RSA® ARCHER™ eGRC-Suite Governance, Risk und Compliance in Unternehmen Inhaltsverzeichnis Definition von eGRC 3 RSA Archer eGRC-Lösungen 4 Ausrichten von Richtlinien, Risiken und Compliance an strategischen Zielen 6 Planen von Audits nach Risikokriterien und Geschäftsanforderungen 18 Wiederherstellung der kritischen Geschäfts- und IT-Infrastruktur 24 Management von Bedrohungen und Vorfällen 30 RSA Archer eGRC-Plattform 38 Archer eGRC Community und Exchange 42 Warum Kunden RSA für eGRC wählen 44 Erste Schritte 45 1 Governance, Risk und Compliance in Unternehmen 2 Definition von eGRC Was ist eGRC? Die Ziele von eGRC Der Begriff eGRC (Enterprise Governance, Risk and Compliance) Mit seiner eGRC-Strategie verfolgt ein Unternehmen die folgenden Ziele: beschreibt Prozesse, nach denen ein Unternehmen: • Zusammenarbeit und Vereinheitlichung – Verschiedene Rollen, • Seine Ziele, Richtlinien, Verfahren und Standards festlegt. darunter Informationssicherheit, Risikomanagement, Compliance, Datenschutz, operativer Betrieb, interne Revision und viele mehr, • Risiken identifiziert, bewertet und Maßnahmen zur Risikobehandlung arbeiten auf Basis einheitlicher Prozesse und Daten zusammen. durchführt. • Die Einhaltung von Gesetzen, Vorschriften, Richtlinien, • Effizienz – Redundante Informationen und Vorgänge werden vermieden, und Einzelprojekte werden in nachhaltige Prozesse Vertragsverpflichtungen und Branchenstandards sicherstellt. umgewandelt und in die tägliche Arbeit integriert. Unternehmen nutzen eGRC, um sich ein umfassendes Bild über die • Überblick – Das Unternehmen verfügt über ein präzises, Risiken und Compliance in allen Bereichen zu verschaffen, von der IT über ganzheitliches Bild aller Risiken und des Compliance-Status und kann Finanzen und operative Abläufe bis hin zur Rechtsabteilung. dadurch auf allen Ebenen fundierte Entscheidungen treffen. Ein eGRC-Programm besteht aus mehreren Kernprozessen: • Transparenz und Verantwortung – Führungskräfte können den Status • Richtlinienverwaltung von Ausnahmen und Problemfällen abrufen, und die Verantwortung für deren Bearbeitung wird Mitarbeitern und Dritten übertragen. • Risikomanagement • Strategische Abstimmung – Risiko-, Compliance- und Audit- • Compliance-Management Aktivitäten werden an den wichtigsten Aspekten im Unternehmen • Verwaltung von Lieferanten ausgerichtet, um von einer reaktiven und taktischen zu einer • Audit-Management proaktiven und strategischen Vorgehensweise zu gelangen. • Business-Continuity-Management • Mehrwert für Mitarbeiter – Die Wertschöpfung zieht sich durch alle Ebenen. Analysten, Manager und Geschäftsführer können wichtige • Management von Vorfällen Informationen für ihre Aufgaben abrufen und umgehend geeignete • Management von Bedrohungen Maßnahmen einleiten. Neben diesen bereichsübergreifenden Kernprozessen enthält ein eGRC- Programm noch eine Vielzahl an weiteren unternehmensspezifischen Prozessen. So muss sich z. B. ein Finanzdienstleister gegen Geldwäsche schützen, während eine Spedition verlorene Pakete auffinden muss. Daher gibt es für eGRC keine „Pauschallösung“. 33 RSA Archer eGRC-Lösungen Die EMC Corporation (www.emc.com), der weltweit führende Entwickler und Anbieter von Technologien und Lösungen für Informationsinfrastrukturen, verfügt über ein umfassendes Portfolio Richtlinienverwaltung mit Produkten und Services, um die GRC-Prozesse unternehmensweit Richtlinien zentral verwalten, an zu vereinheitlichen und zu automatisieren. Die RSA Archer eGRC-Suite Zielen und Vorgaben ausrichten und bietet hierfür eine einheitliche Technologieplattform. Die Hälfte der kommunizieren, um die Corporate Fortune 100-Unternehmen hat bereits eGRC-Lösungen von EMC im Governance zu fördern. Einsatz. Unternehmen