Geschäftsprozesse erfassen und bewerten mit QSEC

Das ISMS ist ein wesentlicher Bestandteil der IT- und Informationssicherheitsstrategie eines Unternehmens Es beinhaltet das Risikomanagement für die Informationen und alle Maßnahmen, um den Schutz der Unternehmensinformationen zu gewährleisten.
Um im Vorfeld den Schutzbedarf der Informationen festlegen zu können, muss erfasst werden, welche Geschäftsprozesse im Unternehmen ablaufen.
Bei der Erfassung und Analyse der Geschäftsprozesse kommen in Unternehmen oft Top-Down oder Bottom-Up-Methoden zum Ansatz.

Die Top-Down Variante geht von der obersten Unternehmensebene aus. Danach wird auf Teilprozesse und Prozessschritte heruntergebrochen. Beispielsweise können auf der Geschäftsführungsebene, die Kernprozesse mit dem Wissen welche Geschäftsprozesse und darin verbunden Informationen von besonderer Bedeutung für das Unternehmen sind, identifiziert werden.
Die Teilprozesse und IT-Anwendungen (Assetgruppen), werden durch die Fachverantwortlichen und IT-Spezialisten identifiziert.
Der Bottom-up-Ansatz zeichnet sich hingegen durch eine Zusammenfassung verschiedener Arbeitsschritte zu Teilprozessen und letztendlich zu Geschäftsprozessen aus. Hier werden zuerst die Assetgruppen, dann die vertraulichen Informationen und am Ende die darin verknüpften Geschäftsprozesse erfasst.

Die Prozessanalyse kann durch Auswertung von Organisations- und Arbeitsunterlagen und gegebenenfalls Mitarbeiterinterviews unterstützt werden. Damit wichtige, unternehmenskritische Geschäftsprozesse nicht vergessen werden, empfiehlt es sich, ein Interview mit den Verantwortlichen der Geschäftsbereiche (Business-Verantwortlichen) durchzuführen.
Hier unterstützt das Interview Wizard – Modul aus QSEC optimal bei der Erhebung der Information Assets. Mit der Wizard(Workflow)-Technologie in QSEC können Experten die Verantwortlichen in den Fachabteilungen mit viel geringeren Zeitaufwendungen in den Managementbewertungsprozess einbeziehen und so die Anforderungen der Geschäftsführung an ein integriertes Managementsystem erfüllen.
Dank klarer Schritt für Schritt Anweisungen sind selbst Anfänger in der Lage mit dem QSEC Tool umzugehen.
Nach der Durchführung eines Interviews in QSEC werden die Informationen hinsichtlich der Vertraulichkeit, Integrität, Verfügbarkeit und Motivation bewertet. Die besonders kritische Prozesse werden innerhalb der Risikoanalyse nach ISO 27005 näher betrachtet (QSEC Modul IT-Risiko).
Der Interview Wizard wurde als eine Vorstufe zur einen tatsächlichen Prozesserfassung konzipiert. Für Korrekturzwecke und zum Ergänzen der Information Assets ist i.d.R. Fachwissen nötig, weshalb die im Interview Wizard erfassten Informationen erst mittels Interview-Übernahme Wizard übernommen werden und tatsächlich ins System übertragen werden.

Überzeugen Sie sich selbst wie einfach, schnell und effizient die Arbeit mit QSEC Interview Wizard ist:

Zum Video

0 Kommentare

Hinterlasse Sie einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*