FEATURES

MODULE

NORMEN

ComplianceSuite

IT-Compliance und ISMS ohne Maskerade

Kein Anglerlatein: Die ComplianceSuite ist Ihr Multinorm-Tool für Ihre IT-Compliance.
Eine moderne, webbasierte Compliance-Softwarelösung.
Egal ob SaaS- oder On-Premise. Auf jeden Fall Compliance as a Service.

Features

Ein vollständig integriertes Risikomanagement und Reportingtools sind nur ein kleiner Teil der Features in der
ComplianceSuite. Informieren Sie sich über alle Funktionen und testen Sie die Software vorab.

Das alles ist drin!

  • Normen inkl. der in den Normen beschriebenen Vorgehensweisen
  • Alle Normen können in einem „Normenmix“ umgesetzt werden.
  • ISO 270001 (nativ)
  • ISO 27002
  • ISO 27019
  • IT-Grundschutz (BSI)
  • ISIS12
  • DIN EN 80001-1

Und das haben Sie davon!

  • Die Überprüfung erfolgt anhand von Fragenkatalogen – ein Normenwissen ist damit nicht erforderlich
  • Eigene Checks können problemlos integriert werden
  • Management-Cockpits an Bord zur perfekten Übersichtlichkeit
  • Erzeugen von eigenen Bausteinen/Maßnahmen/Fragenkatalogen
  • Anpassbare Vorgehensweise
  • Integration neuer Normen
  • Und wenn es mal Sonderwünsche geben sollte: unsere Entwickler lösen alles

Module

It-Verbund & Modellierung

SICHERHEITSCHECK

Schutzbedarf & Risikoanalyse

Reporting

Wir haben uns überlegt, wie wir Ihnen einfach noch mehr ComplianceSuite bieten können. Dazu haben wir Module in
unsere Anwendung integriert. Diese können wir einzeln anpassen, individuell erweitern, neue hinzufügen und die aktuellen
in Form halten.

Aktuell sind vier Module entwickelt, die es Ihnen noch leichter machen, mit der ComplianceSuite zu arbeiten. Und
bestimmt haben Sie noch mehr Spaß dabei.

IT-Verbund & Modellierung

Unser Modul „IT-Verbund & Modellierung“ ist das Rückgrat unserer Anwendung. Hier wird die Organisation mit den zu betrachtenden Assets detailliert abgebildet; sprich: Der IT-Verbund wird hinterlegt und mit weiterführenden Informationen zu jedem einzelnen Asset aufgefüllt. Unsere ComplianceSuite berücksichtigt hierbei unser Ebenen-Model, um alle physikalischen und logischen Assets mit den Compliance-Themen zu verbinden. Damit haben Sie Ihre Organisation immer im Blick.

Darüber hinaus wird in diesem Modul die Zuweisung der jeweiligen Norm oder Normenmixe durchgeführt: Assets erhalten Maßnahmen zugeordnet, deren Fragenkataloge dann den jeweiligen Verantwortlichen zugewiesen werden.

Sicherheitscheck

Auf Basis der im Modul „IT-Verbund & Modellierung“ hinterlegten Informationen und zugewiesenen Fragenkataloge, wird in unserem Modul „Sicherheitscheck“ die eigentliche Überprüfung der technischen und organisatorischen Sicherheitsmaßnahmen auf Vollständigkeit und Umsetzungsgrad durchgeführt. Dieses erfolgt im Rahmen eines Soll-Ist-Abgleichs, wobei innerhalb Ihrer Organisation kein Normenwissen vorhanden sein muss: Verantwortliche Mitarbeiter Ihrer Organisation erhalten entsprechende Fragenkataloge aus der Praxis, welche nur beantwortet werden müssen. Die abgegebenen Antworten werden sodann bewertet (Ampelsystem Grün/Gelb/Rot) und erforderliche Nachbesserungen festgelegt.

Über ein Periodensystem wird hier – nachdem Nachbesserungen durchgeführt wurden – auch eine Re-Auditierung durchgeführt. Entsprechende Abweichungen zum Erfüllungsgrad werden detailliert ausgewiesen. 

