QSEC Module im Überblick

Kachel_Compliance Kachel_Massnahmen Kachel_IT-Risiko Kachel_Business Impact Analyse Kachel_Security Incidents
Kachel_Dokumente Kachel_Berichte Kachel_Dashboard Kachel_Stammdaten Kachel Information Assets
Kachel_Interview-Wizard Kachel_Interview-Uebernahme-Wizard Kachel_Maßnahmen-Bewertungs-Wizard Kachel_Self-Assessment-Wizard Kachel_Risiko-Bewertungs-Wizard
Kachel_Security Level Wizard Kachel_Compliance-Wizard Kachel_Tasks kachel_administration technik

 

IT Compliance

Mit der Auswahl der Compliance-Kachel werden die Funktionen des Compliance-Moduls aktiviert. Hierüber werden die Bewertungen für den ausgewählten Untersuchungsbereich durchgeführt. Die Normen, Policies, Gesetze und Vorgaben können anhand der im ausgewählten Untersuchungsbereich hinterlegten Fragenkataloge bewertet werden. Auf Basis der beantworteten Fragen und den ggf. verbundenen Maßnahmen werden die Reifegrade der Anforderungen (Controls, Kapitel etc.) bewertet. Die Bewertungen können auf Basis von Assetmanagementangaben gesteuert werden.

Verfügen Sie über eine detaillierte Einschätzung des aktuellen Sicherheitsniveaus, einschließlich Reifegrad im Unternehmen?

Im Rahmen des Self-Assessments wird eine differenzierte Bewertung des IT Compliance Status, je Untersuchungsbereich, nach der ausgewählten Norm vorgenommen. Ressourcen und Prozesse werden dabei nicht nur zugeordnet, sondern können auch hinsichtlich des Reifegrades – Soll/Ist-Vergleich – bezogen auf die jeweilige Norm bewertet werden.
Für die Zuordnung steht ein vordefinierter Fragenkatalog mit Interviewfragen zur Verfügung, einschließlich der Möglichkeit, diese auch online zu beantworten.

Bereits bestehende, unternehmensindividuelle Fragenkataloge sind ebenso integrierbar, ebenso wie weitere Nomen.

Ein Auszug aus den Features und den bereits innerhalb QSEC verfügbaren Standards:

  • Untersuchungsbereiche individuell darstellbar
  • ISO 27001, ISO 27002 (2005 und 2013) komplett integriert
  • ISO 9001 (2008 und 2015)
  • ISO 14001, ISO 20000, BS OHSAS 18001:2007 und 18002:2008, BDSG, PCI DSS und VDA Prototypenschutz (optional)
  • VDA Assessment

Das Vorgehen ermöglicht:

  • Status-Bewertung nach Plan Do Check Act Methodik (PDCA)
  • IT Compliance Bewertung nach verschiedenen Ansätzen (inkl. der Fragenkataloge für die implementierten Regelwerke)
  • Reifegradbewertung mit Soll-/Ist-Vergleich auf Control-Ebene
  • automatische, anpassbare Wiedervorlagen für Controls
  • Definition von IT Compliance Zielwerten
  • Ermittlungen der Gaps
  • Maßnahmengenerierung zum Erreichen der IT Compliance Ziele
Compliance Bewertungsübersicht

Compliance Bewertungsübersicht

 

Maßnahmenmanagement

Mit der Auswahl der Maßnahmen-Kachel werden die Funktionen zur Erfassung und Bearbeitung der Maßnahmen aktiviert. Es können alle in den Modulen Compliance, Risiko, Security Incident, BCM/BIA erfassten Maßnahmen bearbeitet werden. Die Maßnahmen werden nach der Wiedervorlagekennzeichnung in Ampelfarben dargestellt. Die Maßnahmen können bearbeitet und aktualisiert werden. Doppelt vorhanden Maßnahmen können zusammengeführt und der Verantwortliche direkt mit Mailfunktion benachrichtigt werden. Die Maßnahmen werden direkt mit den Compliance- bzw. Risikobewertungen verbunden und die Reifegradverbesserung bzw. die Risikoreduzierung angegeben. Über die Kostenerfassung kann die korrespondierende Sicherheitsbudgetierung ausgegeben werden.

