INFORMATIONS-
SICHEITS­MANAGEMENT

Effizientes Management der Informationssicherheit

Ein modernes System zum Management von Informationssicherheit (ISMS) ist digital. Zuverlässigkeit entsteht durch papierlose Dokumentation und die automatisierte Steuerung der Abläufe. Die ISMS Software der DHC Business Solutions folgt den Standards der ISO/IEC 27001 und erfüllt die Vorgaben des BSI. Berücksichtigt werden auch branchenspezifische Regelungen mit höheren Schutzanforderungen.

Heimtückische Angriffe auf IT-Infrastrukturen sind keine Seltenheit mehr. Trojaner, Viren und Würmer verursachen gewaltige Schäden. Sie gefährden die Sicherheit von Organisationen jeder Art. Wer sich nicht umfassend durch technische und organisatorische Maßnahmen schützt, wird kurz- oder mittelfristig zwangsläufig Opfer eines Cyber-Angriffs. Datendiebstahl oder -zerstörung, digitale Erpressung oder die Verbreitung von Schadsoftware sind nur einige Beispiele möglicher Konsequenzen.  

Wie Informationssicherheit hergestellt werden kann, regeln ISO-Normen oder die Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI). Sie liefern die Grundlagen für ein Informationssicherheitsmanagementsystem (ISMS). Den verlässlichen Rahmen für die Dokumentation und die Grundlage zur Steuerung eines solchen Systems garantiert das ISMS der DHC Business Solutions. Es ist auch die digitale Lösung für die besonderen Anforderungen an den Schutz von kritischen Infrastrukturen (KRITIS) und branchenspezifischen Sicherheitsstandards (B3S). Das ISMS folgt dem PDCA-Modell; einzelne Phasen für Planung, Durchführung, Überprüfung und kontinuierliche Verbesserung von Aktivitäten sind formalisiert: Die IT-Infrastruktur wird umfassend dokumentiert, Risiken und das jeweils aktuelle Sicherheitsniveau werden analysiert und Prozesse zur transparenten Nachverfolgung von Maßnahmen sind etabliert.  

Eindrucksvolle Funktionalität

Assetmanagement / Wertemanagement 

  • Inventarisierung beliebiger Assets (Werte) inkl. Gruppierungen und Hierarchisierung

  • Benennung von Verantwortlichkeiten und Ergänzung von Detailinformationen

  • Aufbau von Bezügen zu wirkenden Bedrohungen, ausnutzbaren Schwachstellen

  • Identifikation und Zuordnung von Informationssicherheitsrisiken

  • Unterstützung einer umfassenden Schutzbedarfsanalyse

  • Erweiterbarkeit um kundenindividuelle und branchenspezifischen Schutzziele

  • Flexible Schnittstellen zum Import und Update von Assetstrukturen

Die Grafik zeigt das Asset- und Wertemanagement im Informationssicherheitsmanagement.
Die Grafik zeigt das Risikomanagement im Informationssicherheitsmanagement.

Risikomanagement 

  • Erfassung und umfassende Dokumentation aller Informationssicherheitsrisiken
  • Mehrdimensionale Risikobewertung (Eintrittswahrscheinlichkeit, Schadensausmaß)
  • Aufbau von Bezügen zwischen Risiken, Bedrohungen und Schwachstellen
  • Festlegung der Risikobehandlungsstrategie (Vermeiden, Vermindern, etc.)
  • Definition und Zuordnung von adäquaten Maßnahmen zur Risikobehandlung
  • Betrachtung der Risiken vor und nach der Umsetzung von risikoreduzierenden Maßnahmen
  • Abgabe von Erklärungen zur Akzeptanz von Restrisiken
  • Übersichtliche Dashboards zur Überwachung des Risikobehandlungsvorschritts

Maßnahmenmanagement und Vorfallbehandlung 

  • Prozessunterstützung bei der Umsetzung von Informationssicherheitsmaßnahmen

  • Definition von zyklisch wiederkehrenden Maßnahmen

  • Erinnerung an Termine bzgl. eingeleiteter Maßnahmen inkl. Eskalationsmechanismen

  • Nachhaltige und revisionssichere Dokumentation der Umsetzungsergebnisse

  • Schnelle und einfache Erfassung von Sicherheitsvorfällen über Web-Formulare

  • Definition von Verantwortlichkeiten und Bearbeitern zur schnellen und effizienten Behandlung von Sicherheitsvorfällen

  • Definition von Sofort-, Korrektur und Vorbeugungsmaßnahmen

  • Dashboard zur Überwachung von Status und Behandlungsfortschritt

Die Grafik bildet Maßnahmen und Vorfallbehandlungen im Informationssicherheitsmanagement ab.

