Analysen/Review

Im Allgemeinen ist das Ziel einer Analyse,

  • dem Auftraggeber genügend Gewissheit zu geben, dass die für ihn relevanten Ziele erreicht werden;
  • zu identifizieren, wo signifikante Schwachstellen bestehen;
  • das mit einer derartigen Schwachstelle verknüpfte Risiko zu belegen;
  • den Auftraggeber bezüglich der zu implementierenden Massnahmen zu beraten.

Je nachdem, ob es sich dabei um eine eigenständige, in sich abgeschlossene Tätigkeit (z.B. eine Revision) oder um einen Teil eines übergeordneten Projektes (z.B. eine Analyse als Teil eines Beratungsmandates) handelt, ist das konkrete Vorgehen doch sehr unterschiedlich. Grundsätzlich aber orientiert sich Bitterli Consulting an den eher strengen Anforderungen, die gemäss nationalen und internationalen Standards (z.B. ISACA Standards und Guidelines) an einen Prüfer gestellt werden.

In den vergangenen Jahren wurden in eigener Regie oder zusammen mit Partnerfirmen folgende Arten von Analysen durchgeführt:

  • Durchführung von qualitativen und/oder quantitativen Risikoanalysen
  • Überprüfung der Vollständigkeit bestehender Risikoregister resp. Risikolandschaften
  • Analyse der Sicherheits-Managementprozesse gemäss ISO 27001
  • Sicherheits-Benchmarking z.B. für IT-Sicherheit nach ISO 27002
  • Prüfung der generellen IT-Kontrollen (z.B. im Auftrag des Abschlussprüfers)
  • Performance-Measurement für Sicherheit oder IT-Governance
  • Maturitätsassessment von IT Service Delivery und Service Support-Prozessen bei Outsourcing-Providern
  • Organisation/Koordination von Schwachstellenanalysen oder Penetrationsversuchen (Hacking durch Tiger Teams)
  • Prüfungen/Revisionen in komplexen IT-Umgebungen (Zugriffsschutz, Netzwerksicherheit, Betriebssystem-Sicherheit, RZ-Sicherheit, Notfallvorsorge, usw.)
  • Planung, Vorbereitung und Durchführung von IT-Security Compliance Reviews

 
Design & CMS by Eratec