QSEC Suite - IT GRC, ISMS, ISO 27001, IMS, Risikomanagement

Die  QSEC Module:

• Compliancemanagement (Information Security, Datenschutz, Qualitätsmanagement, individuelle Anforderungen integrierbar
• Information Security Management
• Risikomanagement
• Maßnahmenmanagement
• Security Incident Management
• Dokumentenmanagement
• Business Continuity Management (Business Impact Analyse)
• Reporting / Dashboard
• Workflowunterstützung (Wizards)

Die QSEC Highlight‘s:

• Workflowunterstützung durch Wizards und  anwenderspezifische Bearbeitungsmodi
• Transparenz und Übersichtlichkeit  – Kacheltechnik und Expertencockpit mit Dashboard
• ISO Standards vollständig integriert und umgesetzt
• Dynamische Reportfunktionen inklusive Im- und Export der Daten
• Multinormenfähigkeit, viele weitere ISO Standards zusätzlich verfügbar (ISO 9001, ISO 20000, u.v.m.)
• Customizing, an individuelle Bedürfnisse anpassbar
• Business Logic, automatische Wiedervorlagen, Mailbenachrichtigungen etc.
• Generische Schnittstellen
• Mandantenfähigkeit
• Mehrstufiges Berechtigungssystem
• permanente Updates, inkl. Pflege u. Support
• 100 % Entwicklung und Support in Deutschland

Die QSEC Referenzen:

Kunden aller Unternehmensgrößen aus vielen Branchen arbeiten zufrieden und erfolgreich mit QSEC. Sie wünschen einen persönlichen Kontakt zu einem unserer Kunden? Sprechen Sie uns gerne an!

Die QSEC Technologie:

Web-Front-End für Browser basierten, unternehmensweiten Zugang zur Software

.NET – Technologie – MS SQL-Server 2008 und 2012  und MS Windows Server 2k8 und 2k12 / SSL

QSEC kostenfrei testen:

Vereinbaren Sie mit uns eine unverbindliche Online-Demo und testen Sie danach QSEC kostenfrei auf unserem Demo-Server. Wir freuen uns darauf von Ihnen zu hören! Über SoftGuide oder gerne auch unter: www.wmc-direkt.de/grc-isms-software/qsec oder 040 / 650 336-0.

QSEC - HÖCHSTER STANDARD IM COMPLIANCE, RISIKO- INFORMATIONSSICHERHEITSMANAGEMENT

Lesen Sie hier mehr zum Anwendungskomfort von QSEC!

Die QSEC-Bedienoberfläche ist übersichtlich und leicht verständlich durch die implementierte Kacheltechnik. Ferner verfügt QSEC auch über eine geführte Prozessunterstützung (Wizards). Die Wizards leiten den Anwender durch das Managementsystem. Ein weiterer Vorteil dieses Aufbaus der Benutzeroberfläche ist, dass nur minimale Schulungsaufwendungen erforderlich sind!

Was ist die Kacheltechnik und welche Kacheln gibt es in QSEC?

Die Kacheltechnik bedeutet, dass die QSEC Module und Funktionen dem Anwender über eine übersichtliche grafische Kacheloptik zur Verfügung gestellt werden. Mit einem Klick auf eine Kachel, werden die Funktionen zur Verfügung gestellt. Der Zugang zu den Funktionskacheln wird den Anwendern (Nicht-Experten) über ein Berechtigungssystem zur Verfügung gestellt:

Experten können am Security Prozess beteiligte Anwender über die Benachrichtigungsfunktion „i“, auf Basis ihrer Rolle, über anstehende Aktionen und Vorkommnisse informieren. Die Experten können die Informationen erfassen und an den zuständigen Rolleninhaber senden. Diese Informationen werden dem Rolleninhaber auf der QSEC-Startseite angezeigt und der Anzeigenzähler informiert über die Anzahl der neuen, noch nicht gelesenen Benachrichtigungen.

Die Fragen & Antworten- Funktion (FAQ) unterstützt den Anwender bei der Bedienung der QSEC – Suite. Ist die Frage nicht ausreichend beantwortet, kann der Administrator über einen Benachrichtigungsbutton kontaktiert werden.

