GRC Center Web1920x730

OMNITRACKER GRC Center

OMNITRACKER Governance, Risk and Compliance Center

Unternehmen gesetzeskonform, normgerecht und erfolgreich führen

Mit dem OMNITRACKER Governance, Risk and Compliance Center (GRC Center) führen Sie Ihre Organisation (Unternehmen, öffentliche Einrichtungen, NGOs etc.) erfolgreich und gewinnbringend und halten dabei alle nötigen Gesetze, Standards und andere Compliance-Vorgaben nachweisbar ein. Dabei verwenden Sie eine zentrale Multi-Norm-Lösung, mit der Sie alle Anforderungen an Ihre Compliance, Audits, Kontrollen und Risikoverwaltung managen. Dabei stehen Ihnen alle Informationen genau dann zur Verfügung, wenn diese für Entscheidungen gebraucht werden. Auch organisationseigene oder branchenspezifische Regularien lassen sich einfach abbilden und einhalten. Ziel des GRC Centers ist die profitable, transparente und ganzheitliche Führung Ihrer Organisation, basierend auf einer integrierten Risikobehandlung und einer stetigen Verbesserung.

Was bedeutet Governance, Risk and Compliance (GRC)?

Eine gute (also gleichzeitig risikoarme und gewinnbringende) Unternehmensführung besteht aus den drei Handlungsebenen Governance, Risikomanagement und Compliance. Aufgrund der inhaltlichen Überschneidungen und des Zusammenwirkens der einzelnen Bereiche bietet es sich an, bei der softwaregestützten Umsetzung auf eine integrierte GRC-Lösung zu setzen. Dadurch lassen sich Ihre bereits eingeführten Prozesse, Strukturen, Unternehmenswerte und die IT-Infrastruktur bestmöglich monitoren und bezüglich aller GRC-Aspekte optimieren.

  • Governance: Im Bereich Governance legen Sie qualitative und quantitative Unternehmensziele fest, gestalten die Beziehungen zu Ihren Stakeholdern und verwalten Ihre wichtigsten Verträge. Im weiteren Sinne geht es auch um die rechtlich geregelte Verantwortung einer Organisation und ihrer eingegangenen Verpflichtungen. Die beiden anderen Bereiche – Risikomanagement und Compliance – unterstützen Sie beim Erreichen Ihrer festgelegten Ziele und bei der Einhaltung aller (gesetzlichen) Bestimmungen.
  • Risikomanagement: Zum softwaregestützten Risikomanagement gehören einerseits die frühzeitige Erkennung sowie die systematische Sammlung, Analyse und Bewertung von Risiken sowie andererseits die Bereitstellung von Risikostrategien (vermeiden, reduzieren, transferieren, akzeptieren) und die iterative Risikobehandlung. Hierbei müssen alle geschäftlichen Risikoarten betrachtet werden, also beispielsweise strategische Risiken, Marktrisiken, Ausfallrisiken, Compliance-Risiken und operationelle Risiken. Als Risiken werden hierbei Ereignisse bezeichnet, die Einfluss auf das Erreichen der Unternehmensziele haben. Bei der Risikoanalyse sind die Dimensionen Risikoursache, Auswirkung (Schadenshöhe) und Wahrscheinlichkeit relevant. Das Risikomanagement hat als oberstes Ziel, die Summe und die Schwere aller potenziellen Risiken so niedrig wie möglich zu halten, sodass die Geschäftsziele planbarer eingehalten werden können.
  • Compliance: Unter Compliance wird das Einhalten interner und externer Anforderungen verstanden. Das können (internationale) Gesetze, Verordnungen und Normen oder (unternehmensinterne) Verhaltenskodizes sein. Diese bewusst gesteuerte Regeltreue zielt darauf ab, gesetzliche Sanktionen oder Imageschäden zu vermeiden sowie die Qualität und Vorhersehbarkeit der Geschäftstätigkeit zu erhöhen. Als Steuerungselemente dienen beispielsweise Checklisten, Managementsysteme und branchenspezifische Standards sowie allgemeingültige gesetzliche Vorgaben. Eine GRC-Software hilft bei der lückenlosen und dokumentierten Umsetzung aller Compliance-Bestimmungen, da Tausende Einzelanforderungen parallel eingehalten werden können.

Die Unternehmensführung muss sich mit komplex verteilten und verknüpften Beziehungsebenen befassen. Dazu gehören überregionale und multinationale Geschäftsbeziehungen, gesetzliche und gesellschaftliche Regeln, Geschäftsbereiche und -standorte mit unterschiedlichen Zielen und Vorgaben sowie die kontrollierte Umsetzung von Prozessen. In jedem Vorgang innerhalb einer Organisation treten die verschiedensten Ausprägungen dieser Einflüsse miteinander in Beziehung, mit jeweils individuellen Anforderungen. Mit dem GRC Center behalten Sie den Überblick über dieses Anforderungs- und Beziehungsgeflecht und halten strukturiert sämtliche Normen und Bestimmungen ein – und sichern damit Ihren Geschäftserfolg.

Alles Wichtige zum OMNITRACKER Governanve, Risk and Compliance Center finden Sie kurz und bündig in unserem Factsheet.

