Governance Risk Compliance Management
Kennzahlen für bessere Entscheidungen
Governance Risk Compliance (GRC) Management unterstützt Organisationen nachzuweisen, wie unternehmenskritische Assets geschützt werden und hilft damit Compliance-Anforderungen zu erfüllen. Aber nicht nur das. In Zeiten wirtschaftlichen Umdenkens kommen auch Budgets für IT-Sicherheit auf den Prüfstand. Gefragt sind Metriken und Kennzahlensysteme zur Ermittlung der Wirtschaftlichkeit und Effizienz der eingesetzten IT-Sicherheitsinfrastruktur.
Leider sieht die Realität in der Praxis oft anders aus: Statt Chancen und Risiken effizient zu managen beschäftigt man sich viel zu sehr mit dafür ungeeigneten und dezentralen Werkzeugen (z.B. Excel) und kommt nicht zum Ziel.
Was jeder weiß
ISMS, das Managementsystem für Informationssicherheit (Information Security Management System) ist ein System von Verfahren und Regeln eines Unternehmens, das dazu dient, die Informationssicherheit dauerhaft zu steuern und zu kontrollieren. Der Aufbau eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001:2005 und die Umsetzung im Rahmen des PDCA-Zyklus bilden das Kernstück des Risikomanagements.
Was man erst hinterher weiß
Die Etablierung eines Information Security Management Systems (ISMS) ist eine Herausforderung der besonderen Art, denn es erfordert sowohl hohe methodische als auch inhaltliche Qualität, um zum gewünschten Ergebnis zu kommen. Hinzu kommen die Anforderungen verschiedenster interner sowie externer Stakeholder. Jeder mit einer spezifischen Sichtweise auf das im Einsatz befindliche System.
Was man vorher wissen sollte
Der typischen "Sägezahnkurve" im Hinblick auf die Aktivitäten bei einem bevorstehenden Audit setzt ein GRC-Tool ein automatisiertes und permanent arbeitendes Management der Risiken entgegen. Insbesondere scorecard basierte Governance Risk und Compliance Management Systeme (GRC) ermöglichen eine strukturierte qualitative und quantitative Bewertung von Risiken, Chancen und Kontrollen.
Additional Information