Die Volltextsuchfunktion „Suche“ unterstützt den Anwender bei der Suche nach Dokumenten, Maßnahmen, etc.

Mit der Auswahl der Kachel „Compliance“ werden die Funktionen des Compliance-Moduls aktiviert. Hierüber werden die Bewertungen für den ausgewählten Untersuchungsbereich durchgeführt. Die Normen, Policies, Gesetze und Vorgaben können anhand der im ausgewählten Untersuchungsbereich hinterlegten Fragenkataloge bewertet werden. Auf Basis der beantworteten Fragen und den ggf. verbundenen Maßnahmen werden die Reifegrade der Anforderungen (Controls, Kapitel etc.) bewertet. Die Bewertungen können auf Basis von Assessmentangaben gesteuert werden.

Mit der Auswahl der Kachel „Risiko“ werden die Funktionen des Risikomoduls aktiviert. Die in diesem Modul implementierte operative Risikomethode arbeitet nach der Norm ISO/IEC 27005. Die Berechnungsmethoden und Einstufungstabellen sind vordefiniert und können individuell an die jeweiligen Anforderungen angepasst werden. Die hinterlegten Bedrohungs- und Schwachstellenkataloge werden den vorhandenen Assettypen zugeordnet und bewertet. Eine Anpassung ist jederzeit über das Administrationstool möglich. Bei der Bewertung werden die Maßnahmen zur Risikoreduzierung und die verbundenen Vorfälle (Security Incidents) angezeigt. Es werden u.a. nachfolgende Werte berechnet: Schutzbedarf, Eintrittswahrscheinlichkeit, Risikowert in ¤, Risikostufe, Nettorisiko.

Mit der Auswahl der Kachel „Security Incidents“ werden die Funktionen zur Erfassung bzw. Bearbeitung der Sicherheitsvorfälle (Security Incidents) aktiviert werden. Bei der Security Incident Erfassung werden alle erforderlichen Daten erfasst: Name, Bezeichnung, Geschäftseinheit, Kategorie, Schadensstufe, Schadenskategorie, Schwachstelle, Verantwortlicher, Status, voraussichtliche Bearbeitungszeit, tatsächliche Bearbeitungszeit, betroffene Mitarbeiter, betroffene Assetgruppen etc. Die Security Incidents werden bei der Risikobewertung der Assetgruppen angezeigt. Es kann ein Incidentstatusbericht erzeugt und zur Weiterverarbeitung versendet werden. Die notwendigen Maßnahmen werden erstellt und im Maßnahmenmanagement verarbeitet.

Mit der Auswahl der Kachel „Maßnahmen“ werden die Funktionen zur Erfassung und Bearbeitung der Maßnahmen aktiviert. Es können alle in den Modulen Compliance, Risiko, Security Incident, BCM/BIA erfassten Maßnahmen bearbeitet werden. Die Maßnahmen werden nach der Wiedervorlagekennzeichnung in  Ampelfarben dargestellt. Die Maßnahmen können bearbeitet und aktualisiert werden. Doppelt vorhanden Maßnahmen können zusammengeführt und der Verantwortliche direkt mit Mailfunktion benachrichtigt werden. Die Maßnahmen werden direkt mit den Compliance- bzw. Risikobewertungen verbunden und die Reifegradverbesserung bzw. die Risikoreduzierung angegeben. Über die Kostenerfassung kann die korrespondierende Sicherheitsbudgetierung ausgegeben werden.

Mit der Auswahl der Kachel „Dokumente“ werden die Funktionen zur Erfassung und Bearbeitung der Dokumente aktiviert. Im QSEC Dokumentenmanagement können alle relevanten Dokumente verwaltet werden. Alternativ kann über das Modul auch die Verlinkung zu einem ggf. vorhandenen Dokumentenmanagementsystem stattfinden. Dokumente können verknüpft werden, z.B. mit Controls im Compliance-Management, Security Incidents, Assets, Maßnahmen uvm., so dass die Dokumente immer dort und denjenigen zur Verfügung stehen, die sie benötigen. Für jedes Dokument können Verantwortliche hinterlegt, Zugriffsrechte vergeben, sowie Daten für die Wiedervorlage festgelegt werden. Es findet eine revisionssicherere Versionierung statt.