Download Factsheet

Vorteile eines softwaregestützten „Governance, Risk & Compliance“-Managements

Vorteile auf einen Blick:

  • Zentrale und erweiterbare Multi-Norm-Lösung

  • Risiken aller Art minimieren

  • Geschäftsziele sicher erreichen & Potenziale erkennen

  • Synergien nutzen & Ressourcen sparen

  • Strukturierte Prozesse dank ITIL- & ISO-konformer Umsetzung

  • Internes & externes GRC-Kontrollsystem

GRC Center Unternehmen gut fuehren Vorteile

Ab einer gewissen Komplexität und Härte der Vorgaben an Ihre Organisation können die Anforderungen in den Bereichen Governance, Risikomanagement und Compliance nur mit einer Software effizient umgesetzt und nachgewiesen werden. Dabei werden Synergien genutzt, indem sämtliche Anforderungen in einer zentralen GRC-Lösung mit einheitlicher Datenbasis verwaltet werden. Besonders relevant ist dieser Aspekt bei KRITIS-Unternehmen, da hier seitens des Gesetzgebers die schärfsten Vorgaben einzuhalten sind.

Das OMNITRACKER Governance, Risk and Compliance Center fungiert als integrierte Plattform, die mehrere Management- und Kontroll-Systeme ineinander vereint.

Eine erweiterbare Multi-Norm-Lösung für alle Normen, Standards und Vorschriften

Der Funktionsumfang des OMNITRACKER GRC Centers kann jederzeit und einfach um weitere Anforderungskataloge von (ISO-)Normen und Standards flexibel ergänzt oder angepasst werden. Dies ist beispielsweise notwendig, wenn die Einhaltung neuer Normen aufgrund von Gesetzesänderungen sichergestellt werden muss oder wenn sicherheitsrelevante Prozesse umstrukturiert werden. Bereits out of the box können die wichtigsten Normen effizient umgesetzt werden, was einen schrittweisen Einstieg in das Thema Governance, Risk and Compliance ermöglicht. Die Flexibilität der Multi-Norm-Lösung als Plattform verschafft Ihnen eine langfristige Investitionssicherheit, da Sie Ihre System- und Assetstruktur nur einmal aufbauen müssen und dann kontinuierlich und flexibel weiter ausbauen.

Risiken systematisch analysieren, bewerten, priorisieren und strukturiert minimieren

Risikoanalysen gehören zur Pflicht bei der Umsetzung zahlreicher Branchenstandards, ISO-Vorgaben und ITIL®-Practices. Da der Gesamtprozess des Risikomanagements sehr komplex ist, ist eine Untergliederung in standardisierbare, leicht umsetzbare Teilabläufe sinnvoll. Die Einzelschritte werden von der Risikomanagement-Software zuverlässig und dokumentiert durchgeführt. Automatisierte Workflows stellen dabei sicher, dass regelmäßige Analysen, Bewertungen, Überwachungen und Umsetzungen aller Handlungsschritte zuverlässig ausgeführt werden. Dank einer anpassbaren Wahl der Risikostrategie halten Sie die Auswirkungen von Risiken sowie die Wahrscheinlichkeit von Sanktionen oder die Höhe potenzieller Schäden gering. Außerdem profitieren Sie von einer besseren Planungssicherheit, da Sie Risiken besser erkennen und deren Auswirkungen einschätzen können.

Geschäftsziele sicher erreichen und Optimierungspotenziale nutzen

Mit einer messbaren und transparenten Zielerreichung, Optimierungszyklen sowie der Minimierung potenzieller Risiken stellen Sie bestmöglich sicher, Ihre (mit Stakeholdern) vereinbarten Geschäftsziele zu erreichen. Das PDCA-Konzept (Plan – Do – Check – Act; auch kontinuierliche Verbesserung) wird bei der Umsetzung mehrerer ISO-Standards direkt oder indirekt angewendet. Ziel ist die kontinuierliche Prozessverbesserung und das sichere Erreichen Ihrer Geschäftsziele. In der Plan-Phase werden Zielwerte definiert, die aktuelle Situation bewertet und Maßnahmen zur Erreichung der Ziele festgelegt. Nach einer festgelegten Dauer des Geschäftsbetriebs (Do) wird der Ist-Stand gegen den festgelegten Soll-Stand abgeglichen (Check). Mithilfe einer strukturierten, datenbasierten Analyse werden bei Bedarf Veränderungen an den Maßnahmen vorgenommen (Act), um eine kontinuierliche Weiterentwicklung sicherzustellen. Dieses zyklische Vorgehen hilft dabei, Ihre Geschäftsziele zu erreichen und weiter zu verbessern, wobei das Risikomanagement diesen Prozess unterstützt.

