QSEC® - ISMS, GRC, IMS, IKS, Datenschutz, ISO 27001, Risikomanagement
GRC, IMS, IKS, ISMS, BCM und Datenschutz - „All-in-one“!Version: V 6.4
Kompatibel mit
Version: V 6.4
Kunden aller Unternehmensgrößen aus vielen Branchen arbeiten zufrieden und erfolgreich mit QSEC®. Sie wünschen einen persönlichen Kontakt zu einem unserer Kunden? Sprechen Sie uns gerne an!
Web-Front-End für Browser basierten, unternehmensweiten Zugang zur Software
.NET – Technologie – MS SQL-Server 2016/R2, MS Windows Server 2016/R2 und Vorgängerversionen / SSL
Vereinbaren Sie mit uns eine unverbindliche Online-Demo und testen Sie danach QSEC® kostenfrei auf unserem Demo-Server. Wir freuen uns darauf von Ihnen zu hören!
QSEC® - HÖCHSTER STANDARD IM COMPLIANCE, RISIKO- INFORMATIONSSICHERHEITSMANAGEMENT
Lesen Sie hier mehr zum Anwendungskomfort von QSEC®!
Die QSEC®-Bedienoberfläche ist übersichtlich und leicht verständlich durch die implementierte Kacheltechnik. Ferner verfügt QSEC® auch über eine geführte Prozessunterstützung (Wizards). Die Wizards leiten den Anwender durch das Managementsystem. Ein weiterer Vorteil dieses Aufbaus der Benutzeroberfläche ist, dass nur minimale Schulungsaufwendungen erforderlich sind!
Was ist die Kacheltechnik und welche Kacheln gibt es in QSEC®?
Die Kacheltechnik bedeutet, dass die QSEC®-Module und Funktionen dem Anwender über eine übersichtliche grafische Kacheloptik zur Verfügung gestellt werden. Mit einem Klick auf eine Kachel, werden die Funktionen zur Verfügung gestellt. Der Zugang zu den Funktionskacheln wird den Anwendern (Nicht-Experten) über ein Berechtigungssystem zur Verfügung gestellt:
Experten können am Security Prozess beteiligte Anwender über die Benachrichtigungsfunktion „i“, auf Basis ihrer Rolle, über anstehende Aktionen und Vorkommnisse informieren. Die Experten können die Informationen erfassen und an den zuständigen Rolleninhaber senden. Diese Informationen werden dem Rolleninhaber auf der QSEC®-Startseite angezeigt und der Anzeigenzähler informiert über die Anzahl der neuen, noch nicht gelesenen Benachrichtigungen.
Die Fragen & Antworten- Funktion (FAQ) unterstützt den Anwender bei der Bedienung der QSEC®–Suite. Ist die Frage nicht ausreichend beantwortet, kann der Administrator über einen Benachrichtigungsbutton kontaktiert werden.
Die Volltextsuchfunktion „Suche“ unterstützt den Anwender bei der Suche nach Dokumenten, Maßnahmen, etc.
Mit der Auswahl der Kachel „Compliance“ werden die Funktionen des Compliance-Moduls aktiviert. Hierüber werden die Bewertungen für den ausgewählten Untersuchungsbereich durchgeführt. Die Normen, Policies, Gesetze und Vorgaben können anhand der im ausgewählten Untersuchungsbereich hinterlegten Fragenkataloge bewertet werden. Auf Basis der beantworteten Fragen und den ggf. verbundenen Maßnahmen werden die Reifegrade der Anforderungen (Controls, Kapitel etc.) bewertet. Die Bewertungen können auf Basis von Assessmentangaben gesteuert werden.
Mit der Auswahl der Kachel „Risiko“ werden die Funktionen des Risikomoduls aktiviert. Die in diesem Modul implementierte operative Risikomethode arbeitet nach der Norm ISO/IEC 27005. Die Berechnungsmethoden und Einstufungstabellen sind vordefiniert und können individuell an die jeweiligen Anforderungen angepasst werden. Die hinterlegten Bedrohungs- und Schwachstellenkataloge werden den vorhandenen Assettypen zugeordnet und bewertet. Eine Anpassung ist jederzeit über das Administrationstool möglich. Bei der Bewertung werden die Maßnahmen zur Risikoreduzierung und die verbundenen Vorfälle (Security Incidents) angezeigt. Es werden u.a. nachfolgende Werte berechnet: Schutzbedarf, Eintrittswahrscheinlichkeit, Risikowert in ¤, Risikostufe, Nettorisiko.
