CRISAM® Prozessmodell ///

Die Methode basiert auf einem 6-stufigen Modell

CRISAM® basiert auf einem 6-stufigen Prozessmodell, auch Vorgehensmodell genannt. Dieses ermöglicht durch einen Top-Down- und Bottom-Up-Ansatz eine gesamtheitliche Betrachtung ermöglicht von: Strategie, Organisation, Prozess und Infrastruktur.

DAS CRISAM® PROZESSMODELL

Dieses Modell ist das Kernstück der CRISAM® Methode und bietet einen hohen Mehrwert in der Einführung, Aktualisierung und Weiterentwicklung eines Risiko-Managementsystems für Projektverantwortliche und Entscheidungsträger.

Warum? Es dient als Leitfaden, anhand dessen Sie Ihren unternehmensweiten Risikomanagementprozess implementieren können. Das genutzte Prozessmodell erfüllt sowohl die Anforderungen aus dem internationalen Standard der ISO 31000 als auch die gemäß dem PDCA Deming Zyklus geforderten Prozessschritte.

CRISAM® Prozessmodell PDCA
Es stehen Ihnen unterschiedliche Methoden (z.B. Fehlerbaum, Monte-Carlo-Simulation, etc.) zur Modellierung und Bewertung Ihrer Risikomodelle zur Verfügung. Aus diesen können Sie die jeweiligen auswählen, welche für Ihre Organisation und Ihre Risikobetrachtung die passenden sind, um die betreffenden Abteilungen oder Prozesse abzubilden.

Zur Auswertung Ihrer Risiken stehen Ihnen eine Vielzahl moderner Analysemethoden, sowie ein umfangreiches Set an individualisierbaren Standard-Reports zur Verfügung.

 

Das CRISAM® Prozessmodell an einem ISMS Projektbeispiel:
Schritt 1 | Rahmenbedingungen
  • Das verantwortliche Management leitet auf Basis der Unternehmensstrategie eine Risikopolitik ab
  • Die Informationssicherheitspolitik gibt den Rahmen vor, innerhalb dessen das verantwortliche Management die IT-Sicherheit auszurichten hat
Schritt 2 | Geltungsbereich
  • Identifikation und Dokumentation möglicher Schäden aus dem Verlust der Verfügbarkeit, Vertraulichkeit und Integrität
  • Ergebnis: plausible und nachvollziehbare Einstufung möglicher IT-verursachter Schäden
  • Einstufung anhand vorher festgelegten Bedrohungsklassen der IT-Applikationen
  • Ableitung von Anforderungen an die IT des Unternehmens
Schritt 3 | Risikoanalyse
  • Bewertung potentieller Bedrohungen eines Verfügbarkeits-, Vertraulichkeits- und Integritätsverlustes der betrachteten IT-Applikationen und darin gespeicherte und/oder verarbeitete Daten
  • Erstellung der Baumstruktur von Risikoquellen sowie qualitative, quantitative oder semiquantitative Bewertung
  • Ergebnis: Modell der Unternehmens-IT und eine Ratingkennzahl
Schritt 4 & 5 | Risikomanagement
  • Ratingkennzahl aus der Risikoanalyse wird gewichtet und der ermittelte Ist-Wert einer Sollvorgabe aus der Informationssicherheitspolitik gegenübergestellt
  • Analyse von Abweichungen (GAP Analyse)
  • Ergebnis: Liste aller Risikoquellen & Erstellung eines Maßnahmenkatalog
SCHRITT 6 | Maßnahmenumsetzung

Der im Rahmen des Risikomanagements erstellte Maßnahmenkatalog wird im letzten Schritt „Implementierung“ in Implementierungsprojekte gruppiert. Ergebnis der Stufe sind Projektspezifikationen, Kosten-, Ressourcen- und Zeitabschätzungen, die dem verantwortlichen Management als Entscheidungsgrundlage dienen.

 

Qualität und Kontinuität sind durch zwei Prüfzyklen gewährleistet

Vorteile
  • kontinuierliche Verbesserung durch den zyklischen Durchlauf der einzelnen Prozessschritte
  • Anpassungen durch Veränderungen in der Strategie oder technologischer Veränderungen können schnell durchgeführt werden

Mit den implementierten Prüfzyklen von CRISAM® setzen Sie gleichzeitig auch den für normkonforme Managementsysteme geforderten „Plan-Do-Check-Act“ (PDCA) Zyklus der ISO 31000 um.

Reagieren Sie mit Ihrem Risikomanagement mittels der kaskadierten Regelkreise auf allen drei Ebenen:

  • technologische Veränderungen
  • Veränderungen der Bedrohungsprofile
  • Strategische Neupositionierungen des Unternehmens
Möchten Sie mehr erfahren?

Weitere Themen ///

Das ISMS als Erfolgsfaktor für den sicheren OT-Betrieb

Information Risk Management  

Das ISMS als Erfolgsfaktor für den sicheren OT-Betrieb

Die aktuellen Ereignisse rund um die COVID Krise oder die fast täglichen neuen Nachrichten über „gehackte“ Unternehmen zeigen uns allen, wie wichtig der sichere Betrieb (kritischer) Infrastrukturen ist.

zum Artikel

Content Release März 2021

Information Risk Management  

Content Release März 2021

Umfassende Neuerung bei den CRISAM® Knowledge Packs im Bereich ISMS, SCADE, KRITIS, B3S, VDA-TISAX und Legal Essentials.

zum Artikel

4 Mrd. Euro für Digitalisierung von Krankenhäusern

Information Risk Management Health  

4 Mrd. Euro für Digitalisierung von Krankenhäusern

Wir unterstützen Sie dabei die notwendigen Maßnahmen umzusetzen, um eine Förderung einzuleiten und bieten mit unserer ISMS-Lösung CRISAM® das passende Produkt.

zum Artikel

CRISAM® Release NISG

Information Risk Management  

CRISAM® Release NISG

Gehört Ihr Unternehmen zu den KRITIS Unternehmen? Erfahren Sie mehr dazu, was es beim Netz- und Informationssystemsicherheitsgesetzes (NISG) zu beachten gibt und wie Sie das neue...

zum Release

CRISAM® Explorer

Information Risk Management  

CRISAM® Explorer

Der CRISAM® Explorer ist das ultimative Instrument für Governance, Risk & Compliance Aufgaben von heute und morgen. Die an Outlook angelehnte Oberfläche erlaubt intuitives und effizientes Arbeiten. Die...

zum Explorer

CRISAM® ISO 27001

Information Risk Management  

CRISAM® ISO 27001

Mit einer ISO 27001 Zertifizierung stellen Sie unter Beweis, dass Ihr Informationssicherheitsmanagementsystem (ISMS) entsprechend den Anforderungen eines weltweit anerkannten Standards umgesetzt wurde und laufend verbessert wird.

zum Knowledge Pack

 

Bleiben wir in Kontakt ///