Case Study: Konzeption und Umsetzung eines IT-Control Framework mittels Servicenow® GRC

Branche:

Konsumgüterindustrie, Chemie

 

Problemstellung:

Das börsennotierte Unternehmen orientiert sich bei der Informationssicherheit am international anerkannten Standard ISO 27000. Aus den Security Policies wurden notwendige Controls abgeleitet, jedoch nicht einheitlich für die gesamte Organisation. Eine ganzheitliche und fortlaufende Übersicht über die durchzuführenden Kontrollen und identifizierten Probleme konnte somit nicht garantiert werden. In Folge deckten Audits auf, dass Controls auf unterschiedliche Art und Weise umgesetzt wurden, teils Lückenhaft, teils gar nicht, teils mit oder ohne Dokumentation.

 

Projektzielsetzung:

Ziel ist es, die Einhaltung der Controls regelmäßig zu überprüfen und identifizierte Defizite nachweislich auszuräumen. Für die Umsetzung wurde das Tool Servicenow® GRC benutzt.

 

Projektvorgehen:

Es wurde ein agiles und risikorientiertes Vorgehensmodell entwickelt, um frühzeitig sichtbare Projektergebnisse zu erzielen:

  • Schaffung der organisatorischen und technischen Voraussetzungen
  • Priorisierung der zu betrachtenden Policies und Assets und Ableitung benötigter Controls. Damit wird eine erste „Welle“ der Umsetzung definiert.
  • Umsetzung der in der Policy enthaltenen Controls für die priorisierten Assets
  • Roll-Out der Controls im GRC-Modul von Servicenow® für die jeweiligen Assets
  • Bearbeitung weiterer Wellen. Dieser kann auch parallelisiert werden.
  • Risikoorientiert: Strukturiertes Konzept zur Sicherstellung der Unternehmensziele mittels effektiven Managements von IT-Risiken bei gleichzeitiger Erfüllung der vorgeschriebenen Kontrollen.
  • Fortlaufender Prozess: Die Einhaltung der Anforderungen wird regelmäßig überprüft. Identifizierte Defizite werden dokumentiert und nachweislich ausgeräumt. Ergebnisse und Erkenntnisse aus Aktivitäten werden nachhaltig für Anpassungen und Verbesserungen genutzt.
  • Kommunikation & Awareness: Durchführung von Awareness-Kampagnen, Erstellung von Kommunikationsunterlagen jeglicher Art sowie die Erstellung und Durchführung von Trainings für die gesamte Organisation.

 

Projektergebnisse:

Heute setzt das implementierte IT-Control Framework einen nachhaltigen Prozess um, bei dem Schwachstellen durch fortlaufende Kontrollaktivitäten aufgedeckt, dokumentiert und nachweislich ausgeräumt werden. Durch die Ausrichtung nach identifizierten Risiken aller Compliance-Felder rücken die Überwachungstätigkeiten und das Risikomanagement näher zusammen, wodurch Synergieeffekte erzielt werden.

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.