Informationssicherheit, Beratung, Lösungen und Tool
Informations- sicherheit
Geschäftsfeld Informationssicherheit
Daten und Informationen sind der vierte Produktionsfaktor der Unternehmen
Die Sicherstellung von Informationssicherheit hat existenzielle Bedeutung
Wir arbeiten bei unseren Kunden in folgenden Rollen:
Beauftragte
Wir sind die "Beauftragten-Company". Wir stellen externe Beauftragte in unterschiedlichen Fachgebieten als zum Beispiel gesetzlich verlangten Datenschutzbeauftragten oder in freiwilligen Rollen wie Managementsystembeauftragte für QM, ISMS, Trusted Information Security Assessment eXchange etc.
Berater und Projektleiter
Mit unserem Wissen erstellen wir Konzepte und Lösungsansätze für die Herausforderungen unserer Kunden und steuern Projekte
Umsetzer
Wir erstellen nicht nur Konzepte, wir setzen diese auch in der operativen Arbeit als "Umsetzer" um. Mit unserem Know How erstellen wir Regelungen, Dokumentationen oder Lösungen für unsere Kunden.
Unser Ansatz bei der Informationssicherheit
Als wir 2003 bei den Mandanten mit dem British Standard 7799 für Informationssicherheit anklopften, war wenig Interesse für die Thematik der Informationssicherheit vorhanden. Auch COBIT brachte damals nur fragende Gesichter - noch nie gehört.
Mit unseren ersten Kunden im Bereich SOX änderte sich dies, denn hier tauchte die Informationssicherheit erstmalig als wichtiges und eigenständiges Prüfungsfeld auf. Damit war die Grundlage für den Erfolg der ISO 27001 für Informationssicherheitssysteme gelegt.
Seit nun mehr als 20 Jahren begleiten wir das Thema in Normenausschüssen und in unseren Beratungsmandaten - damit ist ein enormer Erfahrungsschatz entstanden.
.
Wir haben in den vielen Jahren viel erfunden. Von Prozessen, Prozessmodellen, kleinen Datenbanken und auch Methoden oder Dokumentationen zur pragmatischen Umsetzung. Dabei haben wir niemals aus den Augen verloren, dass es Synergien zwischen den Standards ergibt. Somit sehen wir heute, wie sich Normen in der Informationssicherheit und dem Datenschutz anpassen. Daraus erstellen wir integrierte ISMS- und Datenschutzmodell.
Die Datenschutz Grundverordnung (DSGVO) ist nun am 25. Mai 2018 in Kraft getreten. Sie verlangt ein Sicherheitskonzept, um die Anforderungen des Datenschutzes sicherzustellen. Genau hier setzen wir an und nutzen die Ergebnisse für ein ergänzendes ISMS und DSMS. Wir haben für das Datenschutzmanagement und ISMS jeweils ein Portal mit Prozessmodell und e-Learning Plattform entwickelt, dass die gesamte Dokumentationen sauber abgebildet werden
Wir haben die Produkte und die Lösungen für die Anforderungen des Datenschutzes und der Informationssicherheit - je ein Portal für den Datenschutz und eines für die Informationssicherheit mit einem Verwaltungssystem für die Dokumente, Prozessmodell und e-Learning Plattform.
Sicherheitsberatung bei der CONSUVATION
Datenschutz und Informationssicherheit integrieren
Datenschutz und Informationssicherheit integrieren
Sicherheitsberatung ist unser tägliches Geschäft
Informationssicherheit nach ISO 27001, BSI 200-1, BSI 200-2, BSI 200-3 und Trusted Information Security Assessment eXchange
Immer mehr wird der Umgang mit Informationen und der Einsatz der Informationstechnologie zum Risiko für das Unternehmen. Hacker, Vieren und der einfache Absturz des Rechners bringen Unternehmen an den Rand des Bankrotts. Neudeutsch wird hier von Cyber-Security gesprochen.