Mit der Auswahl der Kachel „Stammdaten“ werden die Funktionen zur Erfassung und Bearbeitung der Stammdaten aktiviert. In den Stammdaten werden die gesamten individuellen Daten einer Organisation angelegt. U.a. sind dies die Darstellung der Geschäfts-/Organisationseinheiten, beliebig detailliert definierten Untersuchungsbereiche (Scopes), auf welche Normen oder eigene Fragen-Kataloge für Geschäfts-/Organisationseinheiten angewandt werden. Pflege von Mitarbeitern, Rollen und Teams – sowie deren Berechtigungen und Verantwortlichkeiten.

Mit der Auswahl der Kachel „Information Assets“ werden die Funktionen zur Erfassung und Bearbeitung der Information Assets aktiviert. In diesem Modul werden die Information Assets „Geschäftsprozesse, Informationen und Assets“ (Vorgehensweise abgeleitet nach den Vorgaben der ISO 27005 für Risikomanagement) aufgenommen. Ziel ist eine möglichst präzises Abbild der Assets einer Organisation(en) im Scope. Die hier als kritisch identifizierten Assets werden einer  detaillierten Betrachtung im  Risikomanagement unterzogen.

Mit der Auswahl der Kachel „Business Impact Analyse“ werden die Funktionen zur Erfassung und Bearbeitung der Business Impact Analyse, der Erstellung einer Gap-Analyse und des Aufbaus und der Pflege einer vollständigen BCM-Dokumentation für die Business- und Serviceprozesse aktiviert. Die vordefinierten Bewertungskategorien für den Businessprozess (finanzielle Aspekte, Reputation, Steuerungsfähigkeit und rechtliche Aspekte) können individuell erweitert werden. Die zeitlichen Bewertungsskalen werden grafisch dargestellt. Die über diese Einstufung berechnete Businesskritikalität überstimmt die Kritikalitätseinstufung der Stammdatenbewertung. Es werden in der BIA die Werte MTPD, RPO (Soll) und der Wiederanlaufwert erfasst. Der berechnete RTO (Soll) wird in der GAP-Analyse mit dem RTO (Ist) verglichen und bei einer negativen Abweichung mit Maßnahmen zur Verbesserung erfasst.

Mit der Auswahl der Kachel „Dashboard“ werden die Funktionen des Dashboards aktiviert. Das Dashboard ermöglicht aussagekräftige Darstellungen der aktuellen Situation für das Management. Besonders hervorzugeben sind hier: die individuell anpassbare und rollenbasierte, einfache Darstellung,das Monitoring der Aktivitäten und der Vergleich zwischen dem Soll-/Ist-Stand, die Übersicht über den Risikostatus von kritischen Assetgruppen,die Analyse des Reifegrades, den weltweiten oder landesweiten Governancestatusreport, die Anzahl Security Incidents, den Status der Maßnahmen uvm.

Mit der Auswahl der Kachel „Berichte“ werden die Funktionen der Berichte aktiviert. In QSEC sind aktuell ca. 60 Reports zur sofortigen Ansicht vordefiniert. Die Berichte ermöglichen eine umfangreiche Berichterstattung und den Nachweis der aktuellen Situation im Informationssicherheitsmanagement. Der Status wird dokumentiert und Unterlagen für Reviews stehen umfangreich zur Verfügung.

Mit der Auswahl der Kachel „Wiedervorlage“ werden die Funktionen zur Erfassung und Bearbeitung der Wiedervorlage  aktiviert. Die Wiedervorlage unterstützt bei der zeitlichen Überwachung der umzusetzenden Aufgaben. Über Offene Tasks können Verantwortlichen über Benachrichtigungen zugewiesen und in der Wiedervorlage überwacht werden. Die Wiedervorlage kann in allen Modulen von QSEC angewandt werden.

Mit der Auswahl der Kachel „Meine Mitarbeiter-Daten“-Kachel werden die Funktionen zur Erfassung und Bearbeitung der zugehörigen Mitarbeiterdaten aktiviert. Hier kann jeder Benutzer individuell seine eigenen Einstellung, wie z.B. die Oberflächensprache, Kontaktdaten, Zuständigkeiten und Zugehörigkeiten zu Teams und Geschäftseinheiten vornehmen und das System auf seine aktuelle Situation anpassen.