Synergien nutzen und Ressourcen sparen

Sie verwenden nur eine zentrale Lösung für alle GRC-relevanten Aufgaben. Aufgrund der inhaltlichen Überschneidungen zahlreicher ISO-Standards, lassen sich zum Beispiel gleichartige Themen mit nur einer Abarbeitung für alle Normen erledigen. Weiterhin werden beispielsweise Zeitaufwände bei der Vorbereitung, Durchführung und Nachbereitung von Audits deutlich reduziert. Automatisierte Prozesse mit BPMN verringern die Fehleranfälligkeit und beschleunigen Bearbeitungsgeschwindigkeiten, sodass der ROI schneller erreicht ist. Über Wissensdatenbanken und ein integrierbares Dokumentenmanagement können Sie zudem Ihr Know-how innerhalb Ihrer Organisation teilen. Dadurch erleichtern und vereinheitlichen Sie den Umgang mit Risiken, Compliance-Bestimmungen oder wiederkehrenden Anforderungen.

ISO- und ITIL-konforme Umsetzung Ihrer GRC-Strategie

ITIL® dient dazu, die Qualität von Serviceleistungen zu verbessern und zugrunde liegende Prozesse reproduzierbar zu gestalten. Bei der Entwicklung des OMNITRACKER Governance, Risk and Compliance Centers wurden die Forderungen der ISO-Standards und der Empfehlungen der ITIL®-Best-Practices berücksichtigt.

Revisionssicheres, internes Kontrollsystem (IKS)

Da sich die Ziele eines IKS mit denen einer GRC-Software überschneiden, lässt sich das OMNITRACKER GRC Center so konfigurieren, dass Ihr IKS auch als interne Compliance-Applikation genutzt werden kann. Sie legen klare Anforderungen in Ihren Compliance-Vorschriften fest und identifizieren die im IKS zu monitorenden Geschäftsprozesse. Gleichzeitig lässt sich das GRC Center als Meldesystem nutzen, sodass Ihre Organisation für Mitarbeitende aber auch für externe Personen ansprechbar ist.

Erfolgreiche Unternehmensführung mit allen Prozessen im OMNITRACKER GRC Center.

Kontaktieren Sie uns!

Aktuelles Angebot und geplante Erweiterungen des OMNITRACKER GRC Centers

Icons GRC Center RM 300

Risk Management

Mit dem OMNITRACKER Risk Management sammeln, analysieren, bewerten, steuern und dokumentieren Sie sämtliche Risiken auf Prozess-, Projekt- und Unternehmensebene.

Icons GRC Center ACM 300

Audit and Compliance Management

Mit dem OMNITRACKER Audit and Compliance Management bauen Sie sich ein Managementsystem auf, um alle Anforderungen an Ihre Organisation erfüllen zu können und mithilfe von Audits gezielt auf ihre Einhaltung abzuprüfen beziehungsweise die Korrektur von Abweichungen zu steuern.

Icons GRC Center Gov 300

Governance Services

Mit den OMNITRACKER Governance Services sammeln, steuern und dokumentieren Sie sämtliche Managemententscheidungen, Verträge, Ziele und Informationen, die Ihre Organisation braucht, um sämtliche Anforderungen einzuhalten und den wirtschaftlichen Erfolg sicherzustellen.

Raster Angebot Icons2022 GRC Center BCM 300 v2

Business Continuity Management

Beim Business Continuity Management werden Ihnen Werkzeuge für den (präventiven) Umgang mit Schadensfällen bereitgestellt. Zum Beispiel nutzen Sie Business-Impact-Analysen für Einschätzungen, wie sich potenzielle Schäden auswirken. Notfallpläne unterstützen Sie dabei, schnell auf Schadensfälle zu reagieren und diese möglichst ohne Folgeschäden zu überstehen. Mit Desaster-Recovery-Plänen nehmen Sie Ihre reguläre Geschäftstätigkeit nach einem Krisenfall vollständig wieder auf.

Raster Angebot Icons2022 GRC Center VM 300 v2

Vendor Management

Das OMNITRACKER Vendor Management hilft Ihnen dabei, sogenannte Make-or-buy Entscheidungen zu treffen, die besten Lieferanten zu identifizieren und Ihre vertraglichen Beziehungen zu Lieferanten und Partnern zentral zu steuern sowie deren Leistung zu bewerten.

Raster Angebot Icons2022 GRC Center CIS 300 v2

Critical Infrastructure Services

Critical Infrastructure Services unterstützen Organisationen, die zur kritischen Infrastruktur zählen, bei der Identifizierung kritischer Prozesse entsprechend der KRITIS-Verordnung, der vollständigen und nachweisbaren Auditierung entlang der B3S-Vorgaben sowie der zeitgerechten und vollständigen Berichterstattungen und Meldungen an staatliche Stellen wie dem BSI und anderen Stakeholdern.

Gerne unterstützen wir Sie dabei, Ihr bestehendes Risikomanagement-System in das OMNITRACKER GRC Center zu überführen, sodass Ihre gesammelten Risiken, definierten Risikoklassen und -assets erhalten bleiben.

Kontaktieren Sie uns!