Mit der Auswahl der Dokumenten-Kachel werden die Funktionen zur Erfassung und Bearbeitung der Dokumente aktiviert. Im QSEC Dokumentenmanagement können alle relevanten Dokumente verwaltet werden. Alternativ kann über das Modul auch die Verlinkung zu einem ggf. vorhandenen Dokumentenmanagementsystem stattfinden. Dokumente können verknüpft werden mit z.B. Controls im Compliance-Management, Security Incidents, Assets, Maßnahmen uvm., so dass die Dokumente immer dort und denjenigen zur Verfügung stehen, die sie benötigen.

IT-Risiken können nur dann minimiert werden, wenn aus erkannten und erfassten Schwachstellen und Bedrohungen konkrete Maßnahmen und deren Umsetzung abgeleitet werden können.

In diesem Modul wird der Status aus dem Risikomanagement übernommen und ein Maßnahmenkatalog zur Umsetzung der erforderlichen Aktivitäten generiert.
Die QSEC-Suite stellt im Maßnahmenmanagement umfangreiche Funktionalitäten zur Verfügung.
Aus allen Modulen können vorgeschlagene Maßnahmen übernommen oder auch individuell angepasst werden.
Durch die integrierte Statusabfrage können nach erfolgreicher Umsetzung von Maßnahmen betroffene Controls sofort neu bewertet werden. In der Historie wird dann der zeitliche Veränderungsverlauf angezeigt.

Die Maßnahmen sind selbstverständlich innerhalb der QSEC-Suite mit den Modulen IT-Risiko-, Compliance-, Dokumenten- und Incident-Management verknüpft.

Ein Auszug aus den Features:

  • Untersuchungsbereiche individuell darstellbar
  • Übernahme automatisch vorgeschlagener Maßnahmen mit Anpassungsmöglichkeit
  • Anlegen individueller Maßnahmen
  • Zuweisung von Verantwortlichkeiten und Vertretungen
  • Terminierung und Termin-Tracking
  • Status-Abfrage zu jedem Zeitpunkt
  • Verknüpfung mit Projekten
  • Verknüpfung mit Controls, Risiken, Dokumenten, Security Incidents
  • Neubewertung relev. Teile nach Umsetzung der Maßnahmen
  • Risikoakzeptanz bei Nicht-Durchführung von Maßnahmen
Maßnahmen Übersicht

Maßnahmen Übersicht

 

IT-Risk Management

Mit der Auswahl der Risiko-Kachel werden die Funktionen des Risiko-Moduls aktiviert. Die in diesem Modul implementierte operative Risikomethode arbeitet nach der Norm ISO/IEC 27005. Die Berechnungsmethoden und Einstufungstabellen sind vordefiniert und können individuell an die jeweiligen Anforderungen angepasst werden.
Die hinterlegten Bedrohungs- und Schwachstellenkataloge werden den vorhandenen Assettypen zugeordnet und bewertet. Eine Anpassung ist jederzeit über das Administrationstool möglich. Bei der Bewertung werden die Maßnahmen zur Risikoreduzierung und die verbundenen Vorfälle (Security Incidents) angezeigt.
Es werden u.a. nachfolgende Werte berechnet: Schutzbedarf, Eintrittswahrscheinlichkeit, Risikowert in €, Risikostufe, Nettorisiko.

Kachel_IT-Risiko

Hier führen Sie das komplette IT Risk Management nach ISO 27005 durch und ermitteln dabei alle Schwachstellen und Bedrohungen in Ihrem Untersuchungsbereich.