Wir bieten Ihnen eine kompetente Sicherheitsberatung im Bereich der allgemein anerkannten IT-Sicherheitsstandards und Prüfungsmodelle an:
- BSI Grundschutz (Bundesamt für Sicherheit) BSI 200-1 BSI 200-2 BSI 200-3 BSI 200-4
- ISO27000ff (auch als Ergänzung zur ISO 9000 Zertifizierung)
- COBIT nach dem weltweit anerkanntem ISACA Standard der DV-Revision
- MARION - Erstellung von Risikoanalysen nach dem französischen Standard MARION
- ITSEC - Überprüfung der HW/SW nach den Kriterien von ITS und den Common Criteria (ISO 15408)
- NIST - Anwendung des US Standards für IT-Sicherheit und der Weiterentwicklung durch Kanada
- Trusted Information Security Assessment eXchange
Im Bereich der Sicherheitssysteme überprüfen wir Software nach unterschiedlichen Standards, zum Beispiel nach IEC 61508 und anderen.
CONSUVATION hat ein Prozessmodell für die IT Sicherheitsprozesse (ISO27001 ISMS Prozessmodell) erstellt und eine spezielle Softwarelösung mit deren Hilfe wir in der Lage sind, IT Sicherheit mittels von über 4.000 Kontrollpunkten zu messen und zu bewerten. Somit werden ein aktives Rating und Benchmarking möglich.
Aus diesem Modell haben wir auch ein Prozessmodell für den Standard Trusted Information Security Assessment eXchange der Automobilbranche entwickelt. Sehen Sie hierzu unsere separaten Trusted Information Security Assessment eXchange Seiten.
Ebenfalls bieten wir Software an, die Sie bei dem Aufbau Ihrer Sicherheitsdokumentation unterstützt.
Wir unterstützen Sie auch bei der Vorbereitung zum internen Audit Ihres Wirtschaftsprüfers nach IDW, Sarbanes Oxley Act (SOA oder SOX), SSAE 16 und im Rahmen des KonTraG bzw. Risikomanagement und BASEL III. Wir arbeiten auch für Wirtschaftsprüfer im Bereich IT Revision und wenden den IDW PS 330 an.
Warum ist das so wichtig? Weil sich in den Branchen einiges bewegt. Banken, Versicherungen und Automobilzulieferer müssen nun Ihre Informationssicherheit nachweisen. Ein kleiner Auszug:
BAIT
BAIT ist ein Rundschreiben der Bundesanstalt der Finanzdienstleistungsaufsicht (BaFin) in dem die Versicherung aufsichtliche Anforderungen an die IT de Banken festgelegt werden.
Im November 2017 hat die BaFin einen ersten Entwurf zu BAIT veröffentlicht. Darin wurden die IT-bezogenen Anforderungen an die Banken festgelegt.
VAIT
VAIT ist ein Rundschreiben der Bundesanstalt der Finanzdienstleistungsaufsicht (BaFin) in dem die Versicherung aufsichtliche Anforderungen an die IT der Versicherungen festgelegt werden.
Ebenfalls im November 2017 hat die BaFin einen ersten Entwurf zu VAIT veröffentlicht. Darin wurden die IT-bezogenen Anforderungen des Versicherungsaufsichtsgesetzes (VAG) und die Mindestanforderungen an die Geschäftsorganisation (MaGO) von Versicherungsunternehmen festgelegt.
Trusted Information Security Assessment eXchange
Der Verband der Automobilindustrie hat ein eigenes Verfahren für die Informationssicherheit herausgebracht - Trusted Information Security Assessment eXchange! Es basiert auf der ISO 27000 Familie, BSI und NIST und wird zukünftig von den Zulieferern verlang, wenn diese mit vertraulichen Daten des OEM arbeiten.
Beratungsschwerpunkt:
INFORMATIONSSICHERHEIT
Zugrunde liegende Normen: ISO 27001ff., ISO 27017, ISO 27018, ISO 27019, BSI Grundschutz: BSI 200-1, BSI 200-2, BSI 200-3, BSI 200-4, IDW PS 330, Trusted Information Security Assessment eXchange u.a.