setzten RSA Archer eGRC-Lösungen ein, um ihre Risiken zu erkennen, zu bewerten und zu verwalten, um GRC Prozesse zu Risikomanagement harmonisieren und zu automatisieren, Compliance zu gewährleisten Risiken im Unternehmen erkennen und Security Controls zu überwachen. Da diese Lösungen auf der und bewerten; Workflow- flexiblen RSA Archer eGRC-Plattform beruhen, können Anwender Unterstützung von resultierenden die Lösungen individuell anpassen, unterstützende Anwendungen Maßnahmen. entwickeln und externe Datenquellen integrieren, ohne dass ihnen dabei Programmieraufwand entsteht. Unsere Kunden nutzen die RSA Archer eGRC-Lösungen für folgende Compliance-Management Zwecke: Kontrollrahmenwerk dokumentieren, dessen Struktur • Verwaltung des Lebenszyklus von Unternehmensrichtlinien und deren Ausnahmen und Wirksamkeit prüfen und auf die Nichteinhaltung von Richtlinien und • Visualisierung und Kommunikation von Risiken auf allen Vorschriften reagieren. Unternehmensebenen • Möglichst effiziente Einhaltung von Richtlinien • Planen von Audits nach Risikokriterien und Geschäftsanforderungen Verwaltung von Lieferanten • Zentralisierung von Business-Continuity- und Disaster-Recovery- Lieferantendaten zentralisieren, Planung Geschäftsbeziehungen verwalten, • Management von Bedrohungen und Aufklärung von Cyberkriminalität Lieferantenrisiken bewerten und und Sicherheitsvorfällen die Einhaltung von Richtlinien und Kontrollen sicherstellen. 44444 Audit-Management Audit-Pläne, die beteiligten Mitarbeiter, Vor-Ort-Termine und Berichte zentral verwalten und die Informationen der verschiedenen Audit-, Risiko- und Compliance- Teams koordinieren. Business-Continuity-Management Die Prozesse für Business- Continuity- und Disaster-Recovery- Planung automatisieren und harmonisieren, um ein schnelles, effektives Krisenmanagement mit einer einheitlichen Lösung zu erzielen. Management von Bedrohungen Bedrohungen durch ein zentralisiertes Frühwarnsystem nachverfolgen, um potenzielle Angriffe auf das Unternehmen zu verhindern. Management von Vorfällen Vorfälle und Ethikverstöße erfassen, priorisieren und eskalieren, Bearbeitungen verfolgen und Lösungen analysieren. 55 Ausrichten von Richtlinien, Risiken und Compliance an Ti tle Will go here strategischen Zielen 666 6 Das RSA-Konzept Herausforderungen Die laufende Anpassung des Maßnahmen zur Risikominderung Kontrollrahmenwerks an geän- und zur Behebung von Schwach- derte Vorschriften gestaltet sich stellen lassen sich schlecht Ressourcen werden für das manuelle Dezentrale, statische Richtlinien, Durch erweiterte Geschäftsbe- schwierig priorisieren und verfolgen Erfassen und Zusammenstellen Kontrollen und Risiken werden ziehungen zu Dritten entstehen von Daten vergeudet, anstatt sie in verschiedenen Tools und neue Risiken und für die Analyse der Geschäftsaus- Systemen erfasst - Compliance-Anforderungen - - - wirkungen zu nutzen - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Gemeinsame Plattform für die - Risikobasierte Lieferantenauswahl, - Risiko- und Compliance-Berichte - - Verwaltung von Richtlinien, Verwalten von Geschäftsbezie- in Echtzeit, die mit den Sammlung von Richtlinien- Workflow-Unterstützung und Kontrollen, Risiken, Bewertun- hungen und Compliance- strategischen Zielen Inhalten, die aktuellen, globa- transparente Verfolgung von gen und Schwachstellen Überwachung abgestimmt sind len Vorschriften und Branchen- Maßnahmen standards zugeordnet sind Lösungen 77 Richtlinienverwaltung Richtlinien und Standards zentral verwalten, an Zielen und Vorgaben ausrichten und kommunizieren, um die Corporate Governance zu fördern. Richtlinienerstellung Nutzung bewährter Kontrollstandards Zuordnung zu maßgeblichen Quellen Dokumentation von Kontrollverfahren 8