Effizentes Mangagement der Informationssicheit 

INFORMATIONSSICHERHEITSMANAGEMENT (ISMS) 

Ein modernes System zum Management von Informationssicherheit (ISMS) ist digital. Zuverlässigkeit entsteht durch papierlose Dokumentation und die automatisierte Steuerung der Abläufe. Die ISMS-Lösung der DHC Business Solutions folgt den Standards der ISO/IEC 27001 und erfüllt die Vorgaben des BSI. Berücksichtigt werden auch branchenspezifische Regelungen mit höheren Schutzanforderungen. 

Factsheet anfordern
Die Grafik bildet das Informationssicherheitsmanagement ab.

Heimtückische Angriffe auf IT-Infrastrukturen sind keine Seltenheit mehr. Trojaner, Viren und Würmer verursachen gewaltige Schäden. Sie gefährden die Sicherheit von Organisationen jeder Art. Wer sich nicht umfassend durch technische und organisatorische Maßnahmen schützt, wird kurz- oder mittelfristig zwangsläufig Opfer eines Cyber-Angriffs. Datendiebstahl oder -zerstörung, digitale Erpressung oder die Verbreitung von Schadsoftware sind nur einige Beispiele möglicher Konsequenzen.  

Wie Informationssicherheit hergestellt werden kann, regeln ISO-Normen oder die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sie liefern die Grundlagen für ein Informationssicherheitsmanagementsystem (ISMS). Den verlässlichen Rahmen für die Dokumentation und die Grundlage zur Steuerung eines solchen Systems garantiert das ISMS der DHC Business Solutions. Es ist auch die digitale Lösung für die besonderen Anforderungen an den Schutz von kritischen Infrastrukturen (KRITIS) und branchenspezifischen Sicherheitsstandards (B3S). Das ISMS folgt dem PDCA-Modell; einzelne Phasen für Planung, Durchführung, Überprüfung und kontinuierliche Verbesserung von Aktivitäten sind formalisiert: Die IT-Infrastruktur wird umfassend dokumentiert, Risiken und das jeweils aktuelle Sicherheitsniveau werden analysiert und Prozesse zur transparenten Nachverfolgung von Maßnahmen sind etabliert.  

Eindrucksvolle Funktionalität

Assetmanagement / Wertemanagement 

  • Inventarisierung beliebiger Assets (Werte) inkl. Gruppierungen und Hierarchisierung

  • Benennung von Verantwortlichkeiten und Ergänzung von Detailinformationen

  • Aufbau von Bezügen zu wirkenden Bedrohungen, ausnutzbaren Schwachstellen

  • Identifikation und Zuordnung von Informationssicherheitsrisiken

  • Unterstützung einer umfassenden Schutzbedarfsanalyse

  • Erweiterbarkeit um kundenindividuelle und branchenspezifischen Schutzziele

  • Flexible Schnittstellen zum Import und Update von Assetstrukturen

Die Grafik zeigt das Asset- und Wertemanagement im Informationssicherheitsmanagement.
Die Grafik zeigt das Risikomanagement im Informationssicherheitsmanagement.

Risikomanagement 

  • Erfassung und umfassende Dokumentation aller Informationssicherheitsrisiken

  • Mehrdimensionale Risikobewertung (Eintrittswahrscheinlichkeit, Schadensausmaß)

  • Aufbau von Bezügen zwischen Risiken, Bedrohungen und Schwachstellen

  • Festlegung der Risikobehandlungsstrategie (Vermeiden, Vermindern, etc.)

