• Beratung zur Informationserhebung im Vorfeld der BIA
• Beratung beim Review der Hauptaufgaben
• Beratung hinsichtlich Kriterien zur Notfallplanungsrelevanz
• Konfiguration des BIA-Templates
  
• Schulung BIA, Phase 1
  
• Beratung zur BIA-Durchführung, Phase 1, und zur Ergebnisprüfung
• Schulung BIA, Phase 2
• Beratung zur BIA-Durchführung, Phase 2, und zur Ergebnisprüfung
  

• Erhebung der Ist-Situation: GRC-(Governance, Risk, Compliance-) Umfeld, Technisches Umfeld, Personelles Umfeld, Organisatorisches Umfeld, IT-Operating-Tagesablauf, Prozesse, Services, Service Level, Dokumentationen
  
• Analyse in Bezug auf GRC, IT-Security, IT-Service-Continuity, Normen, Standards, Practices, Personal, Organisation, Prozesse, Services, Service Level, Vertragsmanagement, Exit-Strategie, Dokumentation
  
• Handlungsempfehlungen und Optimierungen: GRC, Tagesablauf, Allgemeine Managementpraktiken und Service-Managementpraktiken, Exit-Strategie, Dokumentation
  

• Kompakte Momentaufnahmen einer agil entwickelten Software-Lösung, die auf Microservices und Containern basiert, in Bezug auf nicht-funktionale Aspekte, insbesondere Informationssicherheit

• Beratung zur Entwicklung eines rollenbasierten Berechtigungsmanagements basierend auf Assets, Organisationsstruktur, Gremien, Projekten bzw. Vorhaben, fachlichen Rollen und Informationseigentümern sowie Rollenmodellierungsprozess und IAM-Prozess und Erstellung des Konzepts
• Assessment des Projektplans für die Weiterentwicklung des ISMS in Bezug auf die ISO/IEC 27001:2013 sowie des Statement of Applicability, der Asset-Liste, der Schutzbedarfsfestlegung und der Risikobewertung inkl. Handlungs­empfehlungen
• Festlegung von Erweiterungen für den Projektplan in Bezug auf Compliance-Thematiken
  
• Beratung zum ISM
  
• Sichtung und Weiterentwicklung der Leitlinie zur Informationssicherheit und der übergreifenden Informationssicherheitsrichtlinie sowie Erweiterung der Leitlinie um das Informationsrisikomanagement
• Konfiguration und Erläuterung des Templates zur Schutzbedarfsfeststellung inkl. Erhebung der Datenarten und Schutzbedarfsstufen
• Konfiguration und Erläuterung des Templates zur Business Impact-Analyse inkl. Erhebung der Schadenskategorien, Schadensstufen und Kritikalitätskriterien
• Konfiguration des Templates zur Informationsrisikobewertung und -behandlung
• Erstellung des SoA-Templates
• Erstellung der PDCA-orientierten Prozesse für ISMS, IRMS, BCMS und IT-Compliance
  
• Konfiguration selbst erstellter schutzbedarfsbezogener ISM-Vorgabenkataloge zu einer Vielzahl an Themen der Informationssicherheit, u. a. für physische und Umgebungssicherheit, IKT-Architektur, Berechtigungsmanagement (Identity and Access Management, IAM) und Passwörter, Netzwerk- und Kommunikationssicherheit, Verschlüsselung, Protokollierung, Datensicherung und Datenrückspeicherung, Löschung von Daten, Entsorgung von Daten­trägern, Härtung von IKT-Komponenten, sicherer Entwicklungsprozess und ITSM-Prozesse sowie mit thematischen Verweisen u. a. auf Normen, Standards und Regulatorik
• Erstellung der IKT-Richtlinie für Mitarbeiter sowie der Richtlinie zur Kryptografie und zur Durchführung interner Audits
• Durchführung interner Audits
• Beratung bei der Erstellung und Durchführung von Management Reviews
• Konfiguration des Tools zur Erzeugung asset-spezifischer Vorgabenkataloge zur Durchführung von Gap-Analysen
• Beratung und Unterstützung bei der Vorbereitung der erfolgreichen ISO/IEC-27001-Zertifizierung
• Konfiguration des selbst erstellten BCM-Vorgabenkatalogs sowie der Templates für Übungsprogramm, Übungsplan, Übungsprotokoll, Notfallhandbuch und Notfallplan
• Erstellung der BCM-Leitlinie und BCM-Strategie sowie des BCM-Prozesses
• Konfiguration selbst erstellter Vorgabenkataloge, u. a. zu IT-Compliance und IT-Governance
• Konfiguration selbst erstellter ITSM-Vorgabenkataloge, u. a. zu Incident -, Problem -, Change -, Capacity-, SLA - und Supplier Management
• Entwurf einer Vertragsvorlage und Anlage für IT-Dienstleistungsverträge aus fachlicher Sicht