BAIT
BAIT ist ein Rundschreiben der Bundesanstalt der Finanzdienstleistungsaufsicht (BaFin) in dem die Bankaufsichtliche Anforderungen an die IT de Banken festgelegt werden.
Im November 2017 hat die BaFin einen ersten Entwurf zu BAIT veröffentlicht. Darin wurden
- die IT-bezogenen Anforderungen an die Banken festgelegt
- eine Vorgabe BAIT für Banken geschaffen
Ziel der BAIT ist es, einen verständlichen und flexiblen Rahmen für das Management der IT-Ressourcen, des Informationsrisikos und der Informationssicherheit zu schaffen. Sie sollen auch dazu beitragen, das unternehmensweite IT-Risikobewusstsein in den Instituten und gegenüber den Auslagerungsunternehmen zu erhöhen. Auch die Erwartungen der Bankenaufsicht an die Institute in Bezug auf die Steuerung und Überwachung des IT-Betriebs – einschließlich des hierfür notwendigen Berechtigungsmanagements, der Anforderungen an das IT-Projektmanagement und die Anwendungsentwicklung – ist nunmehr transparent.
Die BAIT adressieren insgesamt die Themenbereiche, die die Aufsicht aufgrund der Ergebnisse der IT-Prüfungspraxis als besonders wichtig einstuft.
Download vom BAIT Rundschreiben:
Quelle: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Fachartikel/2018/fa_bj_1801_BAIT.html
Weitere Informationen lesen sie hierzu auf unserer Informationsseite:
Wir unterstützen Sie bei der Umsetzung von BAIT.
Beratungsschwerpunkt:
BAIT
Zugrunde liegendes Dokument: BAIT Veröffentlichung
VAIT
VAIT ist ein Rundschreiben der Bundesanstalt der Finanzdienstleistungsaufsicht (BaFin) in dem die Versicherungsaufsichtliche Anforderungen an die IT der Versicherungen festgelegt werden.
Ebenfalls im November 2017 hat die BaFin einen ersten Entwurf zu VAIT veröffentlicht. Darin wurden
- die IT-bezogenen Anforderungen des Versicherungsaufsichtsgesetzes (VAG) und
- die Mindesanforderungen an die Geschäftsorganisation (MaGO) von Versicherungsunternehmen
- mit VAIT ein Standard für die Versicherungsbranche geschaffen
Der Einsatz von Informationstechnik (IT) in den Unternehmen, auch unter Einbeziehung von IT-Services, die durch IT-Dienstleister bereitgestellt werden, hat eine zentrale Bedeutung für Versicherungsunternehmen und Pensionsfonds.
Das VAIT Rundschreiben enthält Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG), soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. Es legt diese Vorschriften für die BaFin verbindlich aus und gewährleistet hierdurch eine konsistente Anwendung gegenüber allen Unternehmen und Gruppen.
Das Rundschreiben gibt einen flexiblen und praxisnahen Rahmen vor, insbesondere für das Management der IT-Ressourcen, für das Informationsrisikomanagement und das Informationssicherheitsmanagement.
Download vom VAIT Rundschreiben:
Quelle: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2018/rs_18_10_vait_va.html
Weitere Informationen lesen sie hierzu auf unserer Informationsseite:
Wir unterstützen Sie bei der Umsetzung von VAIT.
Beratungsschwerpunkt:
VAIT
Zugrunde liegende Dokumente: VAIT Dokumente
Beratungsschwerpunkt:
KAIT
Zugrunde liegende Dokumente: KAIT Dokumente
KAIT
KAIT ist ein Rundschreiben der Bundesanstalt der Finanzdienstleistungsaufsicht (BaFin) in dem die Kapitalversicherungssaufsichtliche Anforderungen an die IT der Versicherungen festgelegt werden.