Das Governance, Risk and Compliance Center als Teil des Business Process Ecosystems OMNITRACKER

OMNITRACKER GRC Center Stuktur2600

Das OMNITRACKER Governance, Risk and Compliance Center ist eine out of the box einsetzbare Lösung, die aus mehreren einzelnen Modulen besteht. Das GRC Center als Multi-Norm-Plattform ist der ideale Einstieg in ein Komplettsystem, das Ihre sämtlichen unternehmensweiten Geschäftsprozesse digital abbildet. Der Funktionsumfang des zugrunde liegenden OMNITRACKER-Basissystems lässt sich um zahlreiche Applikationen modular erweitern. Neben einem zentralen Vertrags- oder Dokumentenmanagement ist beispielsweise eine ITSM-Lösung sinnvoll, die Sie für die strukturierte Erfassung Ihrer Service- oder Störungsmeldungen nutzen. Alle enthaltenen Workflows lassen sich mit BPMN automatisieren.

Vorteile der OMNITRACKER-Plattform:

  • Erweiterbarer Funktionsumfang dank modularem Aufbau und zahlreicher Schnittstellen
  • Flexibles Customizing möglich, sodass individuelle Anforderungen umgesetzt werden
  • Mobiler Zugriff auf alle Anwendungen
  • Lückenlose Dokumentation
  • Zentrale Datenbasis mit beeindruckender Kompatibilität
  • KPI-Reportings und Echtzeit-Dashboards dank Business Intelligence
  • Langfristige Investitionssicherheit, da die Software mit Ihren Anforderungen wächst
  • Automatisierbare Prozesse, um Ressourcen zu sparen

 

Mehr über OMNITRACKER erfahren

Features des OMNITRACKER Governance, Risk and Compliance Centers

Feature GRCC 300 1 Rechte Rollen v3

Umfassendes Rechte- und Rollenkonzept

Feature GRCC 300 2 Komplettloesung

Komplettlösung mit umfangreichen Applikationen und Werkzeugen

Feature GRCC 300 3 Integrier

Integriertes Risikomanagement aller organisationsweiten Aktivitäten

Feature GRCC 300 4 Transparenz

Zeitgenaue und höchste Transparenz und Kontrolle durch Business Intelligence

Feature GRCC 300 5 Prozess v2

Prozessorientierte und informationsbasierte Verbesserung Ihrer Organisation

Feature GRCC 300 6 Gesezte

Einhaltung von notwendigen und gewünschten Gesetzen, Normen und Richtlinien

Eine zentrale Multi-Norm-Lösung für alle Standards und Anforderungen

Das OMNITRACKER Governance, Risk and Compliance Center unterstützt Sie bei der Einhaltung aller für Sie relevanten Normen, ISO-Standards sowie gesetzlichen Regelungen und sonstigen Anforderungen. Die Multi-Norm-Lösung lässt sich out of the box einsetzen und gleichzeitig flexibel um beliebige Normen und ISO-Standards erweitern. Über offene Schnittstellen werden benötigte Daten und Anforderungskataloge fortlaufend ergänzt. Damit bleibt Ihre GRC-Software auch dann up to date, wenn Gesetzesänderungen eine Anpassung Ihrer Compliance-Landschaft erfordern.

Da die inhaltlichen Verflechtungen und Abhängigkeiten eines solchen Multi-Norm-Systems ab einer gewissen Größe zunehmend komplexer werden, setzt OMNITRACKER bei der strukturellen Umsetzung auf eine konsequente Modularisierung und Wiederverwendung von Features der OMNITRACKER-Applikationen zur Unterstützung der GRC-Services.

ISO 31000 – Risikomanagement

Die ISO 31000 beschäftigt sich mit dem strukturierten Risikomanagement. Die in der ISO genannten Vorgaben sind allgemein gehalten und verfolgen einen Managementsystem-Ansatz. Bei der Umsetzung muss auf die individuellen Anforderungen der jeweiligen Organisation eingegangen werden. Betrachtet werden dabei Risiken aller potenziellen Schadenskategorien. Übergeordnetes Ziel der Norm ist die Identifizierung, Steuerung und Abschwächung von Risiken, sodass Unternehmensziele mit größtmöglicher Wahrscheinlichkeit eingehalten werden.

ISO 19600 – Compliance-Management-Systeme (seit April 2021: ersetzt durch ISO 37301)

Die abgelöste ISO 19600, die in der ISO 37301 weiterentwickelt und angepasst wurde, betrachtet Compliance-Management-Systeme und verfolgt zum einen das Ziel, regelwidriges Verhalten von Führungskräften und Mitarbeitenden zu erkennen. Zum anderen soll nachweisbar sichergestellt werden, dass Aufsichts- und Kontrollpflichten eingehalten werden. Dabei wird zwischen verpflichtenden Compliances (Regeltreue) und freiwilligen Kodizes unterschieden. Die konkrete Umsetzung gelingt beispielsweise durch Handlungsanweisungen, Checklisten, Verhaltensrichtlinien und Prozessbeschreibungen, wobei integrierte Risikoanalysen stattfinden. Die ISO-Norm ist skalierbar; sie kann also in Organisationen aller Größen umgesetzt werden. Organisationen profitieren in vielerlei Hinsicht, wenn sie ihre Regeltreue aktiv managen, zum Beispiel wenn es um Strafvermeidung, Haftungsrisiken oder um die Wahrung einer guten Reputation geht. In folgenden Bereichen ist ein konsequentes Compliance-Management besonders relevant: Steuerrecht, Wirtschaftsrecht (national und international), Arbeitsrecht, Kartellrecht, Produktsicherheit, IT-Sicherheit, Geldwäsche, Korruption, Kartellrecht, Umweltschutz etc.

