IT-GRC Consulting

Beratung rund um das IT bezogene Management von Governance, Risk und Compliance Anforderungen. Konkret bedeutet das in vielen Fällen, dass Ihr Unternehmen regulatorische, rechtliche oder vertragliche Anforderungen erfüllen muss und daher Steuerungsinstrumente braucht um die richtigen Maßnahmen an der richtigen Stelle und nachweislich zu etablieren.

Brauche ich ein IT-GRC Management?

Grundsätzlich ist jede Geschäftsleitung verpflichtet, ein Risikomanagement (inkl. IT-Risikomanagement) zu betreiben, da daran z. B. die persönliche Haftung, Versicherungsfähigkeit im Schadensfall etc. gekoppelt sind. Zulieferer werden von ihren Auftraggebern in die Pflicht genommen, regulierte Unternehmen in der Regel auch. Ein IT GRC Management ist also ein Wettbewerbsvorteil und hilft Ihnen dabei, Geld zu sparen. Ausserdem unterliegt praktisch jeder heute irgendwelchen Anforderungen, zu denen er „Compliant“ agieren soll – zu deutsch: die nachweisbar einzuhalten sind.

Oft sind dies branchenspezifische Anforderungen wie beispielsweise bei kritischen Infrastrukturen (KRITIS) oder in der Medizintechnik oder allgemeine Anforderungen, um die eigenen Risiken zu regulieren. Nicht selten sind Managementsysteme nach ISO/IEC 27001-Norm gefordert oder an diese und verbundene Normen angelehnt.

Wir helfen Ihnen, Ihre Anforderungen zu strukturieren sowie zu erfüllen und sie ggf. auch zertifizierungs-ready aufzustellen. 

Kontakt

*Pflichtfeld

Ihre Vorteile

SITS Icon Security Operation Center Gruen RGB

Langjährige Erfahrung

Wir beraten seit mehr als 20 Jahren zu diesem Thema und haben zahlreichen Unternehmen zu Zertifizierungen nach bestimmten Standards wie beispielsweise ISO/IEC 27001, dem BSI-Standard 200-2, TISAX, ect. oder bestandenen KRITIS Prüfungen nach §8a(1) ITSiG verholfen. Zudem haben wir große Erfahrung mit multiregulatorischen Anforderungen auch im internationalen Kontext. Ihr Unternehmen ist verschiedenen Legislaturen und Regeln unterworfen, Ihr IT-Produkt unterschiedlichen Anforderungen aus verschiedenen Ländern zum gleichen Thema? Wir helfen Ihnen gerne, das unter einen Hut zu bekommen.

Umfangreiches Fachwissen

Neben unserer langjährigen Erfahrung mit Regularien und Frameworks können wir zusätzlich auf unser Know-how in den Fachbereichen Datenschutz, Sicherheitsüberprüfungen und IT-Forensik zurückgreifen, was Ihnen zu sehr realitätsnahen Einschätzungen und Ratschlägen verhilft. Wir wissen, was die Prüfer fordern und was praxisrelevant ist.

Stellen eines externen CISO/SIBE

Meistens benötigen Unternehmen mit einem IT GRC Management einen Informations- oder IT-Sicherheitsbeauftragten (Information Security Officer oder Chief Information Security Officer).
Mittelständische oder kleinere Unternehmen beschäftigen hierfür meist keine Vollzeitkraft. Vielmehr werden die steuernden Aufgaben in Teilzeit ausgeführt. Allerdings sind der Themenkreis und die Inhalte so umfangreich und komplex, dass dies oft nicht ausreicht.
Daher bietet sich ein externer CISO/ISB an, der – vergleichbar mit einem Datenschutzbeauftragten – sein volles Fachwissen in einem überschaubaren Mandat zur Verfügung stellen kann.

Jetzt anfragen

Hinterlegen Sie uns Ihre E-Mailadresse und wir
nehmen gerne mit Ihnen Kontakt auf

Sie interessieren sich für unsere Lösung?

Unser Vorgehen

In der Regel wird zu Beginn im Rahmen einer Bestandsaufnahme festgestellt, welche Teile der jeweiligen Anforderung  adressiert sind, bzw. ob und wo Defizite existieren. Im Nachgang wird eine Roadmap zur Behebung der Defizite festgelegt. Diese kann bei jedem Kunden anders aussehen, da sich die Anforderungen unterscheiden, sich die IT unterscheidet und auch die Ressourcen und Kenntnisse zur Behebung nie gleich vorhanden sind. Daher in den meisten Fällen ein Kosten-Nutzen optimierte Weg gesucht – mit so viel Begleitung wie nötig.

Unsere Dienstleistungen umfassen hierbei u.A.:

  • Beratung zur effizienten, strukturellen Aufstellung des Risiko- und Compliance Managements
  • Risikoanalysen und Erstellung von Risikokatalogen sowie Mapping auf ISO/IEC2700x, COBIT oder andere Controls
  • Etablierung von Informationssicherheits-Managementsystemen z. B. nach ISO/IEC27001 (auch auf Basis der Grundschutzkataloge),
    optional Hinführung zur Zertifizierung oder Zertifizierung
  • Etablierung von Informationssicherheits-Managementsystemen für Financial Service Organisations nach ISO/TR13569:2005
  • Notfallvorsorge / Business Continuity Management (BCM) (BS25999, BSI100-4)
  • Unterstützung bei der Erfüllung von IT-Compliance-Anforderungen (z. B. bezüglich Anforderungen aus PCI-DSS, Datenschutz, OpRisk oder sonstigen regulatorischen, gesetzlichen oder internen Vorschriften
  • Erstellung oder Reviews von PPPs (Policies, Processes and Procedures)
  • Bestandsaufnahmen („Gap-Analysen“) gegenüber unterschiedlichen Anforderungen, wie z.B. gemäß ISO/IEC 27001 oder auch anderer Standards.

Kontakt

*Pflichtfeld

Kontakt

*Pflichtfeld

Jetzt herunterladen

Vielen Dank für Ihr Interesse!

Sie können das Infoblatt unter folgendem Link herunterladen.

Kontakt

*Pflichtfeld

Kontakt

*Pflichtfeld

Kontakt

*Pflichtfeld