QSEC® erfüllt alle Anforderungen an ein integriertes Datenschutz- und Informationssicherheitsmanagementsystem (DIMS)!

Die EU DSGVO ist bereits in folgenden QSEC® Modulen implementiert:

• Compliance – die EU DSGVO ist im Compliance Modul im QSEC System als Katalog mit allen Kapiteln und Reifegradbewertungsfragen bereits integriert. Neben den Anforderungen der etablierten ISO Normen (ISO/IEC 27001 ff, 27701 etc.) können alle erforderlichen Bewertungen nach der EU DSGVO durchgeführt werden.
• Information Assets – Erfassung der Verfahren (Geschäftsprozesse) und personenbezogenen Daten (Informationen). Die Kriterien für die Einstufung der Informationssicherheit (Vertraulichkeit, Integrität, Verfügbarkeit) wurden um die Datenschutzrelevanz erweitert. Zusätzlich notwendige Bewertungen (weitere Attribute) wie z.B. betroffene Personengruppen, Datenkategorien, Drittländer, Löschfristen, Zugriffsberechtigungen, Folgenabschätzung etc. sind ebenfalls zu erfassen.
• Risikomanagement – Integration der Datenschutzkriterien in die Risikobewertung aller (IT-)Assets.
• Maßnahmenmanagement – Bewertung, Erfassung und Umsetzung aller erforderlicher Maßnahmen für die Erfüllung der TOM´s (Technisch-Organisatorische Maßnahmen)
• Dokumentenmanagement – Erfassung und Administration der von der EU DSGVO geforderten Vertragsverwaltung (Auftragsverarbeitungsverträge etc.). Die Verträge werden mit den jeweiligen Verfahren (Geschäftsprozesse) und den Dienstleistern verbunden. Die standardmäßig vorhandenen Kriterien für die Vertragsbewertung sind jederzeit anpassbar.
• Security Incident – Erfassung aller Datenschutzvorfälle. Ein Security Incident, der auch ein Datenschutzvorfall ist, wird klassifiziert und als Datenschutzvorfall/meldepflichtiger Datenschutzvorfallberichtet.
• Stammdaten – Erfassung der Organisation, Festlegung der Scopes und aller Datenschutzverantwortlichen.
• Dashboard /Reporting – In QSEC® werden alle für den Datenschutz benötigten Berichte zur Verfügung gestellt. Viele Arbeitsberichte werden direkt von den jeweiligen Modulen über eine Excel-Ausleitung erzeugt.

Mit diesem integrierten Vorgehen werden die Anforderungen der Informationssicherheit und des Datenschutzes gleichzeitig ohne wesentliche Zusatzaufwendungen erfüllt. Das Informationssicherheits- und Datenschutzmanagement wird zu einem DIMS (Datenschutzinformationssicherheitsmanagementsystem).

Im QSEC Modul „Information Assets“ werden die Information Assets (Geschäftsprozesse, Informationen und die unterstützenden Assets verwaltet. Diese gliedern sich in QSEC®, nach der geforderten Vorgehensweise der ISO 27005 (Risikomanagement in der Informationssicherheit), in

• Physische Werte
• Personal
• Dienstleistungen inkl. Cloud
  

Ziel ist ein möglichst präzises Abbild der Assets einer/der Organisation(en) im ausgewählten Untersuchungsbereich (Scope). Die als kritisch identifizierten Assets werden einer detaillierten Betrachtung im Risikomanagement unterzogen, die weniger kritischen Assets können einer Basisbetrachtung unterzogen werden, die auf den eingestellten Elementargefährdungen basiert.

Die Möglichkeit der Erfassung von Assets innerhalb der Asset Gruppen ist für Organisationen vorgesehen, die aufgrund von technischen Gegebenheiten kein Asset-Management-System (ITAM) verwenden können oder für die der Aufwand zu groß ist. Diese Möglichkeit kann z.B. für Produktionsumgebungen, Steuerungssysteme und technischen Umgebungen mit wenigen Assets genutzt werden.

Features (Auszug):

• Modellierung der kompletten Unternehmensstruktur:
• Geschäftseinheiten,
• Geschäftsprozesse,
• Informationen,
• Assets (Einzel-Assets und Asset Gruppen)
• Erfassung der Asset Gruppen mit der Angabe des Verantwortlichen und der Angabe des Asset-Gruppentyps für die Zuordnung des Risikokatalogs
• Erfassung von BIA-relevante Angaben (RTO-Ist/RPO-Ist) vorgesehen
• Hierarchische Asset-Gruppendarstellung für eine übersichtliche Strukturansicht
• Tabellarische Asset-Gruppenauflistung für eine übersichtliche Bearbeitungsansicht
• Map-Asset-Gruppenansicht für eine übersichtliche Gesamtzusammenhangsansicht
• Innerhalb der Asset Gruppen können die Assets (Einzel-Assets: Notebooks, Produktionssysteme, Netzkomponenten etc.) mit den „Verwaltungskriterien“ (z. B. Hersteller, Seriennummer, Standort etc.) manuell verwaltet werden: Zuordnung der Geschäftsprozesse und Informationen zu den Asset Gruppen;
• Vererbung der Geschäftsprozess- und Informations-Kritikalitätsbewertungen für die Schutzbedarfsanalyse der Asset Gruppen im Risikobewertung (die erfassten Asset Gruppen werden im Risikomanagement bewertet);
• Die Security-Level werden je Asset-Gruppe komplett für alle Assets bewertet;
• Formularanpassung: Zur besseren Übersicht werden die komplexen Formulare in Tabs eingeteilt!