Schutzbedarf & Risikoanalyse

Das Modul „Schutzbedarf & Risikoanalyse“ ist unser Werkzeug für ein umfassendes Risikomanagement. Hier wird sowohl eine
Schutzbedarfsanalyse durchgeführt, als auch Risiken an den einzelnen Assets erhoben und spezifiziert.

Bei der Schutzbedarfsanalyse wird entweder der erhobene Schutzbedarf am Asset festgelegt, oder aber über Verknüpfungen zu Prozessen und
Verfahren von diesen geerbt. Somit kann ein Asset aus verfahrensspezifischer Sicht verschiedene Schutzbedarfsklassifizierungen haben. Ab einem
Schutzbedarf „hoch“ wird hierüber – in Verbindung mit unserem Modul „Sicherheitscheck“ – auch die erforderliche ergänzende Risikoanalyse
durchgeführt.

Risiken werden – sofern vorhanden und gewünscht – je Asset aufgeführt und bewertet. Hierbei werden nicht nur die Risiken erkannt und
aufgelistet, sondern auch weiterführende Erklärungen und Maßnahmen definiert und dokumentiert. Alle Angaben können so aufbereitet werden,
dass ein umfassender Management-Report mit Klassifizierung und Auflistung der erkannten Risiken, Erläuterungen zu den Risiken, umzusetzenden
Maßnahmen zur Risikominimierung und etwaigen Projektressourcen und -kosten erstellt werden kann.

Reporting

Umfangreiche Reporting-Funktionen stehen Ihnen direkt aus unserer ComplianceSuite zur Verfügung. Hierbei unterscheiden wir zwischen unserem Cockpit und aussagekräftigen Management-Reports, welche in verschiedenen Formaten ausgegeben werden können.

Cockpit: Verschaffen Sie sich schnell einen Überblick über aktuelle Projektstände und erkannte Risiken. Unser System zeigt Ihnen alle relevanten Informationen an, um eine Übersicht über das Projekt zu erhalten.

Management-Reports: Unsere Management-Reports beinhalten detaillierte Informationen zum aktuellen Projekt, zur Risikoanalyse und zum Erfüllungsgrad der umgesetzten technischen und organisatorischen Maßnahmen. Darüber hinaus können Arbeitslisten für jeden verantwortlichen Mitarbeiter des Projektes ausgegeben werden, welche die umzusetzenden Maßnahmen zur Risikominimierung beinhalten.

Unserer umfassende Report-Engine kann auch individuelle Reports ausgeben. Sprechen Sie uns hierzu an.

Normen

Informations- sicherheit

ISO/EN Normen

IT-Sicherheits- verfahren

Medizinische Netzwerke

Im gesamten ComplianceSuite Bereich setzen Standards immer wieder neue Maßstäbe. Natürlich gehen wir mit unserer ComplianceSuite diesen Weg mit und haben bereits etliche bekannte und wichtige Normen in unserer Anwendung integriert.

Uns ist es nicht egal wie wir etwas machen. Wir möchten auf Standards setzen und diese ständig weiterentwickeln. Auch integrieren wir neue Normen ein und führen Aktualisierungen durch.

ISO 27001/ISO 27002

Die ISO 27001 stellt einen zertifizierbaren Management-Standard dar, der definiert, wie ein Informationssicherheitsmanagementsystem (ISMS) innerhalb einer Organisation zu betreiben ist. Hierbei muss die Informationssicherheit geplant, umgesetzt, überwacht und überprüft und stetig verbessert werden (PDCA-Zyklus). Verantwortlichkeiten müssen festgelegt, und Ziele gesetzt, gemessen und überprüft werden. Die ISO 27001 gibt hierzu das Regelwerk vor. Auch ist eine Risikoanalyse und -bewertung innerhalb dieses Management-Standards ein wesentlicher Bestandteil.