ISO 19011 – Auditierung von Managementsystemen

Die ISO 19011 soll bei der Planung, dokumentierten Durchführung und Nachbereitung von Audits von Managementsystemen unterstützen. Wesentlicher Bestandteil ist hier auch die kontinuierliche Verbesserung dieser Managementsysteme.

ISO 9001 – Qualitätsmanagement

Qualitätsmanagementsysteme stellen sicher, dass die System- und Prozessqualität in einer Organisation geprüft und kontinuierlich verbessert werden. Ziel eines Qualitätsmanagementsystems ist eine Ausrichtung der Organisation an der Kundenzufriedenheit mittels Optimierung der Unternehmensleistung sowie die Sicherstellung einer hohen Service- oder Produktqualität. Um dies sicherzustellen, werden Zuständigkeiten und Verantwortlichkeiten konkret benannt. Außerdem wird der Ablauf qualitätsrelevanter Prozessschritte innerhalb der Wertschöpfungskette dokumentiert. Ein gutes Qualitätsmanagement zeichnet sich auch durch den geschickten Einsatz von Ressourcen aus. Unternehmen können ihr Qualitätsmanagement nach ISO 9001 zertifizieren lassen.

ISO 27001 – Informationssicherheits-Managementsysteme

Die ISO 27001 beschäftigt sich mit den Anforderungen an Informationssicherheits-Managementsysteme (ISMS). Konkret geht es um die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit aller Informationen. Vertraulichkeit meint hier, dass Informationen vor unbefugtem Zugriff zu schützen sind; Integrität bedeutet, dass Informationen authentisch und manipulationsfrei sind; und unter Verfügbarkeit wird verstanden, dass Informationen für Dienstleistungen und Funktionen zum geforderten Zeitpunkt verfügbar sind. Die Mehrheit der zu erfüllenden Anforderungen der Information liegt im Bereich der IT-Sicherheit.


Aufgrund der umfassenden Tragweite des Themas IT-Sicherheit durch die zunehmende Digitalisierung der Gesellschaft ist in einigen Bereichen eine ISO 27001-konforme Arbeitsweise mit zyklischen Audits verpflichtend vorgesehen. Da potenzielle Schäden durch den Missbrauch von Daten und Informationen oder durch Cyberangriffe sehr hoch sein können, sind in der ISO 27001 Risikoanalysen vorgesehen, um sich präventiv vor Internetkriminalität zu schützen oder um Datenverluste zu verhindern. Da sich die technischen Möglichkeiten – und damit auch potenzielle Gefahren – schneller weiterentwickeln als Gesetzesbeschlüsse, müssen Organisationen selbstständig darauf achten, dass die verwendeten IT-Systeme und das notwendige Anwendungs-Know-how dem aktuellen Stand der Technik entsprechen.

IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI)

Mit dem IT-Grundschutz hat das BSI systematische Anweisungen und Hilfestellungen entwickelt, wie der öffentliche Sektor aber auch Unternehmen jeder Größe sicher mit Daten und Informationen umgehen sollen. Bei der ganzheitlichen Betrachtung geht es um infrastrukturelle, organisatorische und personelle Aspekte. In den IT-Grundschutz-Dokumenten werden Anleitungen gesammelt, die über IT-Sicherheit allgemein aufklären und sich mit dem Aufbau von gut strukturierten Informationssicherheitsmanagementsystemen (ISMS) beschäftigen. Zusätzlich werden Gefährdungsarten beleuchtet und Maßnahmen zur Umsetzung angeboten. Beim IT-Grundschutz sind Risikoanalysen integral vorgesehen. Die inhaltliche Umsetzung des IT-Grundschutzes kann mit einer Zertifizierung nach ISO 27001 auf Basis von IT-Grundschutz erfolgen.

IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0)

Das IT-Sicherheitsgesetz 2.0 stärkt das Bundesamt für Sicherheit und Informationstechnik (BSI) in seiner Rolle als Cyber-Sicherheitsbehörde des Bundes. Dies bedeutet, dass das BSI für mehr IT-Sicherheitsbelange als Ansprechpartner für Organisationen fungieren wird. Im Fokus stehen KRITIS-Unternehmen, die in puncto IT-Sicherheit besondere Anforderungen haben und strengere Standards erfüllen müssen. Überarbeitet wurden und werden Mindeststandards für KRITIS-Unternehmen sowie die Definitionen, welche Organisationen fortan zur kritischen Infrastruktur gehören. Entsprechende Organisationen müssen die vorgeschriebenen Maßnahmen nachweisbar erfüllen. Bei dem neuen Sicherheitsgesetz wird die Einführung einer Software zur systematischen Erfassung von Störungen (Incidents) und Events verpflichtend.

