Durch die Bündelung der Kernkompetenzen von MAXit und seinem Partner myVision ist es gelungen das MAXit Security und Prozess Assessment, eine standardisierte Vorgehensweise zur Analyse der Wechselwirkungen zwischen den aktuellen Abläufen in einem Unternehmen und der eingesetzten Informationstechnologie, zu schaffen. Dieses ermöglicht es innerhalb kurzer Zeit konkrete Aussagen über potentielle Verwundbarkeiten in der Informationstechnologie bzw. in den Prozessen zu treffen.

Die zentrale Frage ist: wie und wo werden wertschöpfende Prozesse – also jene Abläufe mit direkter Auswirkung auf Kunden und damit auf den Umsatz – von der IT unterstützt und welche Gefahren verstecken sich hinter dieser Tatsache; hier setzen wir an:

In der Regel werden drei bis fünf Interviews mit Geschäftsführung und Bereichsleitern durchgeführt, die maximal eine Stunde dauern. Auf Basis des standardisierten Fragekatalogs wird je nach Geschäftsbereich sehr effizient festgestellt, wo Abhängigkeiten zur IT bestehen.

Parallel dazu wird mit Herstellertools, Versions-Checker etc. ein erstes Screening ausgewählter IT-Komponenten durchgeführt; dieses IT-Assessment wird anhand der Ergebnisse aus den Fach-Interviews gegebenenfalls noch auf weitere IT-Komponenten ausgedehnt.

geschaeftsprozesse

 

Das Ergebnis

Ergebnis des Assessments sind drei Berichte, gebildet aus zumindest den zwei Blickwinkeln der fachlichen Interviews und des IT-Screenings:

  • Management-Summary (i.d.R. eine A4-Seite)
  • Qualitativer Maßnahmenkatalog (ca. 10 Seiten)
  • Detailliertes Ergebnis des IT-Screenings teilweise inkl. Maßnahmenvorschlägen (auf CD)

 

Warum das Ganze?

Als Auslöser erleben wir u.a. folgende Themen:

  • Forderung des Wirtschaftsprüfers nach einer Beurteilung der Verlässlichkeit der IT
  • Anstehende Investitionen sollen überprüft werden
  • Feststellen des Status Quo vor oder nach In- bzw. Out-Sourcing
  • Überprüfen von internen und externen Service-Level-Agreements (Verträgen)
  • Feststellen der Informationssicherheit nach Projektabschluss oder als Auslöser eines entsprechenden IT-Projektes

Zwei bzw. drei Blickwinkel garantieren Präzision. Basis des Assessments ist die ISO-Norm 27001 in der aktuell gültigen Fassung; diese beinhaltet folgende Themengebiete, aus welchen einige als Schwerpunkte des Assessments durch den Auftraggeber festgelegt werden:

  • Risikoanalyse und –behandlung
  • Sicherheitsrichtlinie
  • Organisation der Informations-Sicherheit
  • Asset Management
  • Sicherheitsaspekt Personal
  • Physische Sicherheit und Betriebsumgebung
  • Kommunikation und Betrieb
  • Zugriffssteuerung
  • Erwerb, Entwicklung und Wartung der Systeme
  • Vorfalls-Management
  • Katastrophen- und Ausfallspläne
  • Einhaltung rechtlicher und technischer Normen
itpassteile

 

Weiterführend – Das Notfallhandbuch / Der Business Continuity Plan

Der Business Continuity Plan definiert Rollen, Zuständigkeiten und Ansprechpartner. Es werden explizite Szenarien anhand von Prozess- und Ablaufdiagrammen dargestellt. So ist im Falle des Falles für den jeweils zuständigen Mitarbeiter / Mitarbeiterin einfach und schnell nachvollziehbar was getan und wer informiert werden muss.

Selbstverständlich bietet der BCP einen Überblick über sämtliche relevante Kontaktdaten, sowie Wartungs- und Supportverträge.

bcp

 

 

Kontaktieren Sie uns und vereinbaren Sie ein Informationsgespräch mit unseren Themen-Experten!






captcha