Factsheet anfordern

Alle Prozesse des Informations­sicherheits­managements und den vollständigen Funktionsumfang haben wir Ihnen kompakt in dem Factsheet zur DHC VISION ISMS Software zusammengefasst. 

*“ zeigt erforderliche Felder an

Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Alle Möglichkeiten auf einen Blick

Assetmanagement

  • Inventarisierung beliebiger Assets mit der Möglichkeit zur Bildung von Assetgruppen und Assethierarchien
  • Benennung von Verantwortlichkeiten, Pflege von Beschreibungen und weiteren Detailinformationen
  • Aufbau von Bezügen zu wirkenden Bedrohungen, ausnutzbaren Schwachstellen und resultierenden Risiken
  • Durchführung einer Schutzbedarfsanalyse unter Einbeziehung von übergeordneten oder untergeordneten Assets
  • Berücksichtigung aller grundlegenden und branchenspezifischen Schutzziele („Verfügbarkeit“, „Integrität“, „Vertraulichkeit“, „Authentizität“, „Patientensicherheit“, „Behandlungseffektivität“, etc.)
  • Flexible Erweiterbarkeit um kundenindividuelle Asseteigenschaften

Risikomanagement

  • Erfassung und umfassende Dokumentation aller Informationssicherheitsrisiken (Verantwortlichkeiten, Risikobeschreibung, Auswirkungen bei Risikoeintritt, etc.)
  • Bewertung von Risiken in den Dimensionen „Eintrittswahrscheinlichkeit“ und „Schadensausmaß“ (Qualitativ bzw. Quantitativ)
  • Herstellung von Bezügen zu den für das Risiko ursächlichen Bedrohungen und ausnutzbaren Schwachstellen
  • Festlegung der Risikobehandlungsstrategie (Vermeiden, Vermindern, etc.) und Zuordnung der adäquaten Maßnahmen
  • Individuelle Betrachtung der Risiken vor und nach der Umsetzung von risikoreduzierenden Maßnahmen (Brutto/Netto-Betrachtung)
  • Abgabe von Erklärungen zur Akzeptanz von Restrisiken
  • Übersichtliche Dashboards und Auswertungen zur effizienten Überwachung der Risikosituation

Maßnahmenmanagement

  • Vollständige Prozessunterstützung, von der Erfassung, Umsetzung und Wirksamkeitsprüfung bis hin zum formalen Abschluss von Maßnahmen
  • Situative Klassifizierung von Maßnahme
    • Präventivmaßnahmen zur vorausschauenden Reduktion von Risiken
    • Sofort- und Korrekturmaßnahmen zur Behandlung von Sicherheitsvorfällen
  • Definition von zyklisch wiederkehrenden Maßnahmen inkl. automatischem Maßnahmenstart (wöchentlich, monatlich, jährlich
  • Erinnerung an Termine bzgl. eingeleiteter Maßnahmen inkl. Eskalationsmechanismen
  • Nachhaltige und revisionssichere Dokumentation der Umsetzungsergebnisse
  • Rollenspezifische Dashboards zur Überwachung des Maßnahmenstatus, der Priorität und des Umsetzungsfortschritts

Ereignisse, Benachrichtigungen, Kommunikation

  • Notification Event Modeling Framework zur automatisierten, präzisen und rechtzeitigen Benachrichtigung von Personen, Rollen/Gruppen oder Systemen über den Zustandswert von definierbaren Ereignissen (Events) wie zum Beispiel Datum, Schwellenwert, Messgröße, neue Dokumentversionen.
  • Flexible und ansprechende Gestaltung von Benachrichtigungen (u.a. HTML); auch mehrsprachig, an verschiedene Empfängersysteme (eMail, Social Media, Mobile Gadgets etc)
  • Regelwerke und Kommunikation durch die Erstellung von Nachrichten entlang rollenbezogener Interessen und Sichten (Benutzer Sicht, organisatorische Sicht, Compliance Sicht). Zurückweisung oder Ablehnung einer Aufgabe (hier Kommentierungspflicht)
  • Alle Benachrichtigungen unterliegen einem Audit-Trail
  • Volle Nachvollziehbarkeit wer, wann, mit welchem Inhalt, über was informiert wurde

Normen / Gesetze / Branchenspezifische Vorgaben

  • Erfassung bzw. Import von Normen und gesetzlichen Vorgaben (ISO/IEC 27001, 27002, 27005, 27019, 22301, EU DSGVO, etc.)
  • Abbildung von KRITIS-Anforderungen bzw. weiteren branchenspezifischen Standards (IT-SiG, B3S-Medizinische Versorgung, VDA ISA (TISAX), etc.)
  • Einbindung des neuen BSI Grundschutzkompendiums mit den spezifischen Bedrohungskatalogen und Maßnahmenempfehlungen
  • Verknüpfung der erstellten Richtlinien und geplanten/umgesetzten Maßnahmen zu Normen bzw. den spezifischen Zielvergaben
  • Dashboards und Auswertungen zur Überwachung des normativen Erfüllungsgrades

