auswahl und einführung eines grc-tools für ein integriertes managementsystem

aufgabe

Auswahl und Einführung eines GRC-Tools zur integrierten Unterstützung von ISMS, Notfallmanagement, Datenschutz, Auslagerungen, IT-Risiken und OpRisk mit der Zielsetzung:

  • gemeinsame Nutzung von Daten und Klassifizierungen
  • Entlastung der Fachbereiche von Assessments durch Abstimmung und Zusammenfassung von Fragebögen
  • Entlastung der zentralen Funktionen durch dezentrale Assessments und automatische Aufbereitung
  • Verbesserter Datenhaushalt und Transparenz über alle Verfahrensschritte
  • Nachvollziehbare Dokumentation und Sicherstellung der erforderlichen Freigaben

vorgehen

  • Abstimmung der in das Tool zu integrierenden Funktionsblöcke und deren Priorisierung
  • Longlist über geeignete Anbieter und Lösungen, Verdichtung der Longlist zu einer Shortlist
  • Erstellung und Abstimmung eines strukturierten Anforderungskataloges und ergänzender Ausschreibungsunterlagen
  • Durchführung einer beschränkten Ausschreibung und Bewertung der Angebote
  • Verhandlung und Konkretisierung der Angebote
  • Entscheidungs- und Vertragsvorbereitung
  • Planung des Umsetzungsprojektes
  • Steuernde Begleitung der Toolimplementierung insb. zur Sicherstellung einer hohen Integration

nutzen

  • Für die BAIT-Anforderungen optimierte GRC-Lösung zur Verbesserung von Transparenz und Verfahrenseffizienz
  • Unterstützung aller Aspekte eines ISMS: Schutzbedarfsanalyse, Sollmaßnahmen, Soll-Ist-Abgleich etc.
  • Unterstützung aller Aspekte eines BCM: BIA, Notfallplanung, und-organisation, Ableitung relevanter Ressourcen etc.
  • Unterstützung aller Aspekte eines DSM: VVT, Löschkonzepte, Datenschutzfolgeabschätzung, TOMs, AVV etc.
  • Unterstützung des Auslagerungsmanagements: Auslagerungsinventar, Wesentlichkeits- und Risikoanalyse, Exit-Konzepte, Dienstleistersteuerung etc.
  • Register von Schadensfällen und Beinaheschäden zur Verbesserung der Risikobewertung
  • übergreifende Ermittlung, Bewertung und konsolidierte Dokumentation aller IT-Risiken in einem Risikoinventar
  • Übergreifende Steuerung aller Maßnahmen zur Risikobehandlung
  • Überführung der IT-Risiken in das OpRisk-Management und Integration mit OpRisk-Assessment