Standard-Checks

Systematische Beurteilung ausgewählter Themen – neutral, aussagekräftig und kostengünstig

Zielpublikum

Auftraggeber und Adressat unserer Standard-Checks sind typischerweise die Verantwortlichen für Teilaspekte der Informatik resp. die Informatik-Leitung (CIO) selbst.

Inhalte

Unsere Standard-Checks sind systematische Überprüfungen der wichtigsten Bereiche der Informatik und eignen sich hervorragend dazu, gezielte Fragestellungen im Zusammenhang mit
IT-Betrieb (IT-Servicemanagement), Funktionentrennung und Zugriffsschutz innerhalb Anwendungen, IT- resp. Informationssicherheit, IT-Risikomanagement, IT-Projektmanagement usw. zu beantworten.

Konnten wir Ihr Interesse wecken?

Nehmen Sie doch direkt mit uns Kontakt auf. Wir werden uns umgehend bei Ihnen melden.

eAccess-Management-Check

Die Berechtigungsverwaltung von Mitarbeitenden und Kunden, die in einem Unternehmen auf Systeme oder Applikationen zugreifen dürfen, fordert sowohl die HR-Abteilung als auch die Systemadministratoren stark, da die Zugriffsberechtigungen meist auf mehreren Plattformen gepflegt werden müssen.

Ein wichtiger Schritt zur IT-Compliance

Mit der Analyse und visuellen Aufbereitung aktueller Berechtigungsdaten der wichtigsten Systeme vermitteln wir den Kunden einen aussagekräftigen Eindruck über die IT-Compliance im (sensiblen) Umfeld der Zugriffsberechtigungen.

Berechtigungsprüfungen als Teil des IKS

Sie erhalten Informationen zu:

  • Verantwortlichkeiten und Prozesse für Berechtigungsmanagement

  • Berechtigungen in ausgewählten Bereichen als Grundlage für eine Risikoeinschätzung (z.B. Mitarbeiter ohne Berechtigungen oder mit Anhäufungen von sensitiven Rechten, Organisationseinheiten und aktuelle Zugriffsberechtigungen ohne Mitarbeiter)

Berechtigungen und deren Management- Prozesse verbessern

Kern des Identity & Access Managements (IAM) jedes Unternehmens ist das Beherrschen der Prozesse für den Eintritt, Wechsel oder Austritt eines Mitarbeiters. Mit dem bprex eAccess-Management-Check zeigen wir auf, ob durchgängige und wirksame Prozesse bestehen, welche vom Eintritt über den Abteilungswechsel bis hin zum Austritt aus dem Unternehmen die Berechtigungsvergabe und -pflege sicherstellen.

eDataCenter-Security-Check

Die Serverräume oder eigentlichen Rechenzentren sind in der Regel die (unerkannten) Drehscheiben der Geschäftsprozesse. Ein Versagen hätte für die meisten Unternehmen gravierende Konsequenzen. Die physische Sicherheit der IT-Infrastruktur bedingt ein korrektes Zusammenspiel von baulichen, technischen und organisatorischen Massnahmen und ist Voraussetzung für die Vermeidung von diesbezüglichen Ereignissen.

(Un)verwundbar wie Achilles?

Mit der Analyse der Serverräume oder Rechenzentren werden alle wichtigen Aspekte der physischen Sicherheit überprüft. Dies vermittelt den Kunden Gewissheit, dass gravierende Verwundbarkeiten bekannt sind.

Passive und aktive Sicherheit sinnvoll kombinieren

Sie erhalten Informationen darüber, ob

  • wesentliche Gefährdungen der physischen Sicherheit erkannt sind

  • ausreichende Sicherheitsmassnahmen implementiert wurden

  • ein ausgewogenes Verhältnis zwischen passivem und aktivem Schutz besteht

Lücken und Nachholbedarf erkennen

Mit einem bprex eDataCenter-Security-Check überprüfen wir systematisch alle relevante Aspekte der physischen Sicherheit von der baulichen Sicherheit über die Zugangskontrolle, der Strom- und Notstromversorgung, der Klimatisierung bis hin zum aktiven und passiven Brandschutz.

eRisk-Management-Check

Der systematische Umgang mit Risiken gehört zu den zentralen Führungsaufgaben in jedem Unternehmen. Top-Management und Verwaltungsrat sind gefordert und stehen wegen der zunehmenden Komplexität u.a. im IT-Umfeld vor einer immer schwierigeren Tätigkeit.

Ein zentraler Beitrag von IT-Governance

Mit der Überprüfung bestehender Prozesse für IT-Risikomanagement vermitteln wir den Kunden Gewissheit darüber, ob IT-Risiken angemessen identifiziert, bewertet und mit geplanten Massnahmen behandelt werden.

