-12 (DE)
Medizinprodukte - Qualitätsmanagement DIN EN ISO 13485:2012-11 (DE)
Medizinprodukte - QualitätsmanagementDIN EN ISO 13485:2016-08 (DE) (in Vorbereitung)
Anti-Korruptions-Managementsysteme DIN ISO 37001:2016-02 (DE/EN)
13
QSEC schafft Transparenz – valide Daten im Reporting und Dashboard
Integrierte Reports
Standardberichte Managementberichte Arbeitsberichte Maßnahmenstatusberichte Risikostatusberichte Compliance / Reifegradberichte
(SOA) Spezialberichte
Verfahrensbericht nach BDSG Budgetbericht Security Incident Bericht Information Governance Bericht
Individuelle Berichte nach VorgabeDashboard
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
14
QSEC-Suite Technik
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Die QSEC-Suite ist eine webbasierte Anwendung:
QSEC-Suite - der sichere, softwaregestützte Wegzum ganzheitlichen Information Security Management System (ISMS) nach ISO/IEC 2700x
Client Webserver Datenbank
Web-Browser
SSL
Keine Installation
Keine Wartung
Microsoft Windows Server 2016R2 und Vorgänger
Microsoft IIS
ASP.NET 4.6
Microsoft SQL Server 2016R2 und Vorgänger
Schnittstellen zu anderen Systemen
Programmierung mit Microsoft Visual Studio 2010
Aktuelle Version: 6.0
15
QSEC integriert sich in die vorhandene IT-Infrastruktur
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
AssetgruppeKritikalitätGeschäftsprozesse
VertraulichkeitVerfügbarkeitIntegrität
AssetgruppeSchwachstellen
Maßnahmen
Benachrichtigungen
Mitarbeiterdaten
Geschäftsprozesse
Security-Incidents
QSEC-Suite
IntegriertesManagement
System
Active Directory (AD)
MailsystemIncident
ManagementSAP / helpLine
Asset ManagementSAP / Spider
VulnerabilityManagementz. B. Qualys
Prozess ManagementAris / Adonis
Übergabe operative Risiken VorfälleRiskmanagement SIEM
Haben Sie Fragen? Kontaktieren Sie uns!
© 2017 WMC GmbH / Kurzpräsentation QSEC – Suiten / Werner Wüpper
Besuchen Sie uns auf unserer Webseite und melden Sie sich zu einer QSEC-Live Präsentation oder rufen Sie uns an!
Ihr Ansprechpartner für Fragen:
Herr Dierick SchröderAccount Management / VertriebTel.: 040/650 336-17E-Mail: [email protected]
Wüpper Management Consulting GmbH im Internet:http://wmc-direkt.de/grc-isms-software/online-demo