Home / Solutions & Services / Kompetenzen / IT- Governance, Risk & Compliance

IT- Governance, Risk & Compliance Management

IT-Sicherheitsgesetz/ KRITIS 

Wir unterstützen Ihr Unternehmen kompetent und effizient bei den Anforderungen, welche durch KRITIS bzw. das IT-Sicherheitsgesetz und/oder andere branchenspezifische Regelungen entstehen.
(Zum Veranstaltungskalender)

Beim IT-GRC Management stehen bei uns Instrumente und Führungsstrukturen des Informations-Managements sowie Fragen der (ggf. toolgestützten) Modellierung von Risikomanagement und Compliance-Anforderungen im Vordergrund, sowie der zielgerichtete Einsatz von technischen und organisatorischen Maßnahmen zur passgenauen Erfüllung identifizierter Anforderungen.

  • Unter IT Governance ist die auf den Geschäftszweck ausgerichtete Steuerung der Informationstechnik zu verstehen, in deren Rahmen insbesondere überprüft wird, ob die getroffenen Richtlinien, Policies und Prozeduren bestehende Vorgaben adäquat umsetzen.
  • Beim Risk Management wird dagegen überprüft, ob IT- bzw. operative Risiken und vor allem die fortbestandsgefährdenden Risiken erkannt und deshalb vermieden, abgemildert oder auf Dritte übertragen werden können.
  • Das Compliance Management stellt schließlich sicher, dass geltende Gesetze, getroffene Vereinbarungen, Best-Practice-Standards und der aktuelle Stand der Technik eingehalten werden. Compliance bedeutet nichts anderes, als mit Vorgaben konform zu gehen. Compliant zu sein bedeut nicht zwangsläufig sicher zu sein - kann es aber wenn man es richtig macht!
  • eDiscovery und internal Investigations dienen neben der Erfüllung bestimmter Rechtsvorgaben im Rahmen der Verpflichtung zur Vorlage prozessrelevanter elektronischer Dokumente auch proaktiven Zwecken im Rahmen der Kontrolle von Dokumentenhygiene, internen Untersuchungen im Rahmen von Fraud, Kartelangelegenheiten oder auch der Einhaltung von Auflagen zur Informationstrennung bei der (zwangs-)Aufteilung von marktdominierenden Akteuren in kleinere, unabhängige Einheiten.

Im Rahmen des Information Assurance Ansatzes spielt das Wissen um Regularien, Frameworks, IT-Risiken und Compliance eine zentrale Rolle.

Wer heute Sicherheitsmaßnahmen durchführt, ohne diese fundiert zu begründen und "Auditready" zu dokumentieren, handelt ineffizient. Viele Unternehmen betrachten außerdem noch jede Anforderung gesondert. Eine planvolle und schlüssige Herangehensweise verhindert dagegen derartige Fleißarbeit in vielen Fällen. Fragen Sie uns, wenn Sie effektiv und effizient zugleich sein wollen.

Unsere Dienstleistungen umfassen hierbei u.a.

  • Beratung zur effizienten, strukturellen Aufstellung des Risk- und Compliance Managements
  • Risiko-Analysen und die Erstellung von Risiko-Katalogen sowie das Mapping auf ISO/IEC 2700x, Cobit oder andere Controls
  • Etablierung von Informationssicherheits-Management Systemen z.B. nach ISO/IEC 27001 (auch auf Basis der Grundschutzkataloge).
    Optional Hinführung zur Zertifizierung oder Zertifizierung
  • Etablierung von Informationssicherheits-Management Systemen für Financial Service Organisationen nach ISO /TR 13569:2005
  • Notfallvorsorge/Business Continuity Management (BCM) (BS25999, BSI 100-4)
  • Unterstützung bei der Erfüllung von IT-Compliance Anforderungen (z.B. bezüglich Anforderungen aus PCI-DSS, Datenschutz, OpRisk oder sonstigen regulatorischen, gesetzlichen oder internen Anforderungen
  • Erstellung oder Reviews von "PPPs" (Policies, Processes and Procedures")
  • Gap Analysen

IT-Sicherheit kompakt und verständlich

Buch: it-Sicherheit kompakt und verständlich

Eine praxis- orientierte Einführung.

Anschaulich und praxisnah Lehr- und Nachschlagewerk alle Aspekte mehrseitiger IT-Sicherheit.

Von it.sec Consultant Bernhard C. Witt

Mehr zum Buch