Beratung in Bezug auf sicheres Cloud Computing:

• Sichtung vorhandener unternehmensinterner Regelungen und Formulare in Bezug auf Auslagerung und Cloud-Computing, Erstellung von Handlungsempfehlungen und Einstufung nach Dringlichkeit und Wichtigkeit
• Erstellung der Stellenbeschreibung Secure Cloud Computing Architect
• Erhebung des aktuellen und geplanten Cloud-Computing-Service-Portfolios
• Entwicklung eines Zielbilds und einer Strategie zum Secure-Cloud-Computing inkl. Anforderungen an Auslagerungs- und Migrationsprozess, High-Level-Architektur zum sicheren Cloud-Computing und Cloud-Computing-Service-Portfolio
• Erstellung einer Richtlinie zum Cloud-Computing
• Konzeption des Pflegevorgehens des Cloud-Computing-Service-Portfolios
• Entwicklung eines schutzbedarfsabhängigen aaS-bezogenen Maßnahmenkatalogs zum sicheren Cloud-Computing mit Verweisen u.a. auf BSI C5
• Erstellung einer Entscheidungsvorlage zu den Verantwortlichkeiten in Bezug auf Cloud-Computing-Services
• Festlegung von Kompetenzen und Skills in Bezug auf sicheres Cloud-Computing

• Fachliche Sichtung und Kommentierung von
  • IT-Auslagerungsverträgen (Cloud) und SLAs
  • Konzeptions- und Entwicklungsverträgen
  • Konzepten
• Fachliche Ergänzung und Optimierung der IT-Auslagerungsverträge
• Unterstützung bei den Vertragsverhandlungen mit den Providern

• Entwicklung von Entwürfen für die fachlichen Vertragsteile zum einen für Software-Entwicklung und zum anderen für Betrieb und Wartung unter Berücksichtigung funktionaler und nichtfunktionaler Anforderungen, u. a. Informationssicherheit
• Fachliche Beratung bei der Vertragsverhandlung sowie Sichtung und Kommentierung von Änderungswünschen
• Sichtung des Grob- und des Fachkonzepts, der Basis für den Vertrag, sowie Abgabe von Empfehlungen in Bezug auf Vollständigkeit, Konsistenz sowie nichtfunktionale Anforderungen inkl. ISM

Beratung zum Aufbau eines kompakten Informationssicherheitsmanagement­systems u. a. inklusive Anforderungsverzeichnis, Schutzbedarfsanalyse und Informationsrisikomanagement

Beratung zur Fortentwicklung des Informationssicherheitsmanagements (ISM)

Themenfelder:

• Externe Anforderungen (Gesetze, Aufsichtsbehörden),
• IT-Strategie und IT-Governance
• Informationssicherheitsmanagement und Informationsrisikomanagement
• Berechtigungsmanagement
• Business Continuity Management
• IT Service Continuity Management
• Architecture / Asset Management
• Dokumentationsmanagement
• IT-Betrieb
• Software-Entwicklungsprozess

BCM- und ISM-Fortentwicklung:

• Beschreibung der Methode und des Prozesses zur effizienten und konsistenten Schutzbedarfs- und Business-Impact-Analyse sowie Konfiguration des EXCEL-Templates
• Vorbereitung, Durchführung und Nachbereitung von zwei Workshops zum Kow-how-Transfer, zur Entscheidungsfindung und zur Umsetzungsplanung in Bezug auf die kritischen Dienstleistungen einer GKV und deren KRITIS-Schutzziele, die effiziente Schutzbedarfsfeststellung und Business Impact Analysis sowie den Aufbau eines Business Continuity Managements

Risk Assessment:

• Pflege des EXCEL-Risk-Assessment-Templates, Plausibilisierung der ausgefüllten Risk-Assessment-Templates und Schulung für weitere Personenkreise
• Erstellung eines EXCEL-Risk-Assessment-Templates mit Bedrohungen, Eintrittswahrscheinlichkeiten, Risikostufen und Maßnahmen sowie Risikoinventarmatrix, Schulung von Anwendungsverantwortlichen

RZ-Failover, RZ-Abstand:

• Beratung zu Simulationsverfahren für RZ-Failover, Beratung zum Minimal-abstand zwischen RZs unter Berücksichtigung u. a. gesetzl. und aufsichts-behördlicher Anforderungen inkl. KRITIS, EU DS-GVO, HGB, FAIT, VAIT, BaFin

Beratung zum ITSCM:

• Kataster externer Anforderungen (Gesetze, aufsichtliche Anforderungen), Controls, Kontinuitätsleitlinie, Notfallszenarien inkl. Sicherheitsvorfall, Kontinuitätsstrategie, Eskalationsprozess, Verfügbarkeits-, Datensicherungs-, Wiederherstellungstest, Datensicherungstest, Schulungs-, Test- und Übungskonzept, Provider-Management inkl. Cloud-Computing-Service-Provider und Sourcing-Strategie sowie Notfallkonzeption

