Home / Solutions & Services / Kompetenzen / IT- Governance, Risk & Compliance

IT- Governance, Risk & Compliance Management

IT-Sicherheitsgesetz/ KRITIS 

Wir unterstützen Ihr Unternehmen kompetent und effizient bei den Anforderungen, welche durch KRITIS bzw. das IT-Sicherheitsgesetz und/oder andere branchenspezifische Regelungen wie das PDSG im Gesundheitswesen entstehen..

Beim IT-GRC Management stehen bei uns Instrumente und Führungsstrukturen des Informations-Managements sowie Fragen der (ggf. toolgestützten) Modellierung von Risikomanagement und Compliance-Anforderungen im Vordergrund, sowie der zielgerichtete Einsatz von technischen und organisatorischen Maßnahmen zur passgenauen Erfüllung identifizierter Anforderungen.

  • Unter IT Governance ist die auf den Geschäftszweck ausgerichtete Steuerung der Informationstechnik zu verstehen, in deren Rahmen insbesondere überprüft wird, ob die getroffenen Richtlinien, Policies und Prozeduren bestehende Vorgaben adäquat umsetzen.
  • Beim Risk Management wird dagegen überprüft, ob IT- bzw. operative Risiken und vor allem die fortbestandsgefährdenden Risiken erkannt und deshalb vermieden, abgemildert oder auf Dritte übertragen werden können.
  • Das Compliance Management stellt schließlich sicher, dass geltende Gesetze, getroffene Vereinbarungen, Best-Practice-Standards und der aktuelle Stand der Technik eingehalten werden. Compliance bedeutet nichts anderes, als mit Vorgaben konform zu gehen. Compliant zu sein bedeut nicht zwangsläufig sicher zu sein - kann es aber wenn man es richtig macht!

Im Rahmen des Information Assurance Ansatzes spielt das Wissen um Regularien, Frameworks, IT-Risiken und Compliance eine zentrale Rolle.

Wer heute Sicherheitsmaßnahmen durchführt, ohne diese fundiert zu begründen und "Auditready" zu dokumentieren, handelt ineffizient. Viele Unternehmen betrachten außerdem noch jede Anforderung gesondert. Eine planvolle und schlüssige Herangehensweise verhindert dagegen derartige Fleißarbeit in vielen Fällen. Fragen Sie uns, wenn Sie effektiv und effizient zugleich sein wollen.

Unsere Dienstleistungen umfassen hierbei u.a.

  • Beratung zur effizienten, strukturellen Aufstellung des Risk- und Compliance Managements
  • Risiko-Analysen und die Erstellung von Risiko-Katalogen sowie das Mapping auf ISO/IEC 2700x, Cobit oder andere Controls
  • Etablierung von Informationssicherheits-Management Systemen z.B. nach ISO/IEC 27001 (auch auf Basis der Grundschutzkataloge).
    Optional Hinführung zur Zertifizierung oder Zertifizierung
  • Etablierung von Informationssicherheits-Management Systemen für Financial Service Organisationen nach ISO /TR 13569:2005
  • Notfallvorsorge/Business Continuity Management (BCM) (BS25999, BSI 100-4)
  • Unterstützung bei der Erfüllung von IT-Compliance Anforderungen (z.B. bezüglich Anforderungen aus PCI-DSS, Datenschutz, OpRisk oder sonstigen regulatorischen, gesetzlichen oder internen Anforderungen inkl. KRITIS und den entsprechenden B3S.
  • Erstellung oder Reviews von "PPPs" (Policies, Processes and Procedures")
  • Gap Analysen

Aktuell: Anforderungen des PDSG

  • Im Zuge des PDSG müssen alle Krankenhäuser bis zum 1.1.2022 nach dem Stand der Technik angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität und Vertraulichkeit sowie der weiteren Sicherheitsziele ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen und hierzu den branchenspezifischen Sicherheitsstandard für die informationstechnische Sicherheit der Gesundheitsversorgung im Krankenhaus unter Berücksichtigung der Faktoren Patientensicherheit und Behandlungseffektivität umsetzen.
  • Ebenfalls durch das PDSG veranlasst müssen auch alle medizinische Versorgungszentren (MVZ) und andere Leistungserbringer bis zum 1.1.2022 die von der KBV erlassenen Richtlinie nach § 75b SGB V über die Anforderungen zur Gewährleistung der IT-Sicherheit unter Vermeidung von Störungen umsetzen.
  • Durch DiGAV wiederum muss bis zum 1.4.2022 gegenüber dem Bundesinstitut für Arzneimittel und Medizinprodukte auf Verlangen ein Zertifikat zur ISO/IEC 27001 (bzw. auf Basis von IT-Grundschutz) für betriebene digitale Gesundheitsanwendungen inkl. einem Nachweis des Herstellers über die Durchführung einer strukturierten Schutzbedarfsanalyse vorlegen.
  • Im Rahmen des IT-Sicherheitsgesetzes 2.0 sind Stellen aus dem Gesundheitssektor, die als kritische Infrastruktur eingestuft sind, zudem dazu angehalten, bis zum 01.05.2023 ein System zur Angriffserkennung zu betreiben. Das betrifft soweit auch betriebene Medizin- und Versorgungstechnik.

Wir unterstützen Sie gerne!

IT-Sicherheit kompakt und verständlich

Buch: it-Sicherheit kompakt und verständlich

Eine praxis- orientierte Einführung.

Anschaulich und praxisnah Lehr- und Nachschlagewerk alle Aspekte mehrseitiger IT-Sicherheit.

Von it.sec Consultant Bernhard C. Witt

International

Um allen internationalen Anforderungen im Cybersecurity & Datenschutz-Umfeld gerecht zu werden, pflegen wir Kooperationen mit Kanzleien u.A..in

  • China
  • Hong Kong
  • VAE
  • Saudi Arabien
  • Singapur
  • USA
  • Frankreich
  • UK
  • etc.