Branchenspezifische Sicherheitsstandards (B3S)

Unter B3S werden branchenspezifische Sicherheitsstandards verstanden, die zwar nicht gesetzlich bindend sind, jedoch über die eher allgemeingültigeren ISO-Standards weit hinausreichen. Die B3S-Standards definieren technische Anforderungen, deren Einhaltung für die jeweilige Branche einen Mehrwert bietet. Die Erstellung dieser Standards erfolgt durch Betreiber kritischer Infrastrukturen oder deren Branchenverbände. Diese Vorschläge werden beim Bundesamt für Sicherheit in der Informationstechnik (BSI) eingereicht, geprüft und pro Organisation separat freigegeben. B3S-Standards sind für zwei Jahre gültig, da bei längeren Zyklen die Gefahr bestehen würde, dass sicherheitsrelevante Technik in der Zwischenzeit veraltet.

In besonders sicherheitskritischen Branchen, bei denen Störungen oder Vorfälle weitreichende Folgen haben, finden umfangreiche interne und externe Prüfungs- und Auditierungsverfahren statt. Gut strukturierte, ITIL-konforme ITSM-Lösungen dienen hier als Melde-, Kontroll- und Steuerungssysteme. Über zeitlich getriggerte Prüfungen, Wiedervorlagen und permanente Grenzwertkontrollen lässt sich der ununterbrochene Betrieb weitestgehend sicherstellen. Das ISMS-Schutzziel der Verfügbarkeit der kritischen Assets rückt in den Mittelpunkt. Unterstützend werden Risikomanagementsysteme eingesetzt, um sich gegen Ereignisse präventiv zu schützen oder um potenzielle Schadenshöhen im Eintrittsfall abzumildern.

 

Übersicht von branchenspezifischen Sicherheitsstandards laut BSI:

  • IT-Sicherheit
  • Ernährungsindustrie
  • Lebensmittelhandel
  • IT-Sicherheit Wasser/Abwasser
  • Pharmaindustrie/Gesundheitsversorgung im Krankenhaus/Laboratoriumsdiagnostik
  • Anlagen oder Systeme zur Steuerung/Bündelung elektrischer Leitungen
  • Verkehrssteuerungs- und Leitsysteme im kommunalen Straßenverkehr
  • Gesetzliche Kranken- und Pflegeversicherer
  • Strom/Energieversorgung
  • Neue KRITIS-Sektoren nach IT-SiG 2.0: Luftverkehr
  • Neue KRITIS-Sektoren nach IT-SiG 2.0: ÖPNV und Schienenverkehr
  • Weitere, nicht öffentlich abrufbare Sicherheitsstandards
Verbandssanktionengesetz

Das Verbandssanktionengesetz ist ein Instrument, um Delikte von Organisationen mit entsprechenden Sanktionen effektiv zu bekämpfen. Vor Einführung des Verbandssanktionengesetzes konnten Einzelpersonen für Straftaten (Korruption, Menschenrechtsverletzungen, Umweltdelikte etc.) nur eingeschränkt und nicht einheitlich geregelt zur Rechenschaft gezogen werden, wenn diese Handlungen aus ihrer Position innerhalb einer Organisation heraus begangen wurden (sogenannte Verbandstaten). Bestraft wurde in der Praxis oft lediglich die Organisation, teils mit einem vergleichbar milden (finanziellen) Strafhöchstmaß. Diese Sanktionen orientieren sich jetzt mehr an der absoluten Wirtschaftskraft.
Beim Verbandssanktionengesetz soll die Durchführung von Compliance-Maßnahmen stärker gefördert werden. Zwar können durch Compliance-Richtlinien Straftaten von Einzelpersonen nicht gänzlich unterbunden werden, allerdings kann eine Organisation mit einem guten, Compliance-Management nachweisen, dass es versucht, Straftaten von Einzelpersonen im Unternehmen zu verhindern oder zu erschweren. Die Nachweisbarkeit und Dokumentation aller diesbezüglichen Maßnahmen sind hier maßgebend. Fehlende Compliance-Maßnahmen können sich hingegen negativ auf die Sanktionshöhe auswirken, da auf die präventive Schutzwirkung eines internen Kontrollsystems bewusst verzichtet wurde.

Hinweisgebergesetz (nach der Whistleblowing-Richtlinie)

Diese Richtlinie des Europäischen Parlaments und des Rates dient als Vorgabe für die deutsche Gesetzgebung auf nationaler Ebene. Hinweisgebende sollen geschützt werden, wenn sie auf strukturelle Missstände oder gesetzeswidriges Verhalten innerhalb einer Organisation aufmerksam machen.
Organisationen mit einer Größe ab 50 Mitarbeitenden sind damit verpflichtet, ein Meldesystem bereitzustellen, das eine anonyme Meldung von potenziell regelwidrigem Verhalten (auch nach außen) ermöglicht. Hierfür fehlen zwar konkrete Umsetzungsanweisungen des bundesdeutschen Gesetzgebers, allerdings kann für die Umsetzung ein Ticketing-System mit einer Anonymisierung von Anfragen verwendet werden.
Die Übergangsfrist der EU für die Umsetzung auf nationaler Ebene endet am 17. Dezember 2021.