Großer Vorteil beim Vorgehen nach der Methodik der ISO 27005: sie basiert auf der Ausrichtung des IT-Risikomanagements an den Geschäftsprozessen des Unternehmens. Die Geschäftsprozesse werden auf Ihre Kritikalität hin bewertet und den Assets die sie unterstützen zugeordnet. Identifizierte kritische Assets (IT-Systeme bestehend aus Applikationen, Datenbanken und Hardware) werden auf Verfügbarkeit, Integrität, Vertraulichkeit, Datenschutzrelevanz und ihren finanziellen Wert analysiert. Somit wird die Ableitung von konkreten Maßnahmenplänen zur Abwendung von Bedrohungen und Schließung von Schwachstellen möglich.

Da die Einschätzung von Kritikalität ein ganz unternehmensindividueller Wert ist, können Kriterien selbstverständlich flexibel konfiguriert werden.

Ein Auszug aus den Features:

  • Untersuchungsbereiche individuell darstellbar
  • Vorgehen nach ISO 27005 (Bedrohungslisten und Schwachstellenlisten inkl. der möglichen Kombinationen)
  • Erfassung der Kritikalität von Geschäftsprozessen möglich
  • flexibel konfigurierbare Assetgruppen-Wert-Kriterien
  • „Information“ als weiterer Primary-Asset-Typ neben den Geschäftsprozessen
  • Ermitteln der Schwachstellen und Bedrohungen von Schutzobjekten
  • Anzeige der laufenden, durchgeführten und abgebrochenen Maßnahmen je Bewertung
  • Anzeige der Security Incidents je Bewertung
  • Ermitteln individueller Risk-Werte der Schutzobjekte
  • Ermitteln der potentiellen Auswirkungen von Risiken auf die Geschäftsprozesse
  • Maßnahmenerstellung zur Reduzierung der Risiken
  • Erzeugung eines Risikoakzeptanzausdrucks bei Nichtumsetzung
IT-Risk Management Übersicht

IT-Risk Management Übersicht

 

Business Impact Analysen/Business Continuity Management
(BIA & BCM)

Hier im BCM (Business Continuity Management) führen Sie die BIA (Business Impact Analysen) – durch und analysieren Ihre Geschäftsprozesse und die Auswirkungen von Ausfällen und verwalten Ihre Dokumente zur Notfallplanung.

Kachel_Business Impact AnalyseImpact Analyse
Ermittlung des Risiko-Akzeptanzniveaus

Für jeden betrachteten Prozeß wird eine Impact Analyse für jede mögliche Impact-Kategorie durchgeführt.
Der Zeitraum für die Impact Beurteilung (maximale Prozessausfalldauer [Tage]) ist für alle Prozesse systemweit festgelegt worden (Beispiel 30 Tage).
Die Skalierung ist abhängig von den typischen Schadensverläufen der Geschäftsprozesse der Branche des betrachteten Unternehmens.

Ein Auszug aus den Features:

  • Untersuchungsbereiche individuell darstellbar
  • Anzeige der Prozesse für die BIA Bewertung
  • Erfassung der Vorgaben für MTPD, RPO,etc.
  • Bewertung der Geschäftsprozesse nach den Kriterien Finanzen, Reputation, Steuerung Recht (individuell einstellbar)
  • Berechnung der Kritikalität
  • Darstellung der GAP-Analyse (Soll-/IST RTO) und Maßnahmenerstellung je Assetgruppe
  • Festlegung der Notfallplanung und Notfalltests für kritische Geschäftsprozesse
  • Überprüfung und Bewertung der der Dokumentation für kritische Assetgruppen (IT-Notfallplan, Betriebshandbuch, Wiederanlaufplan), individuell einstellbar
QSEC BIA-Bewertung

BIA-Bewertung

 

IT Incident Management

Hier erfassen Sie die IT Incidents und verwalten gezielt IT Incident Maßnahmen.
Die Anforderungen an ein lückenloses Berichtswesen für Sicherheits- und Datenschutzvorfälle werden immer größer.Im Modul Incident Management werden  relevante Sicherheits- und Datenschutzvorfälle erfasst, um sie dann zur besseren Risikobewertung heranziehen zu können.

