Reifegradmodelle und Implementierungsstrategien
TÜV Rheinland unterstützt Unternehmen in der individuellen GRC-Strategieberatung und in der Umsetzung individueller Branchenanforderungen, um die erforderlichen Prozesse und Methoden im Bereich Risikomanagement, Informationssicherheitsmanagement und IT-Compliance anhand etablierter Managementsysteme und Best Practice Frameworks zu gestalten. Auch Hersteller-Best-Practices (wie z.B. das RSA Archer Use Case Reifegradmodell) können Verwendung finden, um im Rahmen eines Prototyping-Verfahrens mit dem Kunden eine geeignete Vorgehensweise für die GRC-Implementierung zu entwickeln. Anhand vordefinierter Use Cases kann das Unternehmen seine wichtigsten Aufgaben, z.B. das Thema IT-Risiko-Management, priorisieren. Allen Szenarien liegt ein mehrstufiges Reifegradmodell zugrunde. Was die einzelnen Reifegrade in puncto Prozesse und Fokus auszeichnet, ist detailliert beschrieben – unter Umständen eine Hilfestellung für die eigene Standortbestimmung und die Planung der zu bewältigenden Aufgaben auf dem Weg zur nächsten Stufe. Je nach Anbieter enthalten die jeweiligen GRC-Systeme bereits umfassenden Content, wie etwa die Anforderungen der ISO27001 oder Standards wie Cobit. Sind gleich mehrere Managementsysteme zu implementieren, die vergleichbare Anforderungen haben – z.B. den Einsatz starker Passwörter – lassen sich so gleich mehrere Anforderungen mit gewissermaßen einem Klick erfüllen und zentral auswerten.
Partner und Dienstleister
Da die Basisinstallation und die Implementierung des Tools entsprechend der Kundenanforderungen immer häufiger nicht durch den Hersteller selbst, sondern durch Implementierungspartner erfolgt, sollte die Beurteilung der Partnerstrategie und die potentiell in Frage kommenden Dienstleister unbedingt im Software-Auswahlprozess berücksichtigt werden. Eine etablierte Partnerstrategie mit entsprechend formalisierten Zertifizierungsgraden und Kennzahlen gibt Auskunft darüber, ob der Hersteller in der Lage ist, Partner für das eigene Produkt langfristig zu binden sowie das teils sehr spezifische Wissen über das Tool erfolgreich auf Dritte zu übertragen, z.B. durch existierende Wissens-Portale, eLearning-Angebote oder Communities. Da sich der Partnerstatus häufig an Projektumsetzungsvolumen und erfolgreich umgesetzten Projekten (=Kundenzufriedenheit) misst, kann dies ebenfalls ein geeigneter Indikator für die Wahl des richtigen Implementierungspartners sein. Im dritten und letzten Teil dieser Artikelserie, der in der nächsten Ausgabe des SPS-MAGAZINs erscheint, geht es darum, den richtigen externen Partner zu finden.