MaRisk – Mindestanforderungen der deutschen Finanzmarktaufsicht

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat verpflichtende Mindestanforderungen für die Gestaltung von Risikomanagementsystemen für Finanz- und Kreditinstitute und Versicherungen geschaffen. Besondere Relevanz nehmen unter anderem die Themen Notfallvorsorge, Dokumentation, Outsourcing sowie interne und externe Revisionsprozesse ein. Betrachtet werden beispielsweise Kreditrisiken, Marktpreisrisiken, Liquiditätsrisiken oder operationelle Risiken. Für Finanzdienstleister ergeben sich daher besondere Anforderungen an die verwendeten IT-Systeme – vor allem im Bereich Risikomanagement –, um sämtliche Risiken strukturiert zu sammeln, zu bewerten und entsprechend steuern zu können.

Lieferkettengesetz

Das Lieferkettengesetz soll sicherstellen, dass Menschenrechte und arbeitsrechtliche Bestimmungen während der kompletten Liefer- und Wertschöpfungskette eingehalten werden. Auch Umweltaspekte sind zu berücksichtigen. Das Gesetz findet im Idealfall schon bei der Auswahl von (im Ausland ansässigen) Lieferanten statt. Sollten Verstöße bekannt werden, muss entgegengewirkt werden beziehungsweise das regelwidrige Verhalten muss eingestellt werden. Besonders relevant ist hier, dass Organisationen verpflichtet sind, Prüfungen von Lieferanten nachweisbar vorzunehmen. Entsprechende Checklisten und Anforderungskataloge lassen sich mit dem GRC Center – speziell in dem Modul Vendor Management – abbilden.

Zukünftige Bestimmungen und Gesetzesänderungen

Das OMNITRACKER GRC Center ist so konzipiert, dass zu jedem Zeitpunkt zukünftige Anforderungen integriert werden können. Damit bleiben Sie flexibel und können Ihre bisherigen Daten (inkl. Stammdaten, gepflegte Assets, Risikoklassen etc.) weiterhin nutzen. Als Softwarepartner behalten wir die wichtigsten Gesetzgebungen im Auge, damit wir unseren Neu- und Bestandskunden bei Bedarf schnell eine passende Lösung bieten können. Auch „Maßanfertigungen“ für besondere Sicherheitsanforderungen oder Individuallösungen können Sie selbst oder mit der Unterstützung unseres Consulting-Teams implementieren. Unser Consulting-Team berät Sie gern in Bezug auf individuelle GRC-Lösungen.

Individuelle Anforderungen, eigene Anweisungen und Self-Assessment

Neben den verpflichtenden Mindeststandards und empfohlenen Normen kann eine Organisation darüber hinausreichende eigene Regularien festlegen und implementieren, deren Einhaltung mit dem OMNITRACKER GRC Center geprüft und dokumentiert wird. Vor allem in Organisationen, die zu den kritischen Infrastrukturen gehören oder besondere Sicherheits- oder Qualitätsansprüche haben, werden häufig zusätzliche (firmeninterne) Standards eingeführt und kontrolliert eingehalten. Dieses Vorgehen hat eine präventive Wirkung, da damit das Risiko für mögliche Unfälle, Interessenkonflikte, Ausfälle, Kriminalität oder unwahrscheinliche Fremdeinflüsse minimiert beziehungsweise bestmöglich gesteuert wird. Vor allem im Bereich der kritischen Infrastruktur ist die ununterbrochene Aufrechterhaltung der Geschäftsfähigkeit bestmöglich sicherzustellen. Hierfür werden im Einzelfall spezielle Organisationsbereiche geschaffen und zusätzliche Kontrollsysteme erarbeitet.

Wenn eine Organisation selbstauferlegte, strengere Compliance-Regeln festsetzt und deren Umsetzung aktiv vorantreibt, kann sich dies unter Umständen bei Compliance-Strafverfahren strafmildernd auswirken.
Auch standortspezifische Anforderungen mit erweiterten Checklisten lassen sich mit dem GRC Center abbilden.

Überzeugte OMNITRACKER-Anwender

OMNITRACKER macht alle Prozesse klarer und effizienter.

Das OMNITRACKER GRC Center als erweiterbare Plattform und Basis für die Umsetzung branchen- und industriespezifischer Compliance-Anforderungen

Weitere Anforderungskataloge und eigene Anforderungen können jederzeit ergänzt werden

Je nach Branche sind diverse Normen und ISO-Standards verpflichtend. Gesetzliche Regulierungen auf nationaler und internationaler Ebene können hinzukommen ebenso wie selbstauferlegte Richtlinien. Bei den unten stehenden ISO-Standards handelt es sich um Mindeststandards, die in der Regel in der zugehörigen Branche angewendet werden müssen. In der Praxis kommen jedoch durch individuelle Marktsituationen, durch gesetzlich nicht definierte interne Anforderungen oder durch vertragliche Verpflichtungen von Kunden, Partnern oder Lieferanten weitere Verpflichtungen hinzu.

Zusätzlich hat jede Brache und jeder gesellschaftliche Sektor weitere fachspezifische, normative Vorgaben zu erfüllen.

