Home » IT-Security » GRC Governance Risk & Compliance » Information Risk Management » 

Information Risk Management

→ Information Risk Management in medizinischen Netzwerken

Die Informationstechnologie ist wesentlicher Erfolgsfaktor zur Umsetzung der Unternehmensziele. CRISAM® testet die Leistungsfähigkeit Ihrer IT von der Applikation über die IT-Prozesse bis hin zur Stromversorgung. Zusätzlich werden Kosten und Nutzen des IT-Einsatzes betrachtet.

Für das IT-Risikomanagement bezieht CRISAM® die Informationen zum Stand der Technik aus dem Grundschutzhandbuch des BSI, der ISO 27000 Normenreihe, ITIL Version 2 und 3, COBIT und NIST.

Mit CRISAM® ISMS haben Verantwortliche ein umfassendes System, um IT-Services konform zu Unternehmensanforderungen und Compliance-Vorschriften zu betreiben. Dabei misst CRISAM® die Zuverlässigkeit in Zahlen und Fakten und bewertet die Risiken auch finanziell. Das System erleichtert die Umsetzung und kontinuierliche Kontrolle des Leistungsgrads der IT. Folgende Fragen werden so nachvollziehbar und transparent beantwortet:

Top 15 Schadenspotenzial
Top 15 Schadenspotenzial

  • Welche Bedrohungen können aus dem Einsatz der IT für das Unternehmen entstehen?
  • Wie viel IT braucht das Unternehmen wirklich?
  • Wie sicher ist die IT?

CRISAM® erkennt und bewertet IT-relevante Risiken, die den Geschäftserfolg gefährden, auch in finanzieller Hinsicht. Dadurch werden Entscheidungen für die Umsetzung von Maßnahmen auf eine fundierte Basis gestellt.

Einfaches und zielgerichtetes Arbeiten mit dem CRISAM® ISMS

Fragenkatalog zur Risikobewertung
Fragenkatalog zur Risikobewertung

  • Verteiltes Arbeiten per Webbrowser
  • Kontinuierliche Steuerung und Kontrolle von Maßnahmen und Prozessen
  • Automatisierte Workflows
  • Rollen- und Berechtigungssystem für eine effektive Zugriffssteuerung
  • Asset-/Modellpflege durch einfaches Drag & Drop
  • Objektive und einfache Risikoanalyse durch bereitgestellte Fragenkataloge mit Antwortleitfäden
  • Automatisierte Compliance-Analysen zu Normen und Standards (ISO, BSI, Cobit …)
  • Frei gestaltbares Dashboard zum Monitoren und Visualisieren der Risiken
  • Automatisierte und vorgefertigte Risikobereichte
  • Berichtsdesigner für benutzerspezifische Berichte

Kernfunktionen in CRISAM® für das Information Risk Management

  • Identifikation von Risiken: CRISAM® bewertet Risiken als Abweichung einer vom Management vorgegebenen Risiko-Akzeptanzschwelle bezogen auf Verfügbarkeits-, Vertraulichkeits-, Integritäts- und Compliance-Vorgaben und -Vorschriften. Durch die Anwendung der Business Impact Analyse, der Fehlerbaumanalyse und der GAP-Analyse werden Abweichungen der einzelnen IT- Objekte zu einer SOLL-Vorgabe als Risiko identifiziert.
  • Quantifizieren durch Aggregation: IT-Assets sind komplexe, vernetzte und voneinander abhängige Objekte. Risikoaussagen können nur unter Berücksichtigung ihrer Wirkungsbeziehungen gemacht werden. CRISAM® aggregiert IT-Objekte entsprechend einer Ursache-Wirkungsbeziehung analog der Fehlerbaummethode (DIN 25424).
  • Business Impact: Potentielle Schäden aus Fehlfunktionen eines IT-Services entstehen in den jeweils unterstützten Geschäftsprozessen. CRISAM® berücksichtigt bei der Risikomessung im Rahmen der Business Impact Analyse (BIA) die möglichen Auswirkungen auf das Unternehmen. Dabei gilt der Grundsatz: Ein schlechter IT-Service, der beim Geschäftsprozess keinen Schaden anrichten kann, ist kein Risiko!
  • Identifikation von Maßnahmen: Parallel zur Identifikation von IT-Risiken werden Maßnahmen zur Steuerung der Abweichungen vom Ziel identifiziert. Der Umfang der Maßnahmen richtet sich nach der Risiko-Akzeptanzschwelle.
  • Effektivitäts- und Effizienzanalyse von Maßnahmen: In CRISAM® können sowohl die Effizienz als auch die Effektivität durch die Simulation und Aggregation umgesetzter Maßnahmen nachvollzogen werden.
  • Compliance: In den CRISAM® Content Libraries werden Normen, Vorschriften und Gesetze als Compliance-Referenzen adressiert. Ein intelligentes Verfahren wertet die Compliance zu diesen Vorgaben automatisiert aus.
  • Business Continuity-Management: Ein ordnungsgemäßer IT-Betrieb ist auch für Notfälle gerüstet. CRISAM® liefert erforderliche Detailinformationen, um ein standardkonformes Business Continuity-Management betreiben zu können.
  • Service Level-Management: Werden IT-Dienste von externen Anbietern oder aus der Cloud bezogen, so ist es auch Aufgabe des CIO, für eine adäquate Qualität der bezogenen Leistungen in Form vertraglicher Vereinbarungen und fortlaufender Qualitätskontrolle zu sorgen. Mit CRISAM® erhalten Sie die für ein ordnungsgemäßes Service Level-Management notwendigen Detailinformationen.
  • Integration in das unternehmensweite Risikomanagement (ERM): Risiken in Bezug auf die Informationssicherheit sind eine Teilmenge der unternehmensweiten Risiken und müssen im übergeordneten Enterprise Risk Management berücksichtigt werden. CRISAM® bietet einerseits die Möglichkeit, IT-Risiken mit ihren Scoring Kennzahlen in das ERM zu übernehmen. Andererseits kann CRISAM® auch die im Szenarioanalyse-Modul (SAM) ausgewiesenen monetär bewerteten Risiken in ein ERM überführen.