Erhalten Sie auf einen Blick alle wichtigen Informationen zu Anzahl und Art von Assets, zum Status der Sicherheitskontrollen, zu den Ergebnissen von Sicherheitsaudits und zum Risikostatus der Informationssicherheit. Durch die Überwachung dieser Metriken können potenzielle Schwachstellen und Risiken erkannt und Massnahmen ergriffen werden.

Diese Funktion der GRC Toolbox umfasst die Identifikation und Erfassung der kritischen Assets einer Organisation (Prozesse, Informationen, sekundäre Assets). Ziel der Schutzbedarfsanalyse ist es, auf Grundlage der identifizierten Assets, deren Schutzbedarf zu ermitteln und folglich geeignete Sicherheitsmassnahmen zu definieren.

Die GRC Toolbox wird oft auch dafür eingesetzt, den Sicherheitsprozess im Rahmen von Vorhaben und Projekten mit Fragebogen, Checklisten und Workflows zu begleiten und damit dem Security und Privacy by Design Prinzip gerecht zu werden.

Das Control Assessment der GRC Toolbox ist ein Instrument, das einen schnellen Überblick über das vorhandene Sicherheitsniveau bieten kann. Mit Hilfe eines Questionnaires wird der Status eines Assets bezogen auf den Erfüllungsgrad der definierten Sicherheitsanforderungen ermittelt und dargestellt. Als Ergebnis wird der Abgdeckungsgrad sichtbar sowie potenzielle Verbesserungsmöglichkeiten oder notwendige Ausnahmen von Sicherheitsvorgaben identifiziert.

Bei Bedarf können mittels Questionnaires auch detaillierte Risikoanalysen durchgeführt und wenn erforderlich erweiterte Sicherheitsmassnahmen in die Wege geleitet werden.

Die GRC Toolbox verfügt über eine umfassende Risikomanagement-Funktion nach ISO/IEC 27001 und ISO/IEC 27005. Risiken können erfasst, analysiert, bewertet, priorisiert und deren Behandlung mittels Workflowunterstützung geplant und ausgeführt werden. Mit den Dashboards und Risikomatrizen kann die Risikosituation der Informationssicherheit jederzeit sichtbar gemacht werden.

Sicherheitsereignisse und Vorfälle können mit der GRC Toolbox erfasst, bewertet und deren Behandlung nachverfolgt werden. Im Sinne einer umfassenden Vorfalldokumentation können Ursachen, Auswirkungen, betroffene Assets beschrieben und auch die Verbindung ins Risikomanagement gemacht werden, um die Ursache-Ereignis-Wirkungskette darzulegen.

Das Ausnahmenmanagement ist der Prozess, Ausnahmen von den festgelegten Sicherheitsrichtlinien einer Organisation zu behandeln und zu genehmigen. Die GRC Toolbox unterstützt aktiv dabei, die Ausnahmen zu identifizieren, deren Auswirkung auf die Sicherheit der Organisation zu bewerten, zu genehmigen und deren Fristen zu überwachen. Das Ausnahmenmanagement ist ein wichtiger Bestandteil des ISMS, da es sicherstellt, dass Ausnahmen nur in Ausnahmefällen zugelassen werden und dass die Auswirkungen auf die Sicherheit der Organisation kontrolliert werden.

Die GRC Toolbox bietet die Möglichkeit, identifizierte Schwachstellen zentral zu erfassen, zu beschreiben, zu bewerten und die Verbindung zu betroffenen Assets und Risiken vorzunehmen. Die identifizierten Schwachstellen können auch mittels Workflowunterstützung abgearbeitet werden, um einen konsequenten Prozess bei der Beseitigung von Schwachstellen zu gewährleisten.

Das Richtlinienmanagement ist der Prozess, Richtlinien für die Informationssicherheit (und andere Bereiche) zu entwickeln und zu implementieren. In diesem Kontext hilft die GRC Toolbox mit ihrem umfassenden DMS dabei, die Richtliniendokumente zu verfassen, zu überprüfen, genehmigen zu lassen und diese bei Änderungen oder im Regelbetrieb auf Aktualität und Angemessenheit zu überprüfen und bei Bedarf Anpassungen vorzunehmen. Bei einer ISO/IEC 27001-Zertifizierung können die Richtliniendokumente im Statement of Applicability (SoA) referenziert werden.

Es gibt eine Reihe wichtiger Standards und Frameworks in der GRC Toolbox. Einige davon sind: ISO/IEC 27001, NIST Cyber Security Framework, BSI-Standards, IT-Grundschutz, CIS Controls, PCI-DSS, SCF usw.

Das Interne Audit Management bezieht sich auf die Planung, Durchführung und Überwachung interner Informationssicherheits-Audits. Mit der GRC Toolbox können die Audits zentral erfasst, mittels Assessments durchgeführt und deren Ergebnisse (Feststellungen und Verbesserungsmassnahmen) dokumentiert und umgesetzt werden.

Bei Zertifizierungsvorhaben wie auch bei der Aufrechterhaltung der Zertifizierungen unterstützt die GRC Toolbox im gesamten Spektrum bezüglich Aufbau und Betrieb eines Informationssicherheits-Managementsystems (ISMS). Es hilft sowohl die normativen Anforderungen an das Managementsystem aus ISO/IEC 27001 wie auch die Controls aus ISO/IEC 27001 Anhang A zu erfüllen.