Die nachstehende Liste soll exemplarisch zeigen, welche ISO-Standards und Regulierungen mit der Multi-Norm-Lösung OMNITRACKER Governance, Risk and Compliance Center bei entsprechendem Customizing problemlos umgesetzt werden können. Darüber hinausreichende Bestimmungen lassen sich ebenfalls abbilden. Unser Customizing-Team berät Sie gern zur softwaregestützten Umsetzung aller für Sie relevanten Standards.

 

Branchenübergreifende Normen

  • BSI IT-Grundschutz
  • ISO 20000
  • ISO 27001
  • ISO 9001
 
  • DSGVO
  • ISO 14001
  • ISO 27005
 
branchen iso IT Unternehmen v3

IT-Unternehmen

  • BSI-Standard 200-1
  • BSI-Standard 200-2
  • BSI-Standard 200-3
  • BSI-Standard 200-4
branchen iso Behoerden v3

Öffentlicher Sektor

  • BSI-Standard 200-1
  • BSI-Standard 200-2
  • BSI-Standard 200-3
  • BSI-Standard 200-4
  • ISO 22301
branchen iso Finanzen v3

Finanzsektor

  • BaFin BAIT
  • BaFin KAIT
  • BaFin MaRisk
  • BaFin VAIT
  • Basel II
  • ISO 22301
branchen iso Industrie v3

Industrie

  • DIN ISO 27009
  • DIN ISO 45001
  • ISO 22301
  • VDA TISAX
branchen iso Automobil v3

Automobil

  • DIN ISO 27009
  • DIN ISO 45001
  • ISO 22301
  • VDA TISAX
branchen iso Handel v3

Handel/DL

  • DIN ISO 45001
  • ISO 22301
  • PCI DSS
branchen iso Logistik v2

Logistik

  • DIN ISO 45001
  • ISO 22301
  • ISO 28000
  • Tapa
  • Zoll
branchen iso Gesundheit v2

Gesundheitswesen

  • B3S Gesundheit
  • IEC 80001
  • ISO 13485
  • ISO 22301
branchen iso Energie v2

Energiesektor

  • B3S Wasser
  • DIN ISO 45001
  • DIN ISO 50001
  • DIN SPEC 27009
  • ISO 22301
  • IT-Sicherheitskatalog
  • Smart Meter Gateway

Individuelle Normen/Richtlinien/Regularien

Ihre Norm ist nicht enthalten? Sie können jeden Fragekatalog jederzeit einspielen.

Fordern Sie ein Angebot vom OMNITRACKER GRC Center Basispaket 2021 an.

Kontaktieren Sie uns!

Basispaket 2021 des OMNITRACKER GRC Centers

Das Basispaket enthält ein solides Fundament für die softwaregestützte Umsetzung Ihrer GRC-Strategie und ist der ideale Einstieg. Der Funktionsumfang wird mit weiteren GRC-Modulen stetig weiter ausgebaut.
Icons GRC Center RM 300 v2

Risk Management

  • Iterativer Ansatz zur Behandlung eines Risikos aufgrund von gesteuerten Wiedervorlagen
  • 2- oder 3-dimensionales Risiko- modell mit Risikoaggregation
  • Automatisierte Berechnung der Risikoprioritätszahl (RPZ)
  • Fähigkeit der Risikoeskalation z. B. bei Rechtsverstößen und Haftungen
  • Echtzeit-Informationssystem mit Business Intelligence
  • Finanzielle Risikobewertung mit Warnung bei Schwellenwertüberschreitung
  • Merkmale nach ISO 31000
Icons GRC Center ACM 300 v2

Audit and Compliance Management

  • Fünf Modi von Audits und Compliance-Prüfungen
  • Freie Definition von Anforderungskatalogen
  • Fähigkeit zur Behandlung verschiedenster Gesetze, Normen, Richtlinien und Prozesse
  • Integriertes Risikomanagement bei speziellen Risiken
  • Rollenspezifisches Cockpit mit personalisierter Aufgabenliste
  • Echtzeit-Informationssystem mit Business Intelligence
  • Integriertes ISMS (ISO 27001) und QMS (ISO 9001)
  • Merkmale nach ISO 19600 & 19011
  • Berücksichtigt B3S-KRITIS-Prüfungen u.a. nach BSI-IT-Grundschutz
Icons GRC Center Gov 300 v2

Governance Services

  • Unternehmensführung konform zu Gesetzen, Richtlinien und Normen
  • Überblick und Steuerung relevanter Aufgaben, Projekte und Korrekturen
  • Integriertes Vertragsmanagement
  • Anfrage- und Meldesystem für Compliance-Vorkommnisse
  • Umfassende ManagementCockpits für Compliance-Status
  • Echtzeitstatus der Leistungs- und Risikoindikatoren
  • Merkmale nach ISO 19600 und DIN SPEC 36601

Nahtloses Zusammenspiel

ITSM – Ticketing System

Business Intelligence

Process Automation

Erfahren Sie mehr über das Business Process Ecosystem OMNITRACKER.

Lernen Sie unser Basissystem kennen, binden Sie externe Systeme über unsere Schnittstellen an und erweitern Sie den Funktionsumfang Ihres Softwaresystems mit unseren Applikationen passgenau.

Business Process Ecosystem