INFORMATIONS-
SICHEITSMANAGEMENT
Effizientes Management der Informationssicherheit
Ein modernes System zum Management von Informationssicherheit (ISMS) ist digital. Zuverlässigkeit entsteht durch papierlose Dokumentation und die automatisierte Steuerung der Abläufe. Die ISMS-Lösung der DHC Business Solutions folgt den Standards der ISO/IEC 27001 und erfüllt die Vorgaben des BSI. Berücksichtigt werden auch branchenspezifische Regelungen mit höheren Schutzanforderungen.
Heimtückische Angriffe auf IT-Infrastrukturen sind keine Seltenheit mehr. Trojaner, Viren und Würmer verursachen gewaltige Schäden. Sie gefährden die Sicherheit von Organisationen jeder Art. Wer sich nicht umfassend durch technische und organisatorische Maßnahmen schützt, wird kurz- oder mittelfristig zwangsläufig Opfer eines Cyber-Angriffs. Datendiebstahl oder -zerstörung, digitale Erpressung oder die Verbreitung von Schadsoftware sind nur einige Beispiele möglicher Konsequenzen.
Wie Informationssicherheit hergestellt werden kann, regeln ISO-Normen oder die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sie liefern die Grundlagen für ein Informationssicherheitsmanagementsystem (ISMS). Den verlässlichen Rahmen für die Dokumentation und die Grundlage zur Steuerung eines solchen Systems garantiert das ISMS der DHC Business Solutions. Es ist auch die digitale Lösung für die besonderen Anforderungen an den Schutz von kritischen Infrastrukturen (KRITIS) und branchenspezifischen Sicherheitsstandards (B3S). Das ISMS folgt dem PDCA-Modell; einzelne Phasen für Planung, Durchführung, Überprüfung und kontinuierliche Verbesserung von Aktivitäten sind formalisiert: Die IT-Infrastruktur wird umfassend dokumentiert, Risiken und das jeweils aktuelle Sicherheitsniveau werden analysiert und Prozesse zur transparenten Nachverfolgung von Maßnahmen sind etabliert.
Eindrucksvolle Funktionalität
Assetmanagement / Wertemanagement
-
Inventarisierung beliebiger Assets (Werte) inkl. Gruppierungen und Hierarchisierung
-
Benennung von Verantwortlichkeiten und Ergänzung von Detailinformationen
-
Aufbau von Bezügen zu wirkenden Bedrohungen, ausnutzbaren Schwachstellen
-
Identifikation und Zuordnung von Informationssicherheitsrisiken
-
Unterstützung einer umfassenden Schutzbedarfsanalyse
-
Erweiterbarkeit um kundenindividuelle und branchenspezifischen Schutzziele
-
Flexible Schnittstellen zum Import und Update von Assetstrukturen
Risikomanagement
-
Erfassung und umfassende Dokumentation aller Informationssicherheitsrisiken
-
Mehrdimensionale Risikobewertung (Eintrittswahrscheinlichkeit, Schadensausmaß)
-
Aufbau von Bezügen zwischen Risiken, Bedrohungen und Schwachstellen
-
Festlegung der Risikobehandlungsstrategie (Vermeiden, Vermindern, etc.)
-
Definition und Zuordnung von adäquaten Maßnahmen zur Risikobehandlung
-
Betrachtung der Risiken vor und nach der Umsetzung von risikoreduzierenden Maßnahmen
-
Abgabe von Erklärungen zur Akzeptanz von Restrisiken
-
Übersichtliche Dashboards zur Überwachung des Risikobehandlungsvorschritts
Maßnahmenmanagement und Vorfallbehandlung
-
Prozessunterstützung bei der Umsetzung von Informationssicherheitsmaßnahmen
-
Definition von zyklisch wiederkehrenden Maßnahmen
-
Erinnerung an Termine bzgl. eingeleiteter Maßnahmen inkl. Eskalationsmechanismen
-
Nachhaltige und revisionssichere Dokumentation der Umsetzungsergebnisse
-
Schnelle und einfache Erfassung von Sicherheitsvorfällen über Web-Formulare
-
Definition von Verantwortlichkeiten und Bearbeitern zur schnellen und effizienten Behandlung von Sicherheitsvorfällen
-
Definition von Sofort-, Korrektur und Vorbeugungsmaßnahmen
-
Dashboard zur Überwachung von Status und Behandlungsfortschritt
Factsheet anfordern
Alle Prozesse des Informationssicherheitsmanagements und den vollständigen Funktionsumfang haben wir Ihnen kompakt in dem Factsheet zum DHC VISION ISMS zusammengefasst.