Mit der Auswahl der Kachel „Security Incidents“ werden die Funktionen zur Erfassung bzw. Bearbeitung der Sicherheitsvorfälle (Security Incidents) aktiviert werden. Bei der Security Incident Erfassung werden alle erforderlichen Daten erfasst: Name, Bezeichnung, Geschäftseinheit, Kategorie, Schadensstufe, Schadenskategorie, Schwachstelle, Verantwortlicher, Status, voraussichtliche Bearbeitungszeit, tatsächliche Bearbeitungszeit, betroffene Mitarbeiter, betroffene Assetgruppen etc. Die Security Incidents werden bei der Risikobewertung der Assetgruppen angezeigt. Es kann ein Incidentstatusbericht erzeugt und zur Weiterverarbeitung versendet werden. Die notwendigen Maßnahmen werden erstellt und im Maßnahmenmanagement verarbeitet.
Mit der Auswahl der Kachel „Maßnahmen“ werden die Funktionen zur Erfassung und Bearbeitung der Maßnahmen aktiviert. Es können alle in den Modulen Compliance, Risiko, Security Incident, BCM/BIA erfassten Maßnahmen bearbeitet werden. Die Maßnahmen werden nach der Wiedervorlagekennzeichnung in Ampelfarben dargestellt. Die Maßnahmen können bearbeitet und aktualisiert werden. Doppelt vorhanden Maßnahmen können zusammengeführt und der Verantwortliche direkt mit Mailfunktion benachrichtigt werden. Die Maßnahmen werden direkt mit den Compliance- bzw. Risikobewertungen verbunden und die Reifegradverbesserung bzw. die Risikoreduzierung angegeben. Über die Kostenerfassung kann die korrespondierende Sicherheitsbudgetierung ausgegeben werden.
Mit der Auswahl der Kachel „Dokumente“ werden die Funktionen zur Erfassung und Bearbeitung der Dokumente aktiviert. Im QSEC® Dokumentenmanagement können alle relevanten Dokumente verwaltet werden. Alternativ kann über das Modul auch die Verlinkung zu einem ggf. vorhandenen Dokumentenmanagementsystem stattfinden. Dokumente können verknüpft werden, z.B. mit Controls im Compliance-Management, Security Incidents, Assets, Maßnahmen uvm., so dass die Dokumente immer dort und denjenigen zur Verfügung stehen, die sie benötigen. Für jedes Dokument können Verantwortliche hinterlegt, Zugriffsrechte vergeben, sowie Daten für die Wiedervorlage festgelegt werden. Es findet eine revisionssicherere Versionierung statt.
Mit der Auswahl der Kachel „Stammdaten“ werden die Funktionen zur Erfassung und Bearbeitung der Stammdaten aktiviert. In den Stammdaten werden die gesamten individuellen Daten einer Organisation angelegt. U.a. sind dies die Darstellung der Geschäfts-/Organisationseinheiten, beliebig detailliert definierten Untersuchungsbereiche (Scopes), auf welche Normen oder eigene Fragen-Kataloge für Geschäfts-/Organisationseinheiten angewandt werden. Pflege von Mitarbeitern, Rollen und Teams – sowie deren Berechtigungen und Verantwortlichkeiten.
Mit der Auswahl der Kachel „Information Assets“ werden die Funktionen zur Erfassung und Bearbeitung der Information Assets aktiviert. In diesem Modul werden die Information Assets „Geschäftsprozesse, Informationen und Assets“ (Vorgehensweise abgeleitet nach den Vorgaben der ISO 27005 für Risikomanagement) aufgenommen. Ziel ist eine möglichst präzises Abbild der Assets einer Organisation(en) im Scope. Die hier als kritisch identifizierten Assets werden einer detaillierten Betrachtung im Risikomanagement unterzogen.
Mit der Auswahl der Kachel „Business Impact Analyse“ werden die Funktionen zur Erfassung und Bearbeitung der Business Impact Analyse, der Erstellung einer Gap-Analyse und des Aufbaus und der Pflege einer vollständigen BCM-Dokumentation für die Business- und Serviceprozesse aktiviert. Die vordefinierten Bewertungskategorien für den Businessprozess (finanzielle Aspekte, Reputation, Steuerungsfähigkeit und rechtliche Aspekte) können individuell erweitert werden. Die zeitlichen Bewertungsskalen werden grafisch dargestellt. Die über diese Einstufung berechnete Businesskritikalität überstimmt die Kritikalitätseinstufung der Stammdatenbewertung. Es werden in der BIA die Werte MTPD, RPO (Soll) und der Wiederanlaufwert erfasst. Der berechnete RTO (Soll) wird in der GAP-Analyse mit dem RTO (Ist) verglichen und bei einer negativen Abweichung mit Maßnahmen zur Verbesserung erfasst.