Im Oktober 2019 hat die BaFin einen ersten Entwurf zu KAIT veröffentlicht. Darin wurden
Der Einsatz von Informationstechnik (IT) in den Unternehmen, auch unter Einbeziehung von IT-Services, die durch IT-Dienstleister bereitgestellt werden, hat eine zentrale Bedeutung für Kapitalverwaltungsgesellschaften.
Das KAIT Rundschreiben enthält Anforderungen an die IT, soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. Es legt diese Vorschriften für die BaFin verbindlich aus und gewährleistet hierdurch eine konsistente Anwendung gegenüber allen Unternehmen und Gruppen.
Das Rundschreiben gibt einen flexiblen und praxisnahen Rahmen vor, insbesondere für das Management der IT-Ressourcen, für das Informationsrisikomanagement und das Informationssicherheitsmanagement.
Download vom KAIT Rundschreiben:
Quelle: https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2018/rs_18_10_vait_va.html
Weitere Informationen lesen sie hierzu auf unserer Informationsseite:
Wir unterstützen Sie bei der Umsetzung von KAIT.
Sarbanes Oxley Act (SOX)
Wir unterstützen Unternehmen seit dem JAHRE 2003 bei dem Aufbau des Kontrollsystems SOX im kaufmännischen als auch im IT Bereich.
Durch umfangreiche Projekterfahrung in der Rolle des "SOX-CONSULTANTS" als auch als Subauftragnehmer für Wirtschaftsprüfungsgesellschaften haben wir interessante Erfahrungen gesammelt, die Ihnen für den schnellen und pragmatischen Aufbau oder Pflege Ihres Systems zur Verfügung stehen.
SOX wurde von uns in verschiedenen Ländern umgesetzt - wir kennen zum Beispiel ebenfalls CH-SOX etc.
Diese ergänzen sich durch unsere Personenzertifikate als CISA, CISM und ISO 27001-Auditor.
Wir unterstützen Sie beim
- SOX Testing
- übernehmen z.B. das SOX Testing für Sie komplett
Wir bauen mit Ihnen Ihr SOX System auf oder führen für Sie das SOX Testing durch.
Auslagerungsprüfung nach SSAE16, ISAE3402 (früher SAS-70) und IDW951
Im Rahmen des Kontrollsystems ist die Prüfung der Auslagerung von einen Aufgaben an einen Dritten oftmals Gegenstand der Jahresabschluss Prüfungen.
IDW PS951
In Deutschland erfolgt die Prüfung einer Auslagerung nach dem IDW PS 951 (Prüfungsstandard des Instituts der Deutschen Wirtschaftsprüfer). Hierbei wird in zwei Stufen geprüft: ist das System vorhanden und ist es Wirksam.
SSAE16, ISAE3402 (früher SAS-70)
International ist das Gegenstück SSAE 16 und ISAE 3402 (frühere SAS70).
ISO 37500
Dabei kann auch die ISO37500 für Outsourcing interessant werden. Es geht dabei darum, wie das Unternehmen die Durchführung der Kontrollen für Prozesse sicherstellt, wenn diese an Dritte übergeben wurden.
Da wir hier langjährige Erfahrung aufgebaut haben, können wir ihnen hierzu die Beratungsleitung zum Aufbau solcher Kontrollsysteme anbieten - einen Report bzw. Testat darf nur ein Wirtschaftsprüfer ausstellen.
CONSUVATION baut mit Ihnen Ihr Kontrollsystem auf.
Wir beraten in den Themen:
- SSAE16
- ISAE3402 (ehemals SAS-71)
- IDW PS 951
- ISO 37500
Ist dies ein Thema für Sie? Dann sprechen sie uns an und wir erklären Ihnen im Detail, was zu tun ist.
IT Audit
Wir unterstützen Sie als externer Partner bei der Durchführung von DV-Audits.
Unsere Kenntnisse beruhen auf langjährigen Erfahrungen in der EDV. Als langjähriges Mitglied der „Information Systems Audit and Control Association and Fondation (ISACA, USA)“ und der Teilnahme an der Ausbildung zum Certified Information System Auditor (CISA) sind wir in der Lage, Ihnen umfangreiche Hilfe in dem Thema der DV-Revision und dem von der ISACA entwickelten Auditmodell COBIT anzubieten.
