Prozess- und IT-Assessment
Durch die Bündelung der Kernkompetenzen der myVision-Partner in den Bereichen „Management von Prozessen“ und „Management von Instrumenten“ ist es gelungen, eine standardisierte Vorgehensweise zur Analyse der Wechselwirkungen zwischen den aktuellen Abläufen in einem Unternehmen und der eingesetzten Informationstechnologie zu schaffen.
Durch 15 Jahre Erfahrung in gleichartigen Projekten wurde eine standardisierte Vorgehensweise geschaffen, die dem myVision-Team erlaubt, innerhalb kurzer Zeit eine konkrete Aussage über mögliche Verwundbarkeiten in der Informationstechnologie bzw. in den Prozessen zu treffen.
Die zentrale Frage ist: wie und wo werden wertschöpfende Prozesse – also jene Abläufe mit direkter Auswirkung auf Kunden und damit auf den Umsatz – von der IT unterstützt und welche Gefahren verstecken sich hinter dieser Tatsache; hier setzt myVision an:
In der Regel werden drei bis fünf Interviews mit Geschäftsführung und Bereichsleitern durchgeführt, die maximal eine Stunde dauern. Auf Basis des standardisierten myVision-Fragekatalogs wird je nach Geschäftsbereich sehr effizient festgestellt, wo Abhängigkeiten zur IT bestehen.
Parallel dazu wird mit Herstellertools, Versions-Checker etc. ein erstes Screening ausgewählter IT-Komponenten durchgeführt; dieses IT-Assessment wird anhand der Ergebnisse aus den Fach-Interviews ggf. noch auf weitere IT-Komponenten ausgedehnt.
Ergebnis des Assessments sind drei Berichte, gebildet aus zumindest den zwei Blickwinkeln der fachlichen Interviews und des IT-Screenings:
- Management-Summary (i.d.R. eine A4-Seite)
- Qualitativer Maßnahmenkatalog (ca. 10 Seiten)
- Detailliertes Ergebnis des IT-Screenings tw. inkl. Maßnahmenvorschlägen (auf CD)
Als Auslöser erlebt das myVision-Team u.a. folgende Themen:
- Forderung des Wirtschaftsprüfers nach einer Beurteilung der Verlässlichkeit der IT
- Anstehende Investitionen sollen überprüft werden
- Feststellen des Status Quo vor oder nach In- bzw. Out-Sourcing
- Überprüfen von internen und externen Service-Level-Agreements (Verträgen)
- Feststellen der Informationssicherheit nach Projektabschluss oder als Auslöser eines entsprechenden IT-Projektes
Basis des Assessments ist die ISO-Norm 27001 in der aktuell gültigen Fassung; diese beinhaltet folgende Themengebiete, aus welchen einige als Schwerpunkte des Assessments durch den Auftraggeber festgelegt werden:
- Risikoanalyse und –behandlung
- Sicherheitsrichtlinie
- Organisation der Informations-Sicherheit
- Asset Management
- Sicherheitsaspekt Personal
- Physische Sicherheit und Betriebsumgebung
- Kommunikation und Betrieb
- Zugriffssteuerung
- Erwerb, Entwicklung und Wartung der Systeme
- Vorfalls-Management
- Katastrophen- und Ausfallspläne
- Einhaltung rechtlicher und technischer Normen
Kontaktieren Sie uns und vereinbaren Sie ein unverbindliches Informationsgespräch mit unseren Themen-Experten!