IKS, operationelles RM und IT-Risikomanagement verknüpfen

Sie erhalten Informationen darüber, ob Ihre IT-Risikomanagementprozesse geeignet sind,

  • Risiken systematisch zu identifizieren und korrekt zu bewerten

  • erkannte Risiken zu vermeiden, zu vermindern, zu versichern oder gemäss der etablierten Politik formal zu akzeptieren

  • die geplanten Massnahmen zur Risikoverminderung mit ausreichender Konsequenz umzusetzen

Qualität messen und Unzulänglichkeiten erkennen

Mit dem bprex eRisk-Management-Check überprüfen wir, ob die Identifikation, Bewertung und Bewältigung von IT-Risiken in Ihrem Unternehmen systematisch und  strategie-konform erfolgt und mit dem “klassischen” Risikomanagement abgestimmt ist.

eSecurity-Policy-Check

Richtlinien werden typischerweise über eine längere Zeit erstellt resp. immer wieder ergänzt. Dies führt oft zu unhandlichen, unverständlichen und letztlich nicht durchsetzbaren Regelwerken.

Leitplanken festlegen

Die Analyse des gesamten Regelwerkes für IT- resp. Informationssicherheit schafft die Voraussetzungen für verständliche und durchsetzbare Vorschriften und damit die Übereinstimmung der Erwartungen des Management mit den konkreten Handlungen der Mitarbeiter.

Klare Vorgaben für IT-Sicherheit schaffen

Sie erhalten Informationen darüber,

  • wo unklare oder unverständliche Formulierungen oder inhaltliche Widersprüche bestehen

  • welche Themen nur lückenhaft oder gar nicht geregelt sind

  • ob der Rollout neuer/geänderter Richtlinien einen ausreichende Bekanntheitsgrad der Inhalte und deren zukünftige Einhaltung sicherstellt

Unschärfen, Widersprüche und ungeregelte Themen erkennen

Mit dem bprex eSecurity-Policy-Check stellen wir sicher, dass in den bestehenden Richtlinien für IT- resp. Informations-Sicherheit Lücken oder Redundanzen, unklare Formulierungen oder widersprüchliche Regelungen erkannt werden.

eService-Management-Check

Der Druck auf IT-Organisationen zu mehr Service- und Kundenorientierung nimmt laufend zu. Die Fähigkeit, konstante Qualität und hohe Verfügbarkeit von IT-Services liefern zu können, setzt ein strukturiertes Management von IT- Prozessen voraus.

Schaffen der Voraussetzungen für einen stabilen Betrieb

Die Messung der Prozessmaturität der Service-Organisation weist auf Lücken zum Best Practice Modell von ITIL und die damit verbundenen Risiken hin.

Standortbestimmung mittels Prozessanalyse

Sie erhalten eine objektive Bewertung der Risikolage und Empfehlungen für:

  • Service Management und Qualitätsicherungs-System

  • Incident Management und Service Desk

  • Problem Management

  • Change, Configuration und Release Management

  • Service Level und Financial Management

  • Availability und Service (Business) Continuity Management

  • Capacity Management

  • Security Management

Ermittlung der Reife Ihrer Service Organisation

Mit unserem bprex eServiceManagement-Check ermitteln wir Prozessreife und Fähigkeit einer IT-Service-Organisation auf Basis des ITIL Process Maturity Models (PMM) und erstellen damit die Grundlage für die Erstellung einer Service Management Roadmap.

eProject-Security-Check

Jedes IT-Projekt muss bestimmte (explizite oder implizite) Sicherheitsanforderungen erfüllen. In einem Project Security Check wird geprüft und beurteilt, ob die Erfüllung der relevanten Sicherheitsanforderungen in der jeweiligen Projektphase gewährleistet ist.

In der Konzeptions-Phase eines IT-Projekts werden die zu erwartenden Schadenspotentiale und bereits erkennbaren Risiken analysiert, um damit die Angemessenheit und Vollständigkeit der projektbezogenen Sicherheits-Anforderungen zu überprüfen und ggf. zu ergänzen.

In der Design-Phase eines IT-Projekts wird anhand der Spezifikationen und eines allfälligen Sicherheitskonzepts geprüft, ob die vorgesehenen Sicherheits-Massnahmen in ihrem Zusammenwirken und unter Berücksichtigung der Annahmen über die Betriebsumgebung geeignet und ausreichend sind, die Anforderungen zu erfüllen.

In der Implementierungs-Phase eines IT-Projekts wird die Implementierung von (ausgewählten) Sicherheitsmassnahmen und anderen sicherheitskritischen Komponenten geprüft. Bei einer Beschaffung von Sicherheitsprodukten wird deren Auswahl nachvollzogen und die Eignung der dazu herangezogenen Kriterien wird überprüft.

Während der Betriebsübergabe eines IT-Projekts wird die vollständige Berücksichtigung der aus den Anforderungen abgeleiteten Sicherheitskriterien in den Abnahmetests geprüft. Gegebenenfalls werden auch sicherheitsrelevante Teile der Benutzerdokumentation geprüft.

In der Betriebsphase eines IT-Projekts werden die Übereinstimmung der Eigenschaften der tatsächlich vorgefundenen Betriebsumgebung mit den im Sicherheitskonzept vorausgesetzten Annahmen, die korrekte Konfiguration und die spezifikationskonforme Anwendung der Sicherheitsmassnahmen überprüft.