Was bedeutet Workflowunterstützung durch Wizards? 

Der "Interview Wizard" erleichtert die Erhebung der Information Assets in einem Interview. Die einfachen Prozessschritte ermöglichen eine systematische Erfassung von Geschäftsprozessen und den darin verwendeten Informationen und Assetgruppen, sowie die Bewertung nach den Schutzzielen. Durch den prozessorientierten Aufbau und die Erläuterungen jedes Prozessschrittes vereinfacht der Interview Wizard die Durchführung von Interviews signifikant. Nach der Aufnahme werden die Daten mithilfe des Interviewübernahme Wizard übernommen.

Der "Interview-Übernahme Wizard" dient Experten bzw. Interviewern zur Übernahme der im Zuge des Interviews erhobenen Information Assets. So können aufgenommene Geschäftsprozesse, Informationen und Assets überarbeitet werden und doppelt erfasste Information Assets per Drop & Drag zusammengeführt werden. Erst nach Übernahme der Interviews werden die Daten aus den Interviews dauerhaft ins System übernommen.

Der "Self Assessment Wizard" unterstützt bei der Planung eines Risikoassessments. Berechtigte User können über den Self Assessment Wizard in Untersuchungsbereichen ein Self Assessment anstoßen.

Der "Risiko Bewertungs- Wizard" leitet den Nutzer von QSEC durch das Risikomanagement. Mit dem Risiko Bewertungs- Wizard wird die Risikobewertung der Assetgruppen nach Bedrohungen und Schwachstellen durchgeführt. Die erhobenen Risikopotentiale werden im Anschluss ausgewertet und dargestellt.

Der "Security Level Bewertungs- Wizard" richtet sich in erster Linie an den Information Security Officer bzw. (Informationssicherheitsbeauftragten im Unternehmen und dient der Empfehlung und Bestätigung von Security Leveln. Dabei kann der Information Security Officer (ISO) Assetgruppen mit den Security Leveln 3 oder 4 empfehlen. In einem weiteren Schritt werden diese an den Geschäftsführer übergeben und müssen von diesem über den Wizard bestätigt werden.

Der "Maßnahmen Bewertungs- Wizard" vereinfacht die Bewertung von Maßnahmen hinsichtlich Kosteneffizienz und der Relevanz für gesetzliche Vorschriften. Dabei kann im Wizard über die Akzeptanz von Risiken entschieden werden, welche durch die Nichtdurchführung von Maßnahmen entstehen. Im Zuge dessen kann der Nutzer des Maßnahmen-Bewertungs-- Wizards ein Risikoakzeptanzpapier ausleiten, um dieses von autorisierter Stelle unterschreiben zu lassen.

Der "Compliance-Wizard" unterstützt die Bewertung der Anforderungen aus Normen, Gesetzen, Standards und/oder individuellen (vertraglichen) Vorgaben. Die Bewertung der Vorgaben kann mithilfe des Wizards von unterschiedlichen Personen oder Teams durchgeführt werden.
Das Ergebnis des Compliance-Wizard ist ein vollwertiges Selfassessment und stellt den Reifegrad hinsichtlich der Konformität bzgl. der zu untersuchenden Anforderungen dar.

QSEC unterstützt  als "all in one" Komplettlösung branchenneutral alle Unternehmen vom gehobenen Mittelstand bis zu Konzernkunden.

QSEC - die Komplettlösung für alle Branchen:

• flexibles arbeiten nach internationalen Standards (ISO/IEC / DIN/ISO / SOX / ITIL)
• schnelle und flexible Anpassbarkeit an individuelle Kundenbedürfnisse
• permanente Updates, inkl. Pflege u. Support

Das Produkt ist im Fachhandel erhältlich.

Auszug aus der Referenzliste:

• arvato systems GmbH (Bertelsmann Konzern) - Media
• EVM - Energy
• Huf Hülsbeck & Fürst GmbH & Co.KG - Automotive
• SIGNAL IDUNA - Assurance

Case Studies und Kontakte zu Ansprechpartnern gerne auf Anfrage!