Dokumentenmanagement

  • Templatebasierte Erstellung und Ablage aller themenspezifischen Dokumente direkt innerhalb von DHC VISION
  • Bereitstellung von vorbefüllten Dokumententemplates für das Informationssicherheitsmanagement und angrenzende Themen (Datenschutz, Kontinuitätsmanagement)
  • Definition und Pflege von Meta-Daten (Verantwortliche, Autoren, Prüfer, Freigeber, Vertraulichkeitsstufe, Geltungsbereich, Gültigkeitsdauer, etc.)
  • Workflow-gestützte Prüfung, Freigabe inkl. elektronischer Signatur
  • Zielgruppenspezifische Veröffentlichung der Dokumente unter Berücksichtigung feingranularer Zugriffsberechtigungen
  • Versionierung und revisionssichere Spei-cherung der Dokumente
  • Überwachung der Gültigkeitsdauer inkl. automatischer Wiedervorlage.
  • Workflows zur Verlängerung der Gültigkeit, zur Außerkraftsetzung und zur Archivierung
  • Kontextsensitive Volltextsuche mit umfassenden Filtermöglichkeiten

Incident Management

  • Schnelle und einfache Erfassung von Sicherheitsvorfällen über Web-Formulare
  • Zuordnung betroffener Assets bzw. Asset-Gruppen
  • Definition von Verantwortlichkeiten und Bearbeitern zur schnellen und effizienten Behandlung von Sicherheitsvorfällen
  • Einstufung der Kritikalität, Priorität und Definition von Fristen im Hinblick auf die Behandlung des Sicherheitsvorfalls und der damit verbundenen Maßnahmen
  • Definition von Sofort-, Korrektur und Vorbeugungsmaßnahmen
  • Umfassendes Dashboard zur Überwachung von Status und Behandlungsfortschritt

Datenschutz (EU DSGVO)

  • Revisionssichere Erstellung, Prüfung und
  • Freigabe aller datenschutzspezifischen Dokumente und Formulare
  • Führen des Verzeichnisses für die Verarbeitungstätigkeiten bzw. Verwaltung von allen AV-Verträgen
  • Erfassung der datenschutzrelevanten Aspekte (Relevanz, Art der Verarbeitung, Betroffenenkategorien, Empfängergruppen, etc.)
  • Schutzbedarfsanalyse und Risikobeurteilung aus Perspektive des Datenschutzes
  • Erfassung und Steuerung aller Maßnahmen zur Gewährleistung des Datenschutzes
  • Unterstützung bei der Meldung und Behandlung von Datenschutzvorfällen

Kontinuitätsmanagement (BCM/BIA)

  • Durchführung von Business Impact Analysen (BIA) inkl. Dokumentation der Ergebnisse
  • Bewertung von Risiken resultierend aus der BIA und Definition von Maßnahmen
  • Verwaltung alle relevanten BCM/BIA Dokumente (Notfallpläne, Betriebshandbücher, Wiederanlaufpläne)
  • Steuerung zyklisch durchzuführender Notfall- bzw. Wiederanlauftests für kritische Prozesse bzw. Assets

Einblick in unsere Kundenbeziehungen

5 sterne

Bei der Entscheidung zur Einführung eines ISMS, war für uns das schlüssige Gesamtpaket der DHC entscheidend, nämlich die schnelle Projektdurchführung und die kurze ,time to market, verbunden mit einer optimalen Anschlussfähigkeit des ISMS zu vor- und nachgelagerten Managementsystemen. Insbesondere die Dashboards von DHC VISION mit Echtzeitdaten zu Assets, Risiken und potentiellen Schäden, zum Status von Richtlinien und den wichtigsten KPIs sind überaus wertvoll. Das hat auch die Geschäftsführung nachdrücklich überzeugt.  
Kurz: Wir haben die richtige Entscheidung getroffen.“

Validierung und Compliance konsequent im Blick

DHC VISION ist speziell für den Einsatz in hochregulierten Branchen konzipiert. So erfüllt die Lösung technologisch wie auch fachlich (Business Prozesse) die GxP Guidelines und Richtlinien der FDA, EMA, PIC/S oder ICH sowie den 21 CFR Part 11. Zur Validierung des Systems steht das Validation Package bereit. Bestehend aus den Validation Accelerators (vollständiges Dokumentationsset zur Validierung) und den Validation Services zur Anpassung der Dokumentation an Ihre individuelle Situation.

