default
trax Lösungen

Kritische Infrastrukturen absichern

Kritische Infrastruktur ISMS

Betreiber Kritischer Infrastrukturen müssen dem Bundesamt für Sicherheit in der Informationstechnik alle zwei Jahre nachweisen, dass sie Maßnahmen nach dem Stand der Technik umgesetzt haben. Unabhängig davon, welche Prüfgrundlage Sie wählen, müssen Sie dazu ein ISMS nach ISO 27001, ein BCMS und ein Risikomanagement implementieren, um darüber die eigentlichen technischen und organisatorischen Maßnahmen zu steuern. Und hier kommen die Stärken von TTS trax zum Tragen.

Umsetzung eines B3S

Wenn Sie sich als Prüfgrundlage für einen branchenspezifischen Sicherheitsstandard entschieden haben, dann kann Ihnen TTS trax umfassend bei der Vorbereitung auf die Prüfung nach BSIG §8a helfen.

  • Modellieren Sie den KRITIS Geltungsbereich, indem Sie Geschäftsprozesse, Informations- und Unternehmenswerte erfassen
  • Definieren Sie die KRITIS Schutzziele durch die Bewertung von Schadenspotentialen und Ableitung der Schutzbedarfe
  • Berücksichtigen Sie die branchenspezifische Gefährdungslage mittels individuellen Gefährdungskatalogen
  • Konfigurieren Sie individuelle Parameter für das Risikomanagement, um B3S-spezifische und unternehmensspezifische Vorgaben zu berücksichtigen
  • Berücksichtigen Sie branchenspezifische Maßnahmen mittels individueller Maßnahmenkataloge
  • Implementieren Sie ein Informationssicherheits-Managementsystem und nutzen Sie dafür die umfangreichen Funktionen zur Unterstützung der ISMS-Prozesse
  • Bauen Sie ein Business Continuity Management System mit dem künftigen BCM-Modul (ab Release 3.0)

ISMS aufbauen

Informationssicherheitsmanagementsystem aufbauen

Die steigende Bedeutung von Informationssicherheit im Allgemeinen sowie neue gesetzliche, regulatorische und kundenspezifische Anforderungen motivieren Unternehmen nahezu aller Branchen zum Aufbau und Betrieb eines Informationssicherheitsmanagementsystems (ISMS) gemäß den Anforderungen der ISO 27001. Aufgrund des Umfangs und / oder der Komplexität der geforderten Themen wie z.B. die Umsetzung eines Risikomanagements ist eine IT-seitige Unterstützung der ISMS Aktivitäten fast unerlässlich.

TTS trax kann Sie hier in allen Phasen angefangen beim Aufbau, dem Betrieb und der Prüfung ihres ISMS unterstützen.

  • Erfassen und verwalten Sie die Stammdaten aller Werte wie Geschäftsprozesse, zu schützende Informationswerte und unterstützende Werte, z.B. Hardware, Software, Netzwerke, Personal und Standorte.
  • Führen Sie auf Basis der Werte und Schutzziele Schutzbedarfsanalysen durch und ermitteln Sie automatisch die Kritikalität der Geschäftsprozesse sowie den Schutzbedarf der unterstützenden Werte. Formulare zur zyklischen Abfrage der Bewertungen vereinfachen Ihnen diese Abfragen sehr.
  • Identifizieren, analysieren und bewerten Sie im Rahmen von Risikobeurteilungen relevante Risiken für Ihre unterstützenden Werte und behandeln Sie die Risiken durch die Planung von Maßnahmen zur Risikoreduktion.
  • Bündeln, Steuern und Überwachen Sie Maßnahmen und Aufgaben inklusive der Definition von Prioritäten, Zeitschätzungen und Aufwänden. Verfolgen Sie die Umsetzung von Maßnahmen und Aufgaben anhand von E-Mail-basierten Formularen und Workflows.
  • Erstellen Sie die Erklärung zur Anwendbarkeit (SoA) zum Anhang A der ISO 27001 und exportieren Sie diese samt Dokumentlenkung als Nachweis für Audits.
  • Erhalten Sie jederzeit den aktuellen Stand Ihrer Ist-Risikolage sowie der Maßnahmenumsetzung über das Dashboard und weitere Ansichten.
  • Erfassen und managen Sie Anforderungen aus dem kontinuierlichen Verbesserungsprozess (KVP) wie z.B. Feststellungen aus Audits, Sicherheitsvorfällen und Ergebnisse der Managementbewertung.
  • Definieren, erfassen und berichten Sie Kennzahlen, um die Qualität des ISMS zu verbessern.
  • Konfigurieren Sie TTS trax nach Ihren Wünschen und Vorgaben mit individueller Anpassung der Sicherheitsziele, Schadens- und Schadensauswirkungskategorien sowie Verwendung der eigenen Risikomatrix.

Etablieren eines Risikomanagements

Risikomanagement etablieren

Es ist heute keine Frage des Wollens mehr, jedes Unternehmen muss sich vor Cyberangriffen und Datenverlusten/-manipulationen schützen. Die Bedeutung der Informationsverarbeitung ist immens geworden und entsprechend komplex sind die Aufbau- und Ablauforganisationen für die Verarbeitung von geschäftsrelevanten Informationen. Die Bedrohungslage wächst und genauso wachsen die rechtlichen und vertraglichen Anforderungen inkl. Haftungsfragen.