  • Definition und Zuordnung von adäquaten Maßnahmen zur Risikobehandlung

  • Betrachtung der Risiken vor und nach der Umsetzung von risikoreduzierenden Maßnahmen

  • Abgabe von Erklärungen zur Akzeptanz von Restrisiken

  • Übersichtliche Dashboards zur Überwachung des Risikobehandlungsvorschritts

Maßnahmenmanagement und Vorfallbehandlung 

  • Prozessunterstützung bei der Umsetzung von Informationssicherheitsmaßnahmen

  • Definition von zyklisch wiederkehrenden Maßnahmen

  • Erinnerung an Termine bzgl. eingeleiteter Maßnahmen inkl. Eskalationsmechanismen

  • Nachhaltige und revisionssichere Dokumentation der Umsetzungsergebnisse

  • Schnelle und einfache Erfassung von Sicherheitsvorfällen über Web-Formulare

  • Definition von Verantwortlichkeiten und Bearbeitern zur schnellen und effizienten Behandlung von Sicherheitsvorfällen

  • Definition von Sofort-, Korrektur und Vorbeugungsmaßnahmen

  • Dashboard zur Überwachung von Status und Behandlungsfortschritt

Die Grafik bildet Maßnahmen und Vorfallbehandlungen im Informationssicherheitsmanagement ab.

Alle Möglichkeiten auf einen Blick

Assetmanagement

  • Inventarisierung beliebiger Assets mit der Möglichkeit zur Bildung von Assetgruppen und Assethierarchien
  • Benennung von Verantwortlichkeiten, Pflege von Beschreibungen und weiteren Detailinformationen
  • Aufbau von Bezügen zu wirkenden Bedrohungen, ausnutzbaren Schwachstellen und resultierenden Risiken
  • Durchführung einer Schutzbedarfsanalyse unter Einbeziehung von übergeordneten oder untergeordneten Assets
  • Berücksichtigung aller grundlegenden und branchenspezifischen Schutzziele („Verfügbarkeit“, „Integrität“, „Vertraulichkeit“, „Authentizität“, „Patientensicherheit“, „Behandlungseffektivität“, etc.)
  • Flexible Erweiterbarkeit um kundenindividuelle Asseteigenschaften

Risikomanagement

  • Erfassung und umfassende Dokumentation aller Informationssicherheitsrisiken (Verantwortlichkeiten, Risikobeschreibung, Auswirkungen bei Risikoeintritt, etc.)
  • Bewertung von Risiken in den Dimensionen „Eintrittswahrscheinlichkeit“ und „Schadensausmaß“ (Qualitativ bzw. Quantitativ)
  • Herstellung von Bezügen zu den für das Risiko ursächlichen Bedrohungen und ausnutzbaren Schwachstellen
  • Festlegung der Risikobehandlungsstrategie (Vermeiden, Vermindern, etc.) und Zuordnung der adäquaten Maßnahmen
  • Individuelle Betrachtung der Risiken vor und nach der Umsetzung von risikoreduzierenden Maßnahmen (Brutto/Netto-Betrachtung)
  • Abgabe von Erklärungen zur Akzeptanz von Restrisiken
  • Übersichtliche Dashboards und Auswertungen zur effizienten Überwachung der Risikosituation

Maßnahmenmanagement

  • Vollständige Prozessunterstützung, von der Erfassung, Umsetzung und Wirksamkeitsprüfung bis hin zum formalen Abschluss von Maßnahmen
  • Situative Klassifizierung von Maßnahme
    • Präventivmaßnahmen zur vorausschauenden Reduktion von Risiken
    • Sofort- und Korrekturmaßnahmen zur Behandlung von Sicherheitsvorfällen
  • Definition von zyklisch wiederkehrenden Maßnahmen inkl. automatischem Maßnahmenstart (wöchentlich, monatlich, jährlich
  • Erinnerung an Termine bzgl. eingeleiteter Maßnahmen inkl. Eskalationsmechanismen
  • Nachhaltige und revisionssichere Dokumentation der Umsetzungsergebnisse
  • Rollenspezifische Dashboards zur Überwachung des Maßnahmenstatus, der Priorität und des Umsetzungsfortschritts