Dazu passende Produkte

DHC VISION - RICHTLINIEN Software Logo

TRAINING

Die perfekte und nahtlos integrierbare Ergänzung zum SOP Management. Die digitalen Prozesse setzen neue Maßstäbe in der „Training Compliance“.

DHC VISION - RICHTLINIEN Software Logo

AUDIT

Unverzichtbar für ein integriertes Managementsystem. Der gesamte Auditprozess ist digital sowie benutzerfreundlich gestaltet. Die ideale Ergänzung zu den übrigen Q-Modulen.

DHC VISION - IKS Software Logo

CAPA

Automatisierte Steuerung von Corrective and Preventive Actions. Damit keine Maßnahme vergessen wird – bis zur vollständigen Umsetzung.

DHC VISION - Prozess- und Qualitätsmanagement Software Logo

PROZESSE

Mehr als reine Modellierung. Die
Lösung vereint moderne Prozessmanagementkonzepte mit einem leistungsfähigen DMS und einem mehr als normkonformen Risikomanagement.

DHC VISION - SFO Software Logo

SFO

Mit der Schriftlich fixierten Ordnung werden gesetzliche Vorgaben erfüllt und der ordnungsgemäße Geschäftsbetrieb sichergestellt.

Ihr Informationspaket zur ISMS Software

Erhalten Sie einen Eindruck von diesem und weiteren Produkten oder lesen Sie, welche Erkenntnisse wir aus der Forschung und Entwicklung gewonnen haben. Nutzen Sie unsere exklusiven Inhalte wie Whitepaper oder Studienergebnisse rund um die Digitalisierung der Qualitäts- und Compliance-Prozesse. Stellen Sie sich einfach und bequem Ihre gewünschten Medien zusammen.

Wissenswertes | News | Aktuelles

Informations­sicherheits­management

FAQ

Was versteht man unter ISMS Software?

Der Begriff ISMS steht für Information Security Management System. Ein ISMS definiert Methoden und Regeln, um in einer Organisation bzw. einem Unternehmen die Informationssicherheit zur gewährleisten.

Basierend auf der aktuellen Bedrohungslage werden Risiken im Bezug auf die Werte (Assets) abgeleitet. Als Werte sind dabei nicht nur IT-Komponenten zu verstehen, dies betrifft auch die Gebäudeinfrastruktur, Geschäftsprozesse, die Beschäftigten, geistiges Eigentum und sonstige schützenswerte Daten. Durch die Umsetzung von geeigneten technischen und organisatorischen Maßnahmen sollen die Risiken im Hinblick auf die mögliche Eintrittswahrscheinlichkeit und das zu erwartende Schadensausmaß reduzierten. Hierbei handelt es sich um einen kontinuierlichen Prozess der regelmäßen Überwachungen und Nachsteuerung.

Was ist das Ziel eines ISMS?

Das Ziel eines ISMS besteht im Wesentlichen darin, die Informationssicherheit einer Organisation kontinuierlich zu verbessern.

Konkrete Ziel sind dabei:

  • Schaffung eines Gesamtbewusstseins für Informationssicherheit in der Organisation,
  • Identifikation der zu schützenden Werte (Assets),
  • Identifikation und Bewertung der Informationssicherheitsrisiken,
  • Definition und Umsetzung geeigneter Schutzmaßnahmen,
  • Etablierung von Prozessen zur kontinuierlichen Verbesserung der Informationssicherheit.

Brauche ich ein ISMS?

Bisher stehen nur KRITIS-Unternehmen in der Pflicht, ein Informations-sicherheitsmanagementsystem (ISMS) umzusetzen. Dazu gehören beispielsweise Unternehmen der Energie- und Wasserversorgung, der Bereiche Transport und Verkehr, der medizinischen Versorgung, der staatlichen Verwaltung – zusammengefasst sind alle Unternehmen und Organisationen betroffen, welche die Versorgung mit diesen und weiteren unentbehrlichen Dienstleistungen und Gütern sicherstellen müssen.

In Zeiten stetiger wachsender Bedrohungen durch Cyberkriminalität, Hackerangriffe und Datendiebstahl sei jedoch allen Unternehmen und Organisation empfohlen, sich mit der Thematik auseinanderzusetzten. Durch eine strukturierte Herangehensweise im Rahmen der Einführung eines ISMS können Sicherheitslücken identifiziert und durch geeignete Maßnahmen geschlossen werden. In vielen B2B-Geschäftsbeziehungen wird vom Geschäftspartner das Vorhandensein eines funktionierenden ISMS erwartet.