„*“ zeigt erforderliche Felder an
Alle Möglichkeiten auf einen Blick
Assetmanagement
- Inventarisierung beliebiger Assets mit der Möglichkeit zur Bildung von Assetgruppen und Assethierarchien
- Benennung von Verantwortlichkeiten, Pflege von Beschreibungen und weiteren Detailinformationen
- Aufbau von Bezügen zu wirkenden Bedrohungen, ausnutzbaren Schwachstellen und resultierenden Risiken
- Durchführung einer Schutzbedarfsanalyse unter Einbeziehung von übergeordneten oder untergeordneten Assets
- Berücksichtigung aller grundlegenden und branchenspezifischen Schutzziele („Verfügbarkeit“, „Integrität“, „Vertraulichkeit“, „Authentizität“, „Patientensicherheit“, „Behandlungseffektivität“, etc.)
- Flexible Erweiterbarkeit um kundenindividuelle Asseteigenschaften
Risikomanagement
- Erfassung und umfassende Dokumentation aller Informationssicherheitsrisiken (Verantwortlichkeiten, Risikobeschreibung, Auswirkungen bei Risikoeintritt, etc.)
- Bewertung von Risiken in den Dimensionen „Eintrittswahrscheinlichkeit“ und „Schadensausmaß“ (Qualitativ bzw. Quantitativ)
- Herstellung von Bezügen zu den für das Risiko ursächlichen Bedrohungen und ausnutzbaren Schwachstellen
- Festlegung der Risikobehandlungsstrategie (Vermeiden, Vermindern, etc.) und Zuordnung der adäquaten Maßnahmen
- Individuelle Betrachtung der Risiken vor und nach der Umsetzung von risikoreduzierenden Maßnahmen (Brutto/Netto-Betrachtung)
- Abgabe von Erklärungen zur Akzeptanz von Restrisiken
- Übersichtliche Dashboards und Auswertungen zur effizienten Überwachung der Risikosituation
Maßnahmenmanagement
- Vollständige Prozessunterstützung, von der Erfassung, Umsetzung und Wirksamkeitsprüfung bis hin zum formalen Abschluss von Maßnahmen
- Situative Klassifizierung von Maßnahme
- Präventivmaßnahmen zur vorausschauenden Reduktion von Risiken
- Sofort- und Korrekturmaßnahmen zur Behandlung von Sicherheitsvorfällen
- Definition von zyklisch wiederkehrenden Maßnahmen inkl. automatischem Maßnahmenstart (wöchentlich, monatlich, jährlich
- Erinnerung an Termine bzgl. eingeleiteter Maßnahmen inkl. Eskalationsmechanismen
- Nachhaltige und revisionssichere Dokumentation der Umsetzungsergebnisse
- Rollenspezifische Dashboards zur Überwachung des Maßnahmenstatus, der Priorität und des Umsetzungsfortschritts
Ereignisse, Benachrichtigungen, Kommunikation
- Notification Event Modeling Framework zur automatisierten, präzisen und rechtzeitigen Benachrichtigung von Personen, Rollen/Gruppen oder Systemen über den Zustandswert von definierbaren Ereignissen (Events) wie zum Beispiel Datum, Schwellenwert, Messgröße, neue Dokumentversionen.
- Flexible und ansprechende Gestaltung von Benachrichtigungen (u.a. HTML); auch mehrsprachig, an verschiedene Empfängersysteme (eMail, Social Media, Mobile Gadgets etc)
- Regelwerke und Kommunikation durch die Erstellung von Nachrichten entlang rollenbezogener Interessen und Sichten (Benutzer Sicht, organisatorische Sicht, Compliance Sicht). Zurückweisung oder Ablehnung einer Aufgabe (hier Kommentierungspflicht)
- Alle Benachrichtigungen unterliegen einem Audit-Trail
- Volle Nachvollziehbarkeit wer, wann, mit welchem Inhalt, über was informiert wurde
Normen / Gesetze / Branchenspezifische Vorgaben
- Erfassung bzw. Import von Normen und gesetzlichen Vorgaben (ISO/IEC 27001, 27002, 27005, 27019, 22301, EU DSGVO, etc.)
- Abbildung von KRITIS-Anforderungen bzw. weiteren branchenspezifischen Standards (IT-SiG, B3S-Medizinische Versorgung, VDA ISA (TISAX), etc.)