Jedes Management sollte auch Chancen- und Risikomanagement beinhalten, wenn die Wirkungen von Maßnahmen unsicher sind.
Dabei gilt es, Erträge und Risiken vor einer Entscheidung abzuwägen. Das Ziel bei der Etablierung eines effektiven Risikomanagements sollte es sein, einen unternehmensweiten Prozess zu implementieren, der sicherstellt, dass alle Risiken gegenüber Geschäftsprozessen vollständig identifiziert, bewertet, nachverfolgt und behandelt werden können. Ohne die Unterstützung eines effizienten Tools ist diese Aufgabe nur schwer zu bewältigen.

Mit TTS trax sind Sie in der Lage, Ihre Risiken auf Basis eines Modells der Informationsverarbeitung gegenüber den Bedrohungen für die Informationsverarbeitung zu analysieren und Maßnahmen für ein geeignetes Risikoniveau zu planen und nachzuverfolgen. TTS trax stammt aus der Praxis und hat sich branchenübergreifend bei einer Vielzahl von Unternehmen bewährt. Zu allererst liegt dies daran, dass sehr viel Wert darauf gelegt worden ist, eine hohe Transparenz der tatsächlichen haftungsrelevanten Ist-Risiken zu erreichen und eine Steuerung der Maßnahmenumsetzung im operativen Betrieb zu unterstützen. Ein ausgeklügeltes Formularsystem, drill-down Übersichten, aufgabenspezifische Views und Berichte, sowie ein intelligentes Filtersystem sind nur einige Gründe, weshalb TTS trax bei der Etablierung eines Risikomanagements nicht nur die gängigen Standards erfüllt, sondern tatsächlich eine operative Entfaltung realisiert und die Geschicke eines Unternehmens risikobasiert absichert.

Durch TTS trax entsteht so aus der Pflichtaufgabe des Risikomanagements ein echter Mehrwert für das Unternehmen.

 

Projekte zur Digitalisierung begleiten

Digitalisierung

Mit der zunehmenden Digitalisierung aller Geschäftsprozesse steigt natürlich auch das Risiko für Sicherheitsvorfälle. Deswegen ist es entscheidend, dass Risiken bereits frühzeitig in einem Projekt erkannt und geeignete Maßnahmen eingeplant werden. Ganz egal, ob Sie nach dem Wasserfall-Prinzip oder agil vorgehen, mit TTS trax können Sie Risiken und Maßnahmen projektbegleitend über die verschiedenen Projektphasen oder Sprints bearbeiten.

  • Legen Sie eine neue Risikobewertung für Ihr Projekt an und definieren Sie den Scope der Betrachtung
  • Bewerten Sie Risiken auf Basis vorgegebener Kataloge Ihres Unternehmens oder auch individuell
  • Behandeln Sie Risiken durch geeignete Maßnahmen und planen diese zur Umsetzung ein
  • Ermitteln Sie den Stand der Umsetzung durch automatisierte Workflows
  • Bei Changes im Projekt überprüfen Sie bestehende Risiken oder Maßnahmen
  • Nutzen Sie jederzeit die vielfältigen Reportingmöglichkeiten für die Risikokommunikation mit Projektleitung oder Steuerungsgremien
  • Wenn Sie TTS trax projektbegleitend verwenden, können Sie zum Go-Live auf Knopfdruck den aktuellen Stand der Risiken zur Bewertung heranziehen

Mit TTS trax werden die Risiken Ihrer Digitalisierungsstrategie transparent, nachvollziehbar und eine Entscheidung über einen Go-Live bestmöglich unterstützt.

Datenschutzmanagement etablieren

Datenschutzmanagement

Wenn Gemeinsamkeiten statt Unterschiede zählen

Innerhalb eines Unternehmens gibt es mehrere Disziplinen, die auf Basis eines systematischen Ansatzes ordnungsgemäß gemanagt werden müssen. Dabei ist es egal welche Unternehmensdisziplin man betrachtet, zu allererst braucht es ein Modell der relevanten Verfahren und Abläufe, um managen zu können. In Bezug auf Informationssicherheit und Datenschutz wird ein Modell der Informations- bzw. Datenverarbeitung benötigt. Und dies sollte möglichst dasselbe sein!

In TTS trax ist viel Wert auf eine Integration des Datenschutzes mit den Aktivitäten der Informationssicherheit gelegt worden. Dadurch wird ein Großteil der DSGVO-Anforderungen unterstützt, z.B. kann

  • das Verzeichnis von Verarbeitungstätigkeiten geführt werden
  • ermittelt werden, ob Datenschutz-Folgeabschätzungen notwendig sind
  • eine Risikobewertung und -bewältigung durch Abhilfemaßnahmen durchgeführt und geplant werden sowie
  • der Umsetzungsstand der Abhilfemaßnahmen fortgeschrieben und berichtet werden

Insgesamt führt dies zu deutlichen Einsparungspotentialen und vor allem zu konsistenten Bewertungen und Ergebnissen.