Ereignisse, Benachrichtigungen, Kommunikation

  • Notification Event Modeling Framework zur automatisierten, präzisen und rechtzeitigen Benachrichtigung von Personen, Rollen/Gruppen oder Systemen über den Zustandswert von definierbaren Ereignissen (Events) wie zum Beispiel Datum, Schwellenwert, Messgröße, neue Dokumentversionen.
  • Flexible und ansprechende Gestaltung von Benachrichtigungen (u.a. HTML); auch mehrsprachig, an verschiedene Empfängersysteme (eMail, Social Media, Mobile Gadgets etc)
  • Regelwerke und Kommunikation durch die Erstellung von Nachrichten entlang rollenbezogener Interessen und Sichten (Benutzer Sicht, organisatorische Sicht, Compliance Sicht). Zurückweisung oder Ablehnung einer Aufgabe (hier Kommentierungspflicht)
  • Alle Benachrichtigungen unterliegen einem Audit-Trail
  • Volle Nachvollziehbarkeit wer, wann, mit welchem Inhalt, über was informiert wurde

Normen / Gesetze / Branchenspezifische Vorgaben

  • Erfassung bzw. Import von Normen und gesetzlichen Vorgaben (ISO/IEC 27001, 27002, 27005, 27019, 22301, EU DSGVO, etc.)
  • Abbildung von KRITIS-Anforderungen bzw. weiteren branchenspezifischen Standards (IT-SiG, B3S-Medizinische Versorgung, VDA ISA (TISAX), etc.)
  • Einbindung des neuen BSI Grundschutzkompendiums mit den spezifischen Bedrohungskatalogen und Maßnahmenempfehlungen
  • Verknüpfung der erstellten Richtlinien und geplanten/umgesetzten Maßnahmen zu Normen bzw. den spezifischen Zielvergaben
  • Dashboards und Auswertungen zur Überwachung des normativen Erfüllungsgrades

Dokumentenmanagement

  • Templatebasierte Erstellung und Ablage aller themenspezifischen Dokumente direkt innerhalb von DHC VISION
  • Bereitstellung von vorbefüllten Dokumententemplates für das Informationssicherheitsmanagement und angrenzende Themen (Datenschutz, Kontinuitätsmanagement)
  • Definition und Pflege von Meta-Daten (Verantwortliche, Autoren, Prüfer, Freigeber, Vertraulichkeitsstufe, Geltungsbereich, Gültigkeitsdauer, etc.)
  • Workflow-gestützte Prüfung, Freigabe inkl. elektronischer Signatur
  • Zielgruppenspezifische Veröffentlichung der Dokumente unter Berücksichtigung feingranularer Zugriffsberechtigungen
  • Versionierung und revisionssichere Spei-cherung der Dokumente
  • Überwachung der Gültigkeitsdauer inkl. automatischer Wiedervorlage.
  • Workflows zur Verlängerung der Gültigkeit, zur Außerkraftsetzung und zur Archivierung
  • Kontextsensitive Volltextsuche mit umfassenden Filtermöglichkeiten

Incident Management

  • Schnelle und einfache Erfassung von Sicherheitsvorfällen über Web-Formulare
  • Zuordnung betroffener Assets bzw. Asset-Gruppen
  • Definition von Verantwortlichkeiten und Bearbeitern zur schnellen und effizienten Behandlung von Sicherheitsvorfällen
  • Einstufung der Kritikalität, Priorität und Definition von Fristen im Hinblick auf die Behandlung des Sicherheitsvorfalls und der damit verbundenen Maßnahmen
  • Definition von Sofort-, Korrektur und Vorbeugungsmaßnahmen
  • Umfassendes Dashboard zur Überwachung von Status und Behandlungsfortschritt

Datenschutz (EU DSGVO)

  • Revisionssichere Erstellung, Prüfung und
  • Freigabe aller datenschutzspezifischen Dokumente und Formulare
  • Führen des Verzeichnisses für die Verarbeitungstätigkeiten bzw. Verwaltung von allen AV-Verträgen
  • Erfassung der datenschutzrelevanten Aspekte (Relevanz, Art der Verarbeitung, Betroffenenkategorien, Empfängergruppen, etc.)
  • Schutzbedarfsanalyse und Risikobeurteilung aus Perspektive des Datenschutzes
  • Erfassung und Steuerung aller Maßnahmen zur Gewährleistung des Datenschutzes
  • Unterstützung bei der Meldung und Behandlung von Datenschutzvorfällen