- Einbindung des neuen BSI Grundschutzkompendiums mit den spezifischen Bedrohungskatalogen und Maßnahmenempfehlungen
- Verknüpfung der erstellten Richtlinien und geplanten/umgesetzten Maßnahmen zu Normen bzw. den spezifischen Zielvergaben
- Dashboards und Auswertungen zur Überwachung des normativen Erfüllungsgrades
Dokumentenmanagement
- Templatebasierte Erstellung und Ablage aller themenspezifischen Dokumente direkt innerhalb von DHC VISION
- Bereitstellung von vorbefüllten Dokumententemplates für das Informationssicherheitsmanagement und angrenzende Themen (Datenschutz, Kontinuitätsmanagement)
- Definition und Pflege von Meta-Daten (Verantwortliche, Autoren, Prüfer, Freigeber, Vertraulichkeitsstufe, Geltungsbereich, Gültigkeitsdauer, etc.)
- Workflow-gestützte Prüfung, Freigabe inkl. elektronischer Signatur
- Zielgruppenspezifische Veröffentlichung der Dokumente unter Berücksichtigung feingranularer Zugriffsberechtigungen
- Versionierung und revisionssichere Spei-cherung der Dokumente
- Überwachung der Gültigkeitsdauer inkl. automatischer Wiedervorlage.
- Workflows zur Verlängerung der Gültigkeit, zur Außerkraftsetzung und zur Archivierung
- Kontextsensitive Volltextsuche mit umfassenden Filtermöglichkeiten
Incident Management
- Schnelle und einfache Erfassung von Sicherheitsvorfällen über Web-Formulare
- Zuordnung betroffener Assets bzw. Asset-Gruppen
- Definition von Verantwortlichkeiten und Bearbeitern zur schnellen und effizienten Behandlung von Sicherheitsvorfällen
- Einstufung der Kritikalität, Priorität und Definition von Fristen im Hinblick auf die Behandlung des Sicherheitsvorfalls und der damit verbundenen Maßnahmen
- Definition von Sofort-, Korrektur und Vorbeugungsmaßnahmen
- Umfassendes Dashboard zur Überwachung von Status und Behandlungsfortschritt
Datenschutz (EU DSGVO)
- Revisionssichere Erstellung, Prüfung und
- Freigabe aller datenschutzspezifischen Dokumente und Formulare
- Führen des Verzeichnisses für die Verarbeitungstätigkeiten bzw. Verwaltung von allen AV-Verträgen
- Erfassung der datenschutzrelevanten Aspekte (Relevanz, Art der Verarbeitung, Betroffenenkategorien, Empfängergruppen, etc.)
- Schutzbedarfsanalyse und Risikobeurteilung aus Perspektive des Datenschutzes
- Erfassung und Steuerung aller Maßnahmen zur Gewährleistung des Datenschutzes
- Unterstützung bei der Meldung und Behandlung von Datenschutzvorfällen
Kontinuitätsmanagement (BCM/BIA)
- Durchführung von Business Impact Analysen (BIA) inkl. Dokumentation der Ergebnisse
- Bewertung von Risiken resultierend aus der BIA und Definition von Maßnahmen
- Verwaltung alle relevanten BCM/BIA Dokumente (Notfallpläne, Betriebshandbücher, Wiederanlaufpläne)
- Steuerung zyklisch durchzuführender Notfall- bzw. Wiederanlauftests für kritische Prozesse bzw. Assets
Einblick in unsere Kundenbeziehungen
„Bei der Entscheidung zur Einführung eines ISMS, war für uns das schlüssige Gesamtpaket der DHC entscheidend, nämlich die schnelle Projektdurchführung und die kurze ,time to market’, verbunden mit einer optimalen Anschlussfähigkeit des ISMS zu vor- und nachgelagerten Managementsystemen. Insbesondere die Dashboards von DHC VISION mit Echtzeitdaten zu Assets, Risiken und potentiellen Schäden, zum Status von Richtlinien und den wichtigsten KPIs sind überaus wertvoll. Das hat auch die Geschäftsführung nachdrücklich überzeugt.
Kurz: Wir haben die richtige Entscheidung getroffen.“
Mats Conrad
Joh. Meier Werkzeugbau GmbH
Validierung und Compliance konsequent im Blick
DHC VISION ist speziell für den Einsatz in hochregulierten Branchen konzipiert. So erfüllt die Lösung technologisch wie auch fachlich (Business Prozesse) die GxP Guidelines und Richtlinien der FDA, EMA, PIC/S oder ICH sowie den 21 CFR Part 11. Zur Validierung des Systems steht das Validation Package bereit. Bestehend aus den Validation Accelerators (vollständiges Dokumentationsset zur Validierung) und den Validation Services zur Anpassung der Dokumentation an Ihre individuelle Situation.
Dazu passende Produkte
TRAINING
Die perfekte und nahtlos integrierbare Ergänzung zum SOP Management. Die digitalen Prozesse setzen neue Maßstäbe in der „Training Compliance“.
