Consulting Governance, Risk & Compliance

Governance, Risk & Compliance (GRC)

Immer gut beraten

Mit unseren Beratungsleistungen im Bereich Governance, Risk & Compliance (GRC) unterstützen wir Sie dabei, Ihre Geschäftsrisiken in der Informationsverarbeitung zu identifizieren, zu beherrschen und zu reduzieren – beispielsweise durch Cyber Threat Intelligence (CTI).

Gemeinsam mit unseren erfahrenen Controlware GRC Consultants etablieren wir mit Ihnen Prozesse, um Ihre operativen Geschäftsziele zu erreichen und die Einhaltung vertraglicher und gesetzlicher Vorgaben durch Ihre IT zu gewährleisten. Ausgehend von Ihrer Problemstellung formulieren unsere GRC-Experten mit Ihnen die konkreten Ziele. In der Konzeptionsphase werden alle benötigten Informationen gesammelt, anschließend erfolgt eine eingehende Analyse der Daten. Darauf aufbauend werden dann entsprechende Lösungsmöglichkeiten erarbeitet, bewertet und präsentiert. Nachdem Sie sich für eine für Sie passende Alternative entschieden haben, werden wir diese gemeinsam implementieren und in der Praxis erproben. Zum Abschluss des Beratungsprozesses werden wir den Beratungserfolg gemeinsam bewerten und gegebenenfalls Folgeaktivitäten vereinbaren.

Selbstverständlich begleiten unsere Controlware GRC Consultants den Aufbau von Informations-Sicherheits-Management-Systemen (ISMS) nach ISO 27001, BSI 200-1, TISAX®, KritisV, B3S und anderen Standards bei Bedarf komplett, unterstützen jedoch auf Wunsch auch in jedem Teilaspekt, der Ihnen unter den Nägeln brennt.

Die Controlware GRC-Beratungsleistungen umfassen unter anderem:

Die Sensibilisierung der Geschäftsführung für GRC in der IT
Mit der Einführung eines ISMS werden nicht nur gesetzliche und regulatorische Auflagen erfüllt, sondern auch die Geschäftsziele unterstützt sowie das Sicherheitsniveau und die Effizienz der IT-Organisation messbar angehoben. Der Erfolg der ISMS-Einführung ist davon abhängig, dass die Geschäftsleitung und IT-Leitung hinter dem Projekt stehen und hier offiziell die Führung und Verpflichtung übernehmen:
- Informations-Sicherheitspolitik inkl. Sicherheitszielen festlegen – in Abstimmung mit der strategischen Ausrichtung der Organisation
- Sicherstellung der Integration der ISMS-Anforderungen in die Geschäftsprozesse
- für das ISMS erforderliche Ressourcen zur Verfügung stellen
- Vermittlung der Bedeutung eines wirksamen ISMS
- Kontrolle der Ergebnisse des ISMS (Zielerreichung)
- Mitarbeiter motivieren und unterstützen, so dass diese zur Effektivität des ISMS beitragen
- fortlaufende Verbesserung des ISMS fördern
- die Führungskräfte aktiv unterstützen, die eine Führungsrolle für das ISMS innehaben
In der Regel werden viele der genannten Aufgaben von der Geschäftsleitung an den CISO, SiBe oder IT-SiBe delegiert. Ein effektives ISMS ist jedoch nur realisierbar, wenn sich die Geschäftsleitung tatsächlich verantwortlich fühlt und den geschäftlichen Nutzen für die Organisation nicht nur sieht, sondern auch an die Mitarbeiter vermittelt. So stärkt sie dem CISO und seiner Sicherheitsorganisation den Rücken. Mit der Sensibilisierung der Geschäftsführung wird der Grundstein für die erfolgreiche Einführung eines ISMS gelegt.
Reifegradanalyse

Sie planen die Einführung eines ISMS, wollen Ihre Organisation nach einem branchenspezifischen Sicherheitsstandard zertifizieren lassen oder einfach nur herausfinden, wie es um die Informationssicherheit Ihres Betriebes steht? Als Systemintegrator und Managed Service Provider unterstützen wir Sie bei der systematischen Bewertung Ihrer gegenwärtigen Situation mit Blick auf die angestrebten Ziele und ermitteln gemeinsam mit Ihnen den notwendigen Handlungsbedarf. Anschließend erfolgt die Planung des weiteren Vorgehens.