Mit der Auswahl der Kachel „Dashboard“ werden die Funktionen des Dashboards aktiviert. Das Dashboard ermöglicht aussagekräftige Darstellungen der aktuellen Situation für das Management. Besonders hervorzugeben sind hier: die individuell anpassbare und rollenbasierte, einfache Darstellung,das Monitoring der Aktivitäten und der Vergleich zwischen dem Soll-/Ist-Stand, die Übersicht über den Risikostatus von kritischen Assetgruppen,die Analyse des Reifegrades, den weltweiten oder landesweiten Governancestatusreport, die Anzahl Security Incidents, den Status der Maßnahmen uvm.
Mit der Auswahl der Kachel „Berichte“ werden die Funktionen der Berichte aktiviert. In QSEC® sind aktuell ca. 60 Reports zur sofortigen Ansicht vordefiniert. Die Berichte ermöglichen eine umfangreiche Berichterstattung und den Nachweis der aktuellen Situation im Informationssicherheitsmanagement. Der Status wird dokumentiert und Unterlagen für Reviews stehen umfangreich zur Verfügung.
Mit der Auswahl der Option „Wiedervorlage“ werden die Funktionen zur Erfassung und Bearbeitung der Wiedervorlage aktiviert. Die Wiedervorlage unterstützt bei der zeitlichen Überwachung der umzusetzenden Aufgaben. Über Offene Tasks können Verantwortlichen über Benachrichtigungen zugewiesen und in der Wiedervorlage überwacht werden. Die Wiedervorlage kann in allen Modulen von QSEC® angewandt werden.
Mit der Auswahl der Option „Mein Profil“ werden die Funktionen zur Erfassung und Bearbeitung der zugehörigen Mitarbeiterdaten aktiviert. Hier kann jeder Benutzer individuell seine eigenen Einstellung, wie z.B. die Oberflächensprache, Kontaktdaten, Zuständigkeiten und Zugehörigkeiten zu Teams und Geschäftseinheiten vornehmen und das System auf seine aktuelle Situation anpassen.
Der QSEC® Task-Manager bietet als Ergänzung zum Maßnahmenmanagement ein schnelles, einfaches und dynamisches Werkzeug, um Aufgaben zu erstellen, zuzuweisen und zu bearbeiten. Die manuelle Erstellung neuer Tasks ist in vielen Modulen von QSEC® möglich. Zusätzlich werden systemseitig automatisiert Tasks erzeugt.
Was bedeutet Workflowunterstützung durch Wizards?
Der "Interview Wizard" erleichtert die Erhebung der Information Assets in einem Interview. Die einfachen Prozessschritte ermöglichen eine systematische Erfassung von Geschäftsprozessen und den darin verwendeten Informationen und Assetgruppen, sowie die Bewertung nach den Schutzzielen. Durch den prozessorientierten Aufbau und die Erläuterungen jedes Prozessschrittes vereinfacht der Interview Wizard die Durchführung von Interviews signifikant. Nach der Aufnahme werden die Daten mithilfe des Interviewübernahme Wizard übernommen.
Der "Interview-Übernahme Wizard" dient Experten bzw. Interviewern zur Übernahme der im Zuge des Interviews erhobenen Information Assets. So können aufgenommene Geschäftsprozesse, Informationen und Assets überarbeitet werden und doppelt erfasste Information Assets per Drop & Drag zusammengeführt werden. Erst nach Übernahme der Interviews werden die Daten aus den Interviews dauerhaft ins System übernommen.
Der "Risiko Assessment Wizard" leitet den Nutzer von QSEC® durch das Risikomanagement. Mit dem Risiko Bewertungs- Wizard wird die Risikobewertung der Assetgruppen nach Bedrohungen und Schwachstellen durchgeführt. Die erhobenen Risikopotentiale werden im Anschluss ausgewertet und dargestellt.
Der "Security Level Wizard" richtet sich in erster Linie an den Information Security Officer bzw. (Informationssicherheitsbeauftragten im Unternehmen und dient der Empfehlung und Bestätigung von Security Leveln. Dabei kann der Information Security Officer (ISO) Assetgruppen mit den Security Leveln 3 oder 4 empfehlen. In einem weiteren Schritt werden diese an den Geschäftsführer übergeben und müssen von diesem über den Wizard bestätigt werden.
Der "Maßnahmen Bewertungs- Wizard" vereinfacht die Bewertung von Maßnahmen hinsichtlich Kosteneffizienz und der Relevanz für gesetzliche Vorschriften. Dabei kann im Wizard über die Akzeptanz von Risiken entschieden werden, welche durch die Nichtdurchführung von Maßnahmen entstehen. Im Zuge dessen kann der Nutzer des Maßnahmen-Bewertungs-- Wizards ein Risikoakzeptanzpapier ausleiten, um dieses von autorisierter Stelle unterschreiben zu lassen.