Kachel_Security Incidents

Dokumentiert werden neben der Kategorie und dem Schweregrad eines Incidents auch Schadenshöhe, Schadensklasse und Schadensart. Zu jedem Schadens- und Störfall wird, wie schon aus den anderen Modulen bekannt, ein Status mit Wiedervorlagen und Verantwortlichen gepflegt, der mit entsprechenden Maßnahmen und Sicherheitszielen verknüpft wird.
Erfasste Incidents sind nicht spezifischen Untersuchungsbereichen zugeordnet. Dennoch sind über die verknüpften Objekte spezifische Auswertungen je Untersuchungsbereich möglich.

Ein Auszug aus den Features:

  • Erfassung von Kategorie, Schweregrad, Schadenshöhe, -klasse, -art
  • Erfassung betroffene Assetgruppen und Personen
  • Erfassung des Sicherheitsziels
  • Verantwortlichkeit, Wiedervorlage
  • Verknüpfung mit anderen Objekten in QSEC Reporting
  • System-Reifegradmessung
  • vordefinierte Standard-Reports für verschiedene Zielgruppen
  • individuelle Reports möglich
  • Aufwertung durch aussagekräftige Grafiken
IT Incident Managemrnt Übersicht

IT Incident Managemrnt Übersicht

 

Information Assets

Mit der Auswahl der Kachel „Information Assets“ gelangen Sie zum Modul zur Erfassung und Bearbeitung der Information Assets.
Diese gliedern sich in QSEC, nach der Vorgehensweise der ISO 27005 (Risikomanagement in der Informationssicherheit), in Geschäftsprozesse, Informationen und Assets.

Kachel Information Assets

Ziel ist ein möglichst präzises Abbild der Assets einer Organisation(en) im Scope. Die als kritisch identifizierten Assets werden einer detaillierten Betrachtung im Risikomanagement unterzogen, die weniger kritischen Assets können einer Basisbetrachtung unterzogen werden.

 

Ein Auszug aus den Features:

  • Darstellung einer kompletten Unternehmensstruktur: Geschäftsprozessen, Informationen, Assets (Einzel-Assets und Assetcluster)
  • Erfassung betroffene Assetgruppen und Personen
  • Erfassung des Sicherheitsziels
  • Erfassung, Bewertung & Pflege der Information Assets
  • Darstellung einer Strukturanalyse
  • Verantwortliche Mitarbeiter für die Information Assets
  • Bewertung des Schutzbedarfs und Festlegung der Kritikalität
  • Customizing: definieren Sie flexibel Ihre eigenen Schutzziele oder weiteren zu erfassenden Eigenschaften von z.B. Assets
NEU ab der Version 5.3
  • Innerhalb der Assetgruppen können die Assets (Einzel-Assets: Notebooks, Produktionssysteme, Netzkomponenten etc.) mit den „Verwaltungs-Kriterien“ (z. B. Hersteller, Seriennummer, Standort etc.) manuell verwaltet werden
  • Zuordnung der Geschäftsprozesse und Informationen zu der Assetgruppe
  • Neuer Bericht für Assetgruppen mit Auflistung der erfassten Assets und der Asset-Kriterien
  • Risikobewertung der Assetgruppen (die erfassten Assetgruppen werden im Risikomanagement bewertet)
  • Die Security-Level werden je Assetgruppe komplett für alle Assets bewertet
  • Formularanpassung: Zur besseren Übersicht werden die komplexen Formulare in Tabs eingeteilt! In der Version 5.3 erstmalig das Assetgruppenformular mit 7 Tabs.