Nutzen Sie auch unser selbst entwickeltes Tool "Kontrollfragen zur Selbsteinschätzung der Informationssicherheit (KSI)" völlig kostenlos und unverbindlich. Die Excel-Datei finden Sie hier.
IT-Risikomanagement

Kernprozess eines ISMS ist das Risikomanagement. Mit dem Risikomanagement lassen sich die Chancen und Risiken bestimmen, um die beabsichtigten Ergebnisse des ISMS zu erzielen und unerwünschte Auswirkungen von Bedrohungen und Schwachstellen zu verringern oder ganz zu verhindern. Um fortlaufend Verbesserungen erzielen und messen zu können, sollten wiederholte Risikobeurteilungen zu konsistenten, gültigen und vergleichbaren Ergebnissen führen.

Wir unterstützen Sie bei der Definition und Umsetzung Ihrer Prozesse zur Beurteilung und Handhabung der Informations-Sicherheitsrisiken – sowohl alleinstehend (z. B. nach ISO 27005 oder BSI 200-3) als auch bei bereits vorhandenen Risikomanagement-Prozessen, Vorgaben und Tools innerhalb Ihrer Organisation.
IT-Sicherheitsrichtlinien und Sicherheitskonzepte

Richtlinien geben die Anforderungen vor, die ein ISMS, dessen eigene Prozesse, informationssicherheitsrelevante Geschäfts- und IT-Prozesse sowie IT-Systeme, Administrator*innen und Nutzer*innen erfüllen müssen, um das gewünschte Sicherheitsniveau zu erreichen und interne und externe Vorgaben zu erfüllen. Sicherheitskonzepte beschreiben, wie die Anforderungen der Sicherheitsrichtlinien konkret für die jeweiligen Teilbereiche und Systeme umgesetzt werden.

Egal ob es darum geht, die Informations-Sicherheitspolitik (Sicherheitsleitlinie) Ihrer Organisation mit der Geschäftsleitung zu entwerfen, oder richtlinienkonforme sowie praktikable Sicherheitskonzepte für neue oder bestehende IT-Systeme zu entwickeln, unsere Controlware GRC Consultants unterstützen Sie kompetent und themenübergreifend.
Interne Audits & Auditvorbereitung

Interne Audits dienen der Überprüfung der Wirksamkeit eines Managementsystems. Die regelmäßige Durchführung ist Voraussetzung für die Zertifizierung eines ISMS, beispielsweise nach ISO/IEC 27001. Die Auditergebnisse zeigen den Änderungsbedarf und die Verbesserungspotentiale auf und geben Auskunft darüber, ob Ihre Organisation die für eine Zertifizierung geforderten Normkriterien erfüllt.

Unsere GRC Consultants untersuchen im Rahmen interner Audits nicht nur, inwieweit Ihre Organisation mit den Anforderungen an geforderte Standards oder Normen konform ist, sondern bereiten Ihre Organisation gleichzeitig optimal auf anstehende Zertifizierungsaudits vor, indem alle Teilnehmer*innen für den Audit-Prozess entsprechend sensibilisiert werden.
Business Continuity Management (BCM)

Hat Ihre Organisation ein betriebliches Kontinuitätsmanagement, das sie durch Krisenstäbe, Notfallpläne, Notfallkonzepte und Wiederanlaufpläne in die Lage versetzt, auch auf widrige Situationen, unter anderem Krisen oder Katastrophen, angemessen und schnell zu reagieren, in dem das Informationssicherheitsmanagement noch nicht normenkonform berücksichtigt wird? Dann helfen wir Ihnen dabei, die Anforderungen an das BCM zu definieren und so umzusetzen, dass das erforderliche Niveau der Informationssicherheit auch in widrigen Situationen permanent stabil ist.

Bei Bedarf unterstützen wir Sie auch beim Aufbau eines Kontinuitätsmanagements nur für den Geltungsbereich Ihres ISMS – z.B. gemäß ISO 22301 & ISO 27031 oder BSI 200-4.

Die GRC Consultants von Controlware beraten Sie in allen Belangen der chancen- und risikoorientierten Lenkung Ihrer Informationsverarbeitung – gleichgültig, ob es sich um den Aufbau eines ISMS, Dokumentationen, Coaching oder Unterstützung beim Führen der Sicherheitsorganisation handelt. Dank der langjährigen, praktischen Erfahrung und dem themenübergreifendem IT-Know-how stehen Ihnen unsere IT-Experten in allen Phasen des Plan, Do, Check & Act Zyklus Ihrer Managementsysteme zuverlässig zur Seite. Unsere modularen Dienstleistungsangebote lassen sich konkret auf Ihre individuellen Bedürfnisse abstimmen.

Hinweis: TISAX® ist eine eingetragene Marke der ENX Association.