Risikoanalyse mit der OrgaTrust Suite

Dieses Modul stellt verschiedene Risikoanalysemethoden bereit. Einerseits kann eine klassische ISO 27001-Risikoanalyse gewählt werden, anderseits kann eine Risikoanalyse gewählt werden, die den Anforderungen des IT-Sicherheitskatalog nach EnWG §11a für Energienetze oder §11b für Energieversorger entspricht. Diese Risikoanalysemethoden unterscheiden sich, da bei einer klassischen ISO 27001-Methode die unternehmenseigenen Risiken analysiert werden, während der IT-Sicherheitskatalog im Wesentlichen die Risiken Dritter, insbesondere der Bevölkerung, analysiert. Beide Methoden können parallel eingesetzt werden. Das Modul unterstützt die Kapitel 6 und 8 des ISO 27001 sowie die Anforderungen des IT-Sicherheitskatalogs an die Risikoanalysemethodik.

1. Geschäftsauswirkungsanalyse (GAA)

Im Rahmen der GAA, die für jeden Geschäftsprozess durchgeführt wird, unterstützt unser Produkt den Anwender bei der Bewertung von Schäden, die bei Eintritt von Informationssicherheitsvorfällen, d. h. bei der Verletzung von Schutzzielen (Vertraulichkeit, Integrität, Verfügbarkeit), auftreten können.

Gefährdungsanalyse für IKT-Systeme

2. Gefährdungs- und Schwachstellenanalyse (GSA)

Eine GSA wird für den Geschäftsprozess selbst und für jedes IKT-System durchgeführt und bewertet die Wahrscheinlichkeiten für das Eintreten eines Informationssicherheitsvorfalls. Unser Produkt unterstützt Prozess- und Systemverantwortliche bei der Risikoeinschätzung durch die Vorgabe von Szenarien, welche die elementaren Gefährdungen für die Informationssicherheit abbilden.

Die Ergebnisse der Risikobewertung werden dadurch für Sicherheitsverantwortliche und Auditoren nachvollziehbar und transparent. Darüber hinaus wird die Konsistenz und Vergleichbarkeit gleichartiger Risikoanalysen über mehrere Betrachtungszyklen (Jahre) hinaus gewährleistet.

Beispiel für einen Gefährdungskatalog der IKT-Systeme

Downloads

Bedrohungsszenarien aus den Kategorien:

  • Elementare Gefährdungen
  • Höhere Gewalt
  • Technisches Versagen
  • Menschliche Fehlhandlungen
  • Vorsätzliche Handlungen

Highlights

  • Analyse der Gefährdungen und Schwachstellen
  • Analyse der Auswirkung auf Ihr Unternehmen
  • Ermittlung der Risiken für den Geschäftsprozess
  • Arbeitsergebnisse als PDF (revisionssicher)

Weitere Module

Basismodul

  • Dashboard
  • Dokumentenverwaltung
  • Abbildung IKT-Systeme, Komponenten und Anwendungen
  • Prozesslandschaft innerhalb der Organisation

Unterstützt bei der Abbildung des ISMS-Anwendungsbereichs.

Zertifizierungsmanagement

NEUHEIT!

  • Abbildung von Zertifizierungszyklen
  • Planung innerhalb eines Zyklus
  • Darstellung des Fortschritts

Unterstützt bei der Erreichung der jährlichen Zertifizierung.

Anforderungsmanagement

  • Anforderungen verwalten

Die Anforderungen aus den ISO Standards können Sie hier verwalten und in anderen Modulen bereitstellen.

Risikobehandlung

  • Optimierungsalgorithmus
  • Priorisierung von Maßnahmen
  • Erstellung des Behandlungsplans

Unterstützt, Risiken zu behandeln und optimale Maßnahmen zu planen.

Maßnahmenplanung & -Steuerung

  • Arbeitspakete erstellen und zuweisen
  • Verzögerungen frühzeitig erkennen
  • Kontrolle des Fortschritts

Anforderungen können Sie hier in Arbeitspakete überführen und konkrete Maßnahmen zur Erfüllung der Anforderungen zuweisen.

Auditprogramm

  • Planung von Audits über ein oder mehreren Zertifizierungszyklen

Über mehrere Jahre können
einzelne oder wiederkehrende Audits geplant werden.