Die Möglichkeit der Erfassung von Assets innerhalb der Assetgruppen ist für Organisationen vorgesehen, die aufgrund von technischen Gegebenheiten ein Asset-Management-System nicht verwenden können oder der Aufwand zu groß ist.
Diese Erweiterung wird in Produktionsumgebungen, Steuerungssystemen und technischen Umgebungen mit wenigen Assets zum Einsatz kommen können.

Information_Assets

Information Assets Übersicht

 

Dokumentenmanagement

Im QSEC Modul Document Management verwalten Sie (Bearbeitung, Ablage, und Review) alle zugehörigen Dokumente, wie z.B. Security Policies, Klassifikationsrichtlinie, Benutzerrichtlinie u.s.w., innerhalb von QSEC oder in Verbindung mit dem von Ihnen genutzten Dokumenten Management System.
Jeder Veränderungsverlauf der Arbeit an einem Dokument wird lückenlos in der QSEC-Suite dokumentiert.

Kachel_Dokumente

Mit der QSEC-Suite erhalten sie Musterdokumente aller relevanten Policies, die bei Einführung und Betrieb eines ISMS benötigt werden können. Ein Vorteil, auf Basis von Expertenwissen, der erhebliche Einsparungen bei der Erstellung und Verabschiedung von Dokumenten garantiert. Alle hinterlegten Musterdokumente wurden im Rahmen von Zertifizierungsvorbereitungen zur ISO 27001 von Auditoren geprüft!

Ein Auszug aus den Features:

  • Untersuchungsbereiche individuell darstellbar
  • Musterdokumente relevanter Policies (z.B. Security Policy, Klassifikationsrichtlinie, Benutzerrichtlinie, Client-Sicherheitsrichtlinie etc.)
  • Speicherung in der QSEC-Datenbank, Anbindung von bereits vorhandenem Dokumenten-Management-System
  • Speicherung von Verfasser und Verantwortlichen
  • Versionierung
  • alle gängigen Dateitypen möglich
  • intelligente Suchfunktion
  • Dokumenten-Portal (optional)
  • Downloadfunktion
Dokumentenmanagement System Übersicht

Dokumentenmanagement-System Übersicht

 

Reporting

Kachel_BerichteKachel_Dashboard

Die QSEC Suite stellt wichtige Arbeits- und Managementreports vordefiniert oder individuell tagesaktuell zur Verfügung.
So können Sie jederzeit den Informationssicherheitsstatus Ihres Unternehmens mittels übersichtlicher, grafisch aufbereiteter Reports abfragen. Der Export von Reports, z.B. zu Excel, ist selbstverständlich möglich.

Die Reifegraddarstellung ermöglicht Ihnen den Vergleich des aktuellen Status der Informationssicherheit mit dem angestrebten Reifegrad in Ihrem Unternehmen.
Ein Auszug aus den Features:

  • Compliance-Reifegrad
  • SOA – Statement of Applicability
  • Risikostatus / Spitzenrisiken
  • Risikobegegnung
  • Kritische Geschäftsprozesse
  • Maßnahmen mit Budgetplanung
  • Dokumentenstatusbericht
  • Assetgruppenstatus
Reifegrad Bericht

Reifegrad Bericht

 

Statusbericht Fragenumsetzung

Statusbericht Fragenumsetzung

 

Dashboard

Dashboard

 

Stammdaten

Kachel_Stammdaten

Ein sinnvolles IT GRC / Information Security Management System erfordert den Überblick über alle Organisationseinheiten und Geschäftsprozesse Ihres Unternehmens.

Im Stammdaten Management verwalten Sie alle individuellen Unternehmensdaten Ihres IT GRC bzw. ISMS und legen damit einfach und flexibel den Grundstein für die Nutzung von QSEC.
Hier werden alle Daten verwaltet, die für die Durchführung des Compliance-, Maßnahmen-, Dokumenten- und Risikomanagements im Unternehmen notwendig sind.