Im QSEC Stammdaten-Management werden die Basisdaten für die Nutzung der QSEC® Software einfach und flexibel eingerichtet.

Als QSEC Stammdaten werden alle die anwenderspezifischen Unternehmensdaten verwaltet, die für die Durchführung des Compliance-, Maßnahmen-, Dokumenten- und Risikomanagements im Unternehmen erforderlich sind, wie:

• Legal Entities und Organisationseinheiten
• Untersuchungsbereich mit der Festlegung In-Scope und Out of Scope
• Mitarbeiter mit Berechtigungen und Zuständigkeiten
• Mitarbeiter-Rollen
• Teams
• Adressen
• Dienstleister
• Verantwortlichkeiten

• Erfassen der gesamten oder relevanten Firmenstruktur in Organisationseinheiten;
• Bildung von Untersuchungsbereichen (Kombination von Organisationseinheiten und dazugehörige Normen und Standards) für das ISMS und weitere Normen;
• Import von Mitarbeiter-Stammdaten aus dem Active Directory/LDAP oder SAP;
• Teambildung und Zuweisung von Verantwortlichkeiten;
• Rollenbasierte Rechteverwaltung;
• Benutzerindividuelle Aufgabenübersicht nach Login;
• Nachfolge- und Vertretungsregelungen;
• Mail-Benachrichtigung über aktuelle Wiedervorlagen;

Mit der Auswahl des Risikomoduls im Menü der Software QSEC werden die Funktionen des Risikomanagements aktiviert. Das komplette IT Risikomanagement wird hier nach den Anforderungen der ISO 27005 und/oder BSI durchgeführt. Die potenziellen Schwachstellen und Bedrohungen der Asset-Gruppen im entsprechendem Untersuchungsbereich (Scope), bestehend aus den relevanten Geschäftseinheiten und den zugehörigen Assets und Normen, werden ermittelt.

Die in diesem Modul implementierte operative Risikomethode arbeitet nach den Anforderungen der Norm ISO/IEC 27005 oder nach den IT-Grundschutzanforderungen (200-3). Die Berechnungsmethoden und Einstufungstabellen sind vordefiniert und können individuell an die jeweiligen Anforderungen angepasst werden. Die hinterlegten Bedrohungs- und Schwachstellenkataloge (Gefährdungen- und Bausteinkatalogen) werden den vorhandenen Asset-Typen (Infrastruktur, IT-Hardware, IT-Software, Cloud etc.) zugeordnet und bewertet. Da die Einschätzung vom Schutzbedarf (Asset-Gruppen-Wert) ein unternehmensindividueller Wert ist, können die Kriterien selbstverständlich flexibel konfiguriert werden. Eine Anpassung ist über das Administrationstool jederzeit möglich.

Bei der Risikobewertung werden die Maßnahmen zur Risikoreduzierung und die verbundenen Vorfälle (Security Incidents) angezeigt. Es werden u.a. nachfolgende Werte berechnet:

• Schutzbedarf (Asset-Gruppen-Wert),
• Eintrittswahrscheinlichkeit,
• Risikowert in EURO,
• Risikostufe,
• Nettorisiko.

Einer der großen Vorteile der IT-Risikomanagement-Bewertung nach der Methodik der ISO 27005 ist die Ausrichtung an den Geschäftsprozessen des Unternehmens. Die in QSEC gespeicherten Geschäftsprozesse werden auf Ihre Kritikalität hin bewertet und mit den benötigten Asset-Gruppen (Gebäude, IT-Infrastruktur etc.) verknüpft.

Identifizierte kritische Asset-Gruppen werden auf

• Verfügbarkeit,
• Integrität,
• Vertraulichkeit,
• Authentizität,
• Datenschutzrelevanz und
• ihren finanziellen Wert

analysiert und der Schutzbedarf bestimmt. Somit wird die Ableitung von konkreten Maßnahmenplänen zur Schwachstellenreduzierung möglich (Risikobehandlungsplanung).

Ein lückenloses Berichtswesen für Sicherheits- und Datenschutzvorfälle ist beim Aufbau eines ISMS nach ISO 27001 anzustreben. Weiterhin ist es im Falle eines Security Incidents essentiell, strukturiert und methodisch vorzugehen, um zu jedem Zeitpunkt die Übersicht über die Situation zu haben.

Dies und ein integriertes prozessuales Verfahren zum Risikomanagement, bietet das QSEC Modul Security Incident Management. Die relevanten Sicherheits- und Datenschutzvorfälle werden erfasst und Security Incident Maßnahmen strukturiert verwaltet, um sie dann zur besseren Risikobewertung innerhalb des ISMS Prozesses nach ISO 27001 heranziehen zu können.

Dokumentiert werden neben der Kategorie und dem Schweregrad eines Incidents auch

• Schadenshöhe,
• Schweregrad,
• Schadensklasse und
• Schadensart.

Zu jedem Schadens- und Störfall wird ein Status mit Wiedervorlagen und Verantwortlichen gepflegt, der mit entsprechenden Maßnahmen und Sicherheitszielen verknüpft wird.

Im Security Incident Management erfasste Incidents werden den Geschäftseinheiten und den davon betroffenen Asset-Gruppen zugeordnet.

Features (Auszug)

• Erfassung von Kategorie, Schweregrad, Schadenshöhe, -klasse, -art
• Erfassung betroffene Asset-Gruppen und Personen
• Angabe der damit verbundenen Risikoszenarien
• Erfassung des Sicherheitsziels
• Verantwortlichkeit, Wiedervorlage
• Verknüpfung mit anderen Objekten
• Integration in das QSEC Risikomanagement