Governance, Risk & Compliance (GRC)

GRC fasst die Steuerung des Unternehmens (Governance), das Risikomanagement (Risk) und die Einhaltung von Vorgaben (Compliance) zu einer Disziplin zusammen. Unsere Dienstleistungen in diesem Bereich reichen von entsprechenden Analysen, über den Aufbau von Managementsystemen bis hin zu Awareness-Trainings.
Governance

Die Steuerung des Unternehmens (und damit auch der Unternehmens-IT) erfolgt auf verschiedenen Ebenen. Weisungen (Policies) geben den Rahmen vor, Prozesse und Richtlinien dienen als Anleitung für das tägliche Arbeiten, Vorgesetzte und Kollegen leben vor, geben Anweisungen und gestalten die Unternehmenskultur, an welcher sich die Mitarbeitenden orientieren. Das Zusammenwirken all dieser und weiterer Komponenten definiert schlussendlich in welche Richtung sich das Unternehmen bewegt.

Das System und die Wechselwirkungen sind durchaus komplex. Wesentlich einfacher sind hingegen die Gründe weshalb die Steuerung scheitert: Fehlende Ziele, falsche/unklare Strategie, fehlende Kontrollen und Messpunkte.

Hot Topics

KMU @ Risk

Kostengünstige Risikoanalysen für KMU

GDPR / EU-DSGVO

Sind Sie betroffen? Was gilt es zu beachten?

Risk

Ein aktives und gut intergiertes Risikomanagement ist ein wertvolles und effektives Mittel zur Unterstützung der Governance und Zielerreichung des Unternehmens. Es ist eine unerlässliche Basis für effektive Information Security. 

Nebst dem eigentlichen Risikomanagement, gilt unser Fokus insbesondere dem Information Security Management und dem Business Continuity Management.

Risikomanagement / IT-Risk Management

Über ein adäquates Risikomanagement zu verfügen, ist einerseits eine gesetzliche Anforderung an Schweizer Unternehmen, kann andererseits aber auch ein effektives und überaus nützliches Instrument zur Steuerung sein. Sofern es gelingt das Risikomanagement den individuellen Bedürfnissen des eigenen Unternehmens entsprechend aufzubauen und in die bestehenden Prozesse zu integrieren, kann damit die Erreichung der taktischen und strategischen Ziele aktiv unterstützt werden.

Da die allermeisten Unternehmen heutzutage auf IT angewiesen sind, empfiehlt es sich in der Regel auch ein spezifisches Risikomanagement für die IT aufzubauen. Dieses IT Risikomanagement muss zwinged auf das unternehmensweite Risikomanagementsystem (Enterprise Risk Management) abgestimmt sein und bildet im Idealfall einen integralen Bestandteil davon.

Information Security Management

Um die Informationen eines Unternehmens zu schützen, bedarf es einer Vielzahl an orgnisatorischen und technischen Kontrollen. Von Firewalls und Antiviren-Software über ein sicheres und zuverlässiges Change Management bis hin zu Awareness-Traninigs für die Mitarbeitenden. Die Massnahmen sind vielfältig und die optimale Umsetzung unterscheidet sich oft von Unternehmen zu Unternehmen. Standards wie die ISO 27001 bieten sich als Orientierungshilfen an, sind manchmal aber auch Teil von branchenspezifischen Vorschriften (bspw. PCI DSS).

Während sich einige Firmen nach der Installation einer Firewall und eines Antivirus-Programms in Sicherheit wähnen und sich darüber hinaus kaum je Gedanken zum Thema Informationssicherheit machen, haben andere das Problem, dass sie zwar etliche Lösungen eingekauft und Massnahmen umgesetzt haben, diese aber nicht aufeinader abgestimmt sind. Ein risikobasiertes und zielorientiertes Vorgehen ist auch hier zu empfehlen.

Business Continuity Management (BCM) / IT Service Continuity Management

Das Business Continuity Management vereint sämtliche Massnahmen zur Vermeidung eines Betriebsunter-bruchs und zur Minimierung der Schäden, welche daraus enstehen. Dies geschieht über die Förderung und Sicherstellung von Stabilität und Widerstandsfähigkeit sowie die Vorbereitung des Unternehmens auf Notfall- und Krisenszenarien. In den meisten Unternehmen nimmt dabei die IT eine besonders wichtige Rolle ein, da kritische Prozesse heutzutage oft auf die Unterstützung durch Software angewiesen sind. Dies hat zur Folge, dass die IT Services und die zugrundeliegenden Hard- und Softwarekomponenten in praktisch sämtliche BCM-Aktivitäten, von der Business Impact Analyse bis hin zum Testing der Wiederherstellungspläne, miteinbezogen werden müssen.

Wir unterstützen Sie

  • (Gap-)Analyse

  • Prüfung von Maturität & Reifegrad

  • Ziele ableiten/definieren

  • Weisungen/Policies ausarbeiten

  • Prozessdefinition & -optimierung

  • Richtlinien & Standards erarbeiten

  • Risikoanalysen

  • Risikomanagement / Risikomanagementsystem

  • Definition & Integration Risikoappetit

  • Information Security Management (System)

  • Planung & Umsetzung von Kontrollen

  • Awareness Massnahmen

  • Business Impact Analyse

  • Business Continuity Management (Systeme)

  • Übungen & Tests

  • Compliance-Check

  • Optimierung von Compliance-Massnahmen

  • Audit-Vorbereitung

  • ISO 31000

  • COSO ERM

  • ISO 27001

  • ISO 27005

  • Cobit

  • ISO 22301

  • PCI DSS

  • NIST SP 800 / 1800

  • ITIL v3

Compliance

Unter Compliance wird üblicherweise das (nachweisliche) Einhalten von internen und externen Vorgaben verstanden - von Gesetzen und Verordnungen über branchenspezifische und vertragliche Vorschriften bis hin zu den internen Weisungen & Prozessen. Eine der massgeblichen Herausforderungen besteht hierbei oft bereits in der Erfassung sämtlicher gültiger Vorschriften. Aber auch die Adaptierung der gültigen Vorschriften auf das eigene Unternehmen kann herausfordernd sein.

Nebst Starfzahlungen und anderen (behördlichen) Massnahmen, können auch Reputationsschäden die Folge von Verstössen gegen geltende Vorgaben sein. Um sich vor solchen negativen Auswirkungen schützen zu können, muss ein Unternehmen die Vorschriften verstehen, die getroffenen Massnahmen zur Umsetzung einschätzen können und das damit einhergehende Restrisiko kennen.

Vollständige Compliance ist nicht in jedem Fall die beste Lösung und meist führen viele Wege zum Ziel. Gerne unterstützen wir Sie bei der Evaluation und Umsetzung von Compliance-Massnahmen in den Bereichen IT Governance, Informationssicherheit und Datenschutz.