Im Gegensatz zur ISO 27001 kann eine Organisation nicht nach der ISO 27002 zertifiziert werden. Die ISO 27002 stellt vielmehr einen Anhang im Rahmen einer Erweiterung zur ISO 27001 dar, welcher einen höheren Detaillierungsgrad als die ISO 27001 hat.

ISO 27019

Von staatlicher Seite wurde daher das IT-Sicherheitsgesetz (IT-SiG) verabschiedet, um kritische Infrastrukturen vor potenziellen Gefahren zu schützen und die Sicherheit der damit verbundenen informationstechnischen Systeme zu erhöhen. Dieses Gesetz verpflichtet Betreiber kritischer Infrastrukturen, angemessene technische und organisatorische Maßnahmen zum Schutz dieser Infrastrukturen zu treffen, und diese mindestens alle zwei Jahre nachzuweisen.

Für Netzbetreiber, zum Beispiel Stadtwerke, wurden diese Vorgaben durch den von der Bundesnetzagentur (BNetzA) veröffentlichten IT-Sicherheitskatalog präzisiert. Dieser fordert gemäß § 11 Absatz 1a Energiewirtschaftsgesetz (EnWG) die Umsetzung eines Informationssicherheits-managementsystems (ISMS) und die Zertifizierung dieses ISMS nach ISO 27001 und ISO 27019. Diese Zertifizierung muss der Bundesnetzagentur bis zum 31.01.2018 schriftlich nachgewiesen werden.

Die Zertifizierung umfasst unter anderem

  • die Festlegung des Geltungsbereiches (Scope) des ISMS für den sicheren Betrieb des Netzes,
  • eine Risikoanalyse des Netzbetreibers mit Schutzzielen und der Beachtung besonderer Schadensszenarien,
  • der Erstellung und Pflege eines Netzstrukturplanes und
  • weiteren Punkten, um den Betrieb des Netzes sicherzustellen.

Darüber hinaus müssen auch noch weitere fachspezifische Standards und Vorgaben, auf die die jeweilige gefordert Norm referenziert, beachtet werden (zum Beispiel das BDE-Whitepaper).

IT-Grundschutz (BSI)

Der IT-Grundschutz ist eine deutsche, zertifizierbare Norm, welche vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben wurde. Diese Norm definiert, wie ein Informationssicherheitsmanagementsystem (ISMS) innerhalb einer Organisation zu betreiben ist. Hierbei muss die Informationssicherheit geplant, umgesetzt, überwacht und überprüft, und stetig verbessert werden (PDCA-Zyklus). Verantwortlichkeiten müssen festgelegt, und Ziele gesetzt, gemessen und überprüft werden. Auch ist eine Risikoanalyse und -bewertung innerhalb dieses Management-Standards ein wesentlicher Bestandteil.

Im Gegensatz zur ISO 27001 und ISO 27002 unterstützt der IT-Grundschutz die Umsetzung mit einem sehr umfangreichen und erklärenden Regelwerk. Hierbei wird – neben dem Aufbau des Informationssicherheitsmanagementsystems (ISMS) – auch die IT-Sicherheit, das heißt die technisch-organisatorische Absicherung der mittelbaren und unmittelbaren IT-Technik, betrachtet.

DIN EN 80001-1

Für Betreiber medizinischer Netzwerke, wie zum Beispiel Krankenhäuser und Pflegeeinrichtungen, wurde die DIN EN 80001-1 zur Anwendung des Risikomanagements für medizinische IT-Netzwerke aufgelegt. Hierbei umfasst das Risikomanagement sämtliche Maßnahmen zur systematischen Erkennung, Analyse, Bewertung, Überwachung und Kontrolle von Risiken der Medizinprodukte (was ein Medizinprodukt ist, ist im Medizinproduktegesetz (MPG) klar definiert).

Diese Norm sollte umgesetzt werden, um möglichen Haftungsansprüchen gegen Betreiber medizinischer Netzwerke entgegenzuwirken.

Nehmen Sie mit
uns Kontakt auf.

Datenschutz

SUPPORT
X
X