Dazu gehören:

  • Organisationseinheiten
  • Untersuchungsbereiche
  • Geschäftsprozesse
  • Assetgruppen
  • Mitarbeiter
  • Mitarbeiter-Rollen
  • Teams
  • Adressen

Ein Auszug aus den Features:

  • Erfassen der gesamten oder relevanten Firmenstruktur in Organisationseinheiten
  • Bildung von Untersuchungsbereichen für das ISMS und weitere Normen
  • Erfassung der Geschäftsprozesse und Informationen
  • Definition von Assetgruppen, Importschnittstelle zu vorhandenem Asset-Management möglich (optional)
  • Import von Mitarbeiter-Stammdaten aus AD/LDAP oder SAP
  • Team-Bildung und Zuweisung von Verantwortlichkeiten
  • Rollenbasierte Rechteverwaltung
  • Benutzer-individuelle Aufgaben-Übersicht nach Login
  • Nachfolge- und Vertretungsregelungen
  • Mail-Benachrichtigung über aktuelle Wiedervorlagen
Geschäftseinheiten Übersicht

Geschäftseinheiten Übersicht

 

Administration

Ein Auszug aus den Features:

  • Administration der Benutzer (anlegen, ändern, sperren)
  • Konfiguration der QSEC-Module nach individuellen Anforderungen
  • Erweiterung: Konfigurationsadministrations-Tool (Installation auf einem separaten Client-System)
  • Direktzugang auf die SQL-Datenbank (anlegen, löschen, umbenennen etc. möglich) (Dieses Modul bieten wir nur in Kombination mit einer Administrationsschulung an.)
  • Erweiterung: Katalog-Erfassungs- und Pflegetool KEP-Tool (Installation auf einem separaten Client-System) Zur Erfassung von eigenen Normen, Regelwerken und internen Richtlinien.(Dieses Modul bieten wir nur in Kombination mit einer Administrationsschulung an.)
Berechtigung Übersicht

Berechtigung Übersicht

 

Task Manager

Kachel_TasksDer QSEC Task-Manager bietet ab Version 5.2 als Ergänzung zum Maßnahmenmanagement ein schnelles, einfaches und dynamisches Werkzeug, um Aufgaben zu erstellen, zuzuweisen und zu bearbeiten.
Die manuelle Erstellung neuer Tasks ist in vielen Modulen von QSEC möglich. Zusätzlich werden systemseitig automatisiert Tasks erzeugt, z.B. bei der Änderung der Bewertung von Informationen für verbundene Geschäftsprozesse und Assets (eine Neubewertung ist dann erforderlich). Dies verhindert, dass Inhalte unbemerkt veralten.

Taskliste

Task Liste

Die Priorisierung, Statusfolgen und Datierung der Tasks hilft bei der effizienten Bearbeitung Ihrer täglichen Aufgaben. Durch die Hinterlegung von Links zu dem jeweiligen Task gelangen Sie schnell an die richtige Stelle – egal ob Sie Seiten innerhalb QSEC, Ihre internen Ordnerstrukturen oder Webseiten verlinken.
Als schnelle Übersicht dient die Task Liste (siehe Screenshot), welche auf der Kachelübersicht direkt nach dem Login dargestellt wird. Sehen Sie auf einen Blick die als nächstes anstehenden Tasks inkl. Fälligkeit, Status und Priorität.

 

 

Technik

QSEC ist eine Websolution mit dem Vorteil, dass auf dem Client keine Softwareinstallation erforderlich ist!

  • Web-Front-End für mehrsprachigen, browser-basierenden (z.B. Internet Explorer ab Version 8, Firefox, Safari usw.), unternehmensweiten Zugang zur Software
  • aktuelle .NET-Technologie
  • Einsatz von MS SQL-Server 2008/R2 und MS Windows Server 2k3/R2/2k8/R2
  • QSEC Easy Express MS SQL-Server 2008 R2 Express mit Advanced Services und MS Windows Server 2k3/R2/2k8/R2, Windows 7
  • Sicherung der Kommunikation über SSL