Seit dem Jahre 2004 gehören wir zu den ersten CISM (Certified Information Security Manager) der ISACA, USA und können Ihnen fundiertes „Know-How“ im Bereich von Security anbieten. Wir helfen Ihnen, Ihre DV auf die neuen Anforderungen nach ERS FAIT 1 "Grundsätze ordnungsgemäßer Buchführung bei dem Einsatz von Informationstechnologie" und IDW PS 330 "Abschlussprüfung bei Einsatz von Informationstechnologie" auszurichten.
Auch für Wirtschaftsprüfer bieten wir interessante Dienstleistungen an.
Wir sind ein unabhängiges Unternehmen - keine Wirtschaftsprüfungsgesellschaft ist an uns beteiligt oder wir in deren Kapitalbesitz! Wir übernehmen im Rahmen der externen Beauftragung die Durchführung der DV-Revision oder wir unterstützen Ihre interne DV-Revision.
Im Rahmen von Sarbanes Oxley Act (SOX) haben wir IT Audits im Auftrag einer internationalen Wirtschaftsprüfung durchgeführt. Wir arbeiten mit Wirtschaftsprüfungen u.a. im Bereich der IT-Revision zusammen.
Beratungs- und Auditschwerpunkt:
SARBANES OXLEY ACT (SOX)
Zugrunde liegende Standards: General Controls for Sarbanes Oxley Act, COBIT, ISO 27001 u.a.
Beratungsschwerpunkt:
SSAE16 / IDW PS 951
Zugrunde liegende Dokumente: IDW PS 951 und SSAE 16
Beratungsschwerpunkt:
IT AUDIT
Zugrunde liegende Dokumente: COBIT, IIR Fachdokumente, FAIT1, PS 330
Beratungsschwerpunkt:
IT REVISION
Zugrunde liegende Dokumente: IIR, COBIT
IT Revision
Die Geschäftsleitung ist verpflichtet im Unternehmen Kontrollorgane einzurichten. Um sich nicht dem "Organisationsverschulden" schuldig zu machen, benötigt ein Unternehmen ab einer bestimmten Größe eine interne Revision - leider rechnet sich der Aufwand oftmals intern nicht.
Wir bieten Unternehmen hier, die pragmatische Lösung diese Aufgaben zu übernehmen oder in größeren Unternehmen die Revision oder IT Revision zu unterstützen.
Gerade bei SOX haben wir hier einige Mandate übernommen und sehen, dass hier ein Ansatzpunkt zur Unterstützung unserer Kunden liegt.
PCI DSS Standard
Die PCI-Vereinigung, die sich aus den fünf wichtigsten Kreditkartenunternehmen – American Express, Visa, Mastercard, Discover und JCB – zusammensetzt, entwickelte den Payment Card Industry Data Standard (PCI DSS), um Sicherheitslücken zu schließen. PCI verlangt von Einzelhändlern weltweit, Drahtlosnetzwerke als öffentliche Netze zu definieren und entsprechend strikte Maßnahmen einzuführen.
Wir prüfen Ihre Systeme auf PCI DSS Compliance.
CONSUVATION überprüft Ihr System auf die Einhaltung des Standards, gibt Empfehlungen zur Verbesserung und implementiert, wenn erforderlich zusätzliche Lösungen.
Beratungsschwerpunkt:
PCI DSS COMPLIANCE
Zugrunde liegende Dokumente: PCI DSS Standard
Prüfen Sie unsere Portale mit Dokumentenverwaltung, Prozessmodell und e-Learning
Kontaktinformationen
+49 (0) 7031.4181-860
contact(@)consuvation.com
CONSUVATION GmbH
Tilsiter Straße 6
71065 Sindelfingen
Deutschland
MONTAG-FREITAG 09:00 - 17:00
SAMSTAG-SONNTAG geschlossen