Kontinuitätsmanagement (BCM/BIA)

  • Durchführung von Business Impact Analysen (BIA) inkl. Dokumentation der Ergebnisse
  • Bewertung von Risiken resultierend aus der BIA und Definition von Maßnahmen
  • Verwaltung alle relevanten BCM/BIA Dokumente (Notfallpläne, Betriebshandbücher, Wiederanlaufpläne)
  • Steuerung zyklisch durchzuführender Notfall- bzw. Wiederanlauftests für kritische Prozesse bzw. Assets

Validierung und Compliance konsequent im Blick

DHC VISION ist speziell für den Einsatz in hochregulierten Branchen konzipiert. So erfüllt die Lösung technologisch wie auch fachlich (Business Prozesse) die GxP Guidelines und Richtlinien der FDA, EMA, PIC/S oder ICH sowie den 21 CFR Part 11. Zur Validierung des Systems steht das Validation Package bereit. Bestehend aus den Validation Accelerators (vollständiges Dokumentationsset zur Validierung) und den Validation Services zur Anpassung der Dokumentation an Ihre individuelle Situation.

Erfahren sie mehr

Einblick in unsere Kundenbeziehungen

5 sterne

Bei der Entscheidung zur Einführung eines ISMS, war für uns das schlüssige Gesamtpaket der DHC entscheidend, nämlich die schnelle Projektdurchführung und die kurze ,time to market, verbunden mit einer optimalen Anschlussfähigkeit des ISMS zu vor- und nachgelagerten Managementsystemen. Insbesondere die Dashboards von DHC VISION mit Echtzeitdaten zu Assets, Risiken und potentiellen Schäden, zum Status von Richtlinien und den wichtigsten KPIs sind überaus wertvoll. Das hat auch die Geschäftsführung nachdrücklich überzeugt.  
Kurz: Wir haben die richtige Entscheidung getroffen.“

Mats Conrad
Joh. Meier Werkzeugbau GmbH 

Factsheet anfordern

Alle Prozesse des Informationssicherheitsmanagements und den vollständigen Funktionsumfang haben wir Ihnen kompakt in dem Factsheet zum DHC VISION ISMS zusammengefasst. 

*“ zeigt erforderliche Felder an

Einwilligung*
*

Entdecken Sie unsere Produkte

Training

Training

Die perfekte und nahtlos integrierbare Ergänzung zum SOP Management. Die digitalen Prozesse setzen neue Maßstäbe in der „Training Compliance“.

Audit

Audit

Unverzichtbar für ein Integriertes Managementsystem. Der gesamte Auditprozess ist digital sowie benutzerfreundlich gestaltet. Die ideale Ergänzung zu den übrigen Q-Modulen.

Capa

Capa

Automatisierte Steuerung von Corrective und Preventive Actions. Damit keine Maßnahme vergessen wird, bis zur vollständigen Umsetzung.

Prozesse

PROZESSE

Mehr als reine Modellierung. Die Lösung vereint moderne Prozessmanagementkonzepte mit einem leistungsfähigen DMS und einem mehr als normkonformen Risikomanagement.

SFO

SFO

Mit der Schriftlich fixierten Ordnung werden gesetzliche Vorgaben erfüllt und der ordnungsgemäße Geschäftsbetrieb sichergestellt.

Ihr Informationspaket

Erhalten Sie einen Eindruck von diesem und weiteren Produkten oder lesen Sie, welche Erkenntnisse wir aus der Forschung und Entwicklung gewonnen haben. Nutzen Sie unsere exklusiven Inhalte wie Whitepaper oder Studienergebnisse rund um die Digitalisierung der Qualitäts- und Compliance-Prozesse. Stellen Sie sich einfach und bequem Ihre gewünschten Medien zusammen.

Informationen anfordern

Wissenswertes | News | Aktuelles

Weitere News