AUDIT
Unverzichtbar für ein integriertes Managementsystem. Der gesamte Auditprozess ist digital sowie benutzerfreundlich gestaltet. Die ideale Ergänzung zu den übrigen Q-Modulen.
CAPA
Automatisierte Steuerung von Corrective and Preventive Actions. Damit keine Maßnahme vergessen wird – bis zur vollständigen Umsetzung.
PROZESSE
Mehr als reine Modellierung. Die
Lösung vereint moderne Prozessmanagementkonzepte mit einem leistungsfähigen DMS und einem mehr als normkonformen Risikomanagement.
SFO
Mit der Schriftlich fixierten Ordnung werden gesetzliche Vorgaben erfüllt und der ordnungsgemäße Geschäftsbetrieb sichergestellt.
Ihr Informationspaket
Erhalten Sie einen Eindruck von diesem und weiteren Produkten oder lesen Sie, welche Erkenntnisse wir aus der Forschung und Entwicklung gewonnen haben. Nutzen Sie unsere exklusiven Inhalte wie Whitepaper oder Studienergebnisse rund um die Digitalisierung der Qualitäts- und Compliance-Prozesse. Stellen Sie sich einfach und bequem Ihre gewünschten Medien zusammen.
Wissenswertes | News | Aktuelles
FUJIFILM Europe – Der Healthcare Spezialist setzt auf die Quality Solution und zugehörige IT-Services der DHC Business Solutions
Das japanische Unternehmen Fujifilm ist als global agierender Technologiekonzern vor allem im Consumer Markt sehr bekannt. Doch die...
ISMS Software sichert die Energieversorgung
Die Kommunale Eisenberger Energiepartner GmbH, kurz KEEP, ist ein Zusammenschluss der Elektrizitätsversorgungsunternehmen der...
Informationssicherheitsmanagement (ISMS) für die Energiewirtschaft
Energieversorgungsunternehmen (EVU) betreiben Infrastrukturen, die für das staatliche Gemeinwesen von Bedeutung. Ihr Ausfall oder...
FAQ
Was versteht man unter einem ISMS?
Der Begriff ISMS steht für Information Security Management System. Ein ISMS definiert Methoden und Regeln, um in einer Organisation bzw. einem Unternehmen die Informationssicherheit zur gewährleisten.
Basierend auf der aktuellen Bedrohungslage werden Risiken im Bezug auf die Werte (Assets) abgeleitet. Als Werte sind dabei nicht nur IT-Komponenten zu verstehen, dies betrifft auch die Gebäudeinfrastruktur, Geschäftsprozesse, die Beschäftigten, geistiges Eigentum und sonstige schützenswerte Daten. Durch die Umsetzung von geeigneten technischen und organisatorischen Maßnahmen sollen die Risiken im Hinblick auf die mögliche Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß reduzierten. Hierbei handelt es sich um einen kontinuierlichen Prozess der regelmäßen Überwachungen und Nachsteuerung.
Was ist das Ziel eines ISMS?
Das Ziel eines ISMS besteht im Wesentlichen darin, die Informationssicherheit einer Organisation kontinuierlich zu verbessern.
Konkrete Ziel sind dabei:
- Schaffung eines Gesamtbewusstseins für Informationssicherheit in der Organisation,
- Identifikation der zu schützenden Werte (Assets),
- Identifikation und Bewertung der Informationssicherheitsrisiken,
- Definition und Umsetzung geeigneter Schutzmaßnahmen,
- Etablierung von Prozessen zur kontinuierlichen Verbesserung der Informationssicherheit.
Brauche ich ein ISMS?
Bisher stehen nur KRITIS-Unternehmen in der Pflicht, ein Informations-sicherheitsmanagementsystem (ISMS) umzusetzen. Dazu gehören beispielsweise Unternehmen der Energie- und Wasserversorgung, der Bereiche Transport und Verkehr, der medizinischen Versorgung, der staatlichen Verwaltung – zusammengefasst sind alle Unternehmen und Organisationen betroffen, welche die Versorgung mit diesen und weiteren unentbehrlichen Dienstleistungen und Gütern sicherstellen müssen.
In Zeiten stetiger wachsender Bedrohungen durch Cyberkriminalität, Hackerangriffe und Datendiebstahl sei jedoch allen Unternehmen und Organisation empfohlen, sich mit der Thematik auseinanderzusetzten. Durch eine strukturierte Herangehensweise im Rahmen der Einführung eines ISMS können Sicherheitslücken identifiziert und durch geeignete Maßnahmen geschlossen werden. In vielen B2B-Geschäftsbeziehungen wird vom Geschäftspartner das Vorhandensein eines funktionierenden ISMS erwartet.