Awareness:

• Erstellung von Präsentationsunterlagen zur Awareness zur Informationssicherheit für die Geschäftsleitung inkl. gesetzlicher und aufsichtsbehördlicher Anforderungen, Sicherheitsvorfällen und Bedrohungslage sowie für Mitarbeiter

Audit Informationssicherheitsmangement:

• Vertiefende Auditierung zu den Themenstellungen ISMS, Strategie, Informationsklassifizierung, Schutzbedarfsanalyse, Dienstleistersteuerung, Vertragsmanagement, Auditierung und Protokollierung, Erstellung von Fragenkatalogen zum Lizenzmanagement und Entwicklung priorisierter Handlungsempfehlungen

Business-Impact-Analyse:

• Beratung zur Methodik der BIA, Konfiguration des BIA-Erfassungsbogens

Beratung zum Cloud Computing:

• Erstellung des Positionspapiers/ der Arbeitsanweisung Cloud Computing und der kompakten Cloud-Service-Provider-Checkliste für die Organisationseinheit Informationssicherheit einer Versicherung

Beratung zum ISM:

• Alternativen zur Weiterentwicklung des ISMS (Dauer, Budget, Ressourcen, Ergebnis), Roadmap und High Level Arbeitspakete
• Erhebung von und Beratung zu Aufgaben, Reifegrad und Personalkapazität sowie Strategieoptionen und Roadmap für das ISM

Beratung zum ISM:

• Beratung sowie Konfiguration von Sicherheitsvorgaben zu BAIT – inkl. IT-Strategie und IT-Governance – und EU DSGVO sowie für Mitarbeiter

• Beratung zum ISM:
  • Beratung zum ISM-Aufbau orientiert an ISO/IEC 27001:2013, Konfiguration umfangreicher selbst erstellter auditierbarer ISM-Vorgabenkataloge inkl. Informationsklassifizierung, Zugangs- und Zugriffsschutz, Passwörter, Härtung, mobile Endgeräte, physische und Umgebungssicherheit, Kommunikations- und Netzsicherheit, Löschung, Entsorgung, Kryptografie, Protokollierung, Lieferantenmanagement, Backup & Restore, Notfallmanagement, Cloud, Datenschutz, Projekt-, Vulnerability -, Incident -, Problem -, Change -, Patch -, Capacity Management, Umsetzungsrichtlinie Anwender, Review des Reportings und der Kennzahlen des SOC
• Beratung zum ISRM:
  • Beratung zum Aufbau des lnformationssicherheitsrisikomanagements (ISRM) und zur Risikobeurteilung, Erstellung des auditierbaren Vorgabenkatalogs zum lnformationssicherheitsrisikomanagement

Readiness-Check ISM nach ISO 27001:2013:

• Anforderung, Sichtung, Analyse und Bewertung von Unterlagen, Entwicklung von Handlungsempfehlungen sowie Beratung und Unterstützung bei der Weiterentwicklung des ISMS, der Erstellung von Richtlinien und der effizienten Durchführung von Schutzbedarfsanalysen

BCM-Aufbau:

• Beratung und Aufbau des BCM mit BCM-Kontext, BCM-Policy, BIA, BIA-Summary, Mengengerüsten, Notfallvorsorge, Notfall-/Krisenorganisation sowie Test und Übung

Beratung zum ISM:

• Beratung bei der ISM-Themenstrukturierung, bei der ISM-Policy und beim ISM-Prozess, Konfiguration selbst erstellter auditierbarer Vorgabenkataloge zum ISM (Controls Framework) – inkl. Compliance, Datenschutz, Fraud – orientiert an der ISO-27000-Familie, an Normen, Standards, Practices, externen Vorgaben und der Sicherheitspyramide u. a. für die ISM-Architektur, die sichere Anwendungsentwicklung/Software-Entwicklung, den sicheren IT-Betrieb inkl. der ITSM-Prozesse inkl. ITSCM sowie IKT-Sicherheit/IT-Security (Härtung, Verschlüsselung, etc.), phys. Sicherheit inkl. Haustechnik, Entwurf des ISM-Reportings, Beratung zu MaSI, zu ISM- und lnformationsrisikomanagementprozess inkl. Pflege, Erstellung des Anforderungskatalogs für ein Asset-Verzeichnis samt Pflegeprozess

• Review und Beratung zum IT-Security-Management:
  • Erhebung und Analyse der IKT-Anwendungs- und IKT-Systemlandschaft sowie Netztopologie, Berichterstellung und Beratung beim Aufbau des IKT-Architekturmanagements inkl. der Gestaltung der Sicherheitsarchitektur, die technische Anforderungen des NIST Cyber Security Frameworks behandelt, und des sicheren lnformationssystemlebenszyklus
• Prüfung
  • Prüfung der Maßnahmen zur Behebung von Revisionsfeststellungen