Der "Compliance-Wizard" unterstützt die Bewertung der Anforderungen aus Normen, Gesetzen, Standards und/oder individuellen (vertraglichen) Vorgaben. Die Bewertung der Vorgaben kann mithilfe des Wizards von unterschiedlichen Personen oder Teams durchgeführt werden.
Das Ergebnis des Compliance-Wizard ist ein vollwertiges Selfassessment und stellt den Reifegrad hinsichtlich der Konformität bzgl. der zu untersuchenden Anforderungen dar.
QSEC® unterstützt als "all in one" Komplettlösung branchenneutral alle Unternehmen vom gehobenen Mittelstand bis zu Konzernkunden.
QSEC® - die Komplettlösung für alle Branchen:
Ja, die Lizenzierung der QSEC – Suite ist vom Klein-, Mittelstands- und Großunternehmen skalierbar. Die Einrichtung der QSEC – Suite erfolgt den Unternehmensformen angepasst. Die SEC Preisstufe 1 ist für 1-500 Mitarbeiter vorgesehen.
ISMS Tool QSEC ist komplette Softwarelösung zum Aufbau und Betrieb eines GRC (Governance Risk Compliance), ISMS (Information Security Management System) und DSMS (Datenschutzmanagementsystem) nach ISO 27001 und/oder BSI IT-Grundschutz.
Neben ISO 27001 und/oder IT-Grundschutz und dem Datenschutz nach DSGVO ist es möglich nach den Anforderungen einer Vielzahl weiterer Standards in QSEC zu arbeiten und das ISMS zum integrierten Managementsystem (IMS) auszubauen. Darüber hinaus ist die Möglichkeit gegeben QSEC auch als internes Kontrollsystem (IKS) zu nutzen.
Die Präsentation erläutert den Aufbau eines ISMS nach ISO 27001 u./o. BSI IT-Grundschutz mit QSEC, einschließlich seiner Bestandteile, Einsatzgebiete und eines Überblicks zu den Funktionalitäten von QSEC. Sie überlegen eine ISMS Einführung oder interessieren sich für Toolunterstützung bei GRC, Datenschutz und ISMS?
Dann wünschen wir Ihnen viel Spaß beim Anschauen!
Der Interview-Wizard ist zur einfachen und effizienten Erfassung von Geschäftsprozessen, Informationen und den notwendigen IT-Systeme konzipiert. Dank klarer Schritt für Schritt Anweisungen sind selbst Anfänger in der Lage mit dem Tool umzugehen.
QSEC® erfüllt die Anforderungen an ein integriertes Datenschutz- und Informationssicherheitsmanagementsystem (DIMS). Die EU-DSGVO ist bereits in vielen QSEC® Modulen implementiert.
Die Anwenderfreundlichkeit steht im Vordergrund.
= hohe Anwenderakzeptanz!
Modul zur Ermittlung und Verbesserung des Compliance Status, u.a.
Modul zur Analyse von Auswirkungen von Ausfällen über die Business Impact Analyse, u.a.
Modul zum Erstellen, Bearbeiten, Verknüpfen und Zusammenführung von Maßnahmen, u.a.
Performantes Risikomanagement Modul zur Ermittlung des Risiko-status u.a.
Ist ein zentrales Modul zur Erfassung und Auswertung von Sicherheits- und Datenschutzvorfällen u.a.
Modul zur Verwaltung der Compliance Dokumente in- und außerhalb von QSEC.
QSEC liefert viele ausführliche
dient der einfachen, prozessorientierten Erfassung und Bewertung der Information Assets (Geschäftsprozesse, Informationen, Assets). Die unmittelbar greifenden Vorteile der benutzerfreundlichen Führung der Wizards führt zu
stellt wichtige Arbeits- und Managementreports vordefiniert oder individuell tagesaktuell zur Verfügung, z.B.
... und viele mehr.
Auszug aus der Referenzliste:
Case Studies und Kontakte zu Ansprechpartnern gerne auf Anfrage!
Projekt Nr.: 19/1638
Ausschreibung bis: Beendet
Ich suche, als süddeutscher IT-Dienstleister, ein ISMS für ein süddeutsches Krankenhaus zur ... mehr
Projekt Nr.: 19/1625
Ausschreibung bis: Beendet
Wir sind eine süddeutsche Unternehmensberatung und suchen für uns eine Analysesoftware. ... mehr
Projekt Nr.: 19/1584
Ausschreibung bis: Beendet
Wir sind ein gemeinnütziger Unternehmensverbund und suchen eine Software zur Erstellung eines ... mehr