ISMS mit Tools
Ein Informationssicherheitsmanagementsystem, kurz ISMS, aufzubauen, benötigt viel Zeit, Wissen und Erfahrung. Das ISMS umfasst standardisierte Verfahren, Richtlinien und vorgegebene Massnahmen, um Risiken zu minimieren und Unternehmenswerte zu schützen. Die Anforderungen aus ISO 27001 (und anderen Normen) können zwar mit Word und Excel erstellt werden. Doch gerade die Erarbeitung im Team oder für die Nachvollziehbarkeit ist dies eine echte Herausforderung. Zum Beispiel wird gerne für das Risiko Management Excel verwendet. Schon im zweiten oder dritten Jahr wird es schwierig, die Risiken über den Verlauf der Zeit nachzuverfolgen. Daher wird gerne auf Tools zurückgegriffen. Dieser Artikel zeigt zwei Möglichkeiten, die wir oft verwenden: Jira/Confluence und Intervalid ISMS.
Jira / Confluence
Confluence ist ein klassisches Wiki-System, ähnlich Wikipedia. Wer mit Word arbeiten kann, findet sich umgehend auch in Confluence zu recht. Der Funktionsumfang ist zwar eingeschränkt, doch mit diversen Plugins kann dieses Manko erweitert werden. Viele sind bereits integriert, andere können kostenpflichtig dazu gekauft werden.
Der Vorteil an dieser Online-Lösung ist unter anderem das Arbeiten im Team. Verschiedene Personen können an einer Seite arbeiten (auch gleichzeitig, wie zum Beispiel von SharePoint gewohnt), kommentieren, ergänzen usw.
Bei Word-Dokumenten, die in Ordner abgelegt werden, ist die Verbindung zwischen verschiedenen Dokumenten stark eingeschränkt. Bei Confluence hingegen können die Dokumente mit Links verknüpft werden. Wird Bezug auf eine andere Stelle genommen, wird der Link mit zwei Klicks ergänzt. So wird der Aufbau des ISMS interaktiv. Für die Anwender ist dies ein Zeitgewinn, müssen doch nicht weitere Dokumente gesucht und geöffnet werden.
Ein weiterer Vorteil ist die Nachvollziehbarkeit in einem Wiki-System. Automatisch wird jede Version gespeichert und kann mit der aktuellen Version verglichen werden. Wird ein Dokument überarbeitet und muss neu freigegeben werden, kann die freigebende Person alle Änderungen sehr einfach anschauen.
Jira ist vor allem in der Software-Entwicklung bekannt. Ein klassisches Ticket-System, das aber sehr offen ist. Ideal für die notwendigen Prozesse eines ISMS. Klassisch sind dies Aufgaben, Abweichungen, Verbesserungen, Kontrollen, KPI-Bewertungen, Risiken oder Information Security Incidents. Für jede Art, in Jira «Vorgangstyp» genannt, kann ein eigener Workflow (Arbeitsablauf) erstellt werden. Bei jedem Übergang von einem Prozess-Schritt zum anderen kann eine so genannte Bildschirmmaske zugewiesen werden. So werden immer nur die Felder angezeigt, die auch gerade benötigt werden.
Der folgende Ausschnitt zeigt die Bewertung eines KPIs. Die Bewertungskriterien wurden bei der Erfassung des KPIs definiert und werden zur Erinnerung angezeigt. Je nach eingegebenem Wert wird der Status des Tickets auf «Grün», «Orange» oder «Rot» gesetzt.
Mit Filtern können die Tickets nach belieben zusammengestellt werden. Zeige mir alle Tickets vom Vorgangstyp «Aufgabe», die mir zugeordnet sind und noch nicht erledigt wurden. Dies sieht so aus:
project = ISMS AND issuetype = Task AND status != Abgeschlossen AND assignee in (currentUser())
Erläuterung: Projekt ist ISMS, Vorgangstyp ist Aufgabe, Status ist nicht abgeschlossen und das Ticket gehört dem aktuellen eingeloggten Benutzer. Damit kann dieser Filter für alle Benutzenden genutzt werden.
Diese Filter können anschliessend für Dashboards benutzt werden. Grafisch kann dann eine Übersicht gezeigt werden. Das nachfolgende Bild zeigt die aktuell offenen Information Security Incidents.
Während Confluence sehr schnell eingerichtet ist, benötigt Jira sehr viel Wissen. Alle Felder, Arbeitsabläufe, Filter und Dashboards müssen von Hand erstellt werden. Der Vorteil ist sicherlich die Flexibilität, der Nachteil der grosse Aufwand.
Intervalid
Die österreichische Firma Intervalid hat das gleichnamige ISMS-Tool entwickelt. Das Tool ist eine All-In-One-Lösung, um das komplexe Thema Informationssicherheit einfach im Unternehmen umzusetzen. Enthalten sind unter anderem die Standardnormen ISO 27001, BSI IT-Grundschutz, VdS 10000, TISAX oder B3S. Ebenfalls sind bereits alle für die Zertifizierung notwendigen Dokumente integriert, die jedoch noch an das eigene Unternehmen angepasst werden müssen.
Ein grosser Vorteil dieses Tools ist die nahtlose Integration von Dokumenten, Werten (Assets), Risiken, Aufgaben und Sicherheitsvorfällen. Der klassische Ablauf umfasst die folgenden acht Schritte:
Erfassen und gruppieren Sie Informationswerte (Assets) in einem strukturierten Register. Zur rascheren Fertigstellung erhalten Sie eine Vorlage oder importieren die Daten. Definieren Sie zu jedem Asset einen Verantwortlichen (Owner).
Für die Ersterfassung von neuen Assets und um Änderungen bekannt zu geben, steht im Tool ein Workflow zur Verfügung. Die Assets können erfasst, in Abhängigkeit gebracht und klassifiziert werden. Gleichzeitig können die technischen und organisatorischen Massnahmen (TOMs) mit Vorlagen oder individuell nach eigenen Bedürfnissen erstellt werden. Das Register ist mehrsprachig und bietet anpassbare Auswahlmöglichkeiten.
In einem zweiten Schritt werden die Risiken erfasst und gemäss dem Schutzbedarf bewertet. Die bereits erfassten Assets werden mit den Risiken verknüpft. Die Benutzenden werden durch Mustervorlagen und Fragebögen schrittweise durch den Prozess geführt. Am Ende können Massnahmen zur Reduktion geplant und zur Umsetzung zugewiesen werden.
Wie in Jira stehen auch bei Intervalid ISMS Reports und Dashboards auf Knopfdruck zur Verfügung. Natürlich kann es auf die eigenen Bedürfnisse individuell konfiguriert werden.
Fazit
Mit einem Tool kann ein ISMS sehr effizient, zeitsparend und umfassend aufgebaut werden. Durch Vorlagen und Workflows werden die Anwender schrittweise durch den komplexen Prozess geführt. Am Ende steht ein aktuelles und hoffentlich gut gepflegtes ISMS zur Verfügung.
Hinweise
Jira und Confluence sind eingetragene Marken der Firma Atlassian.
Die goSecurity AG ist seit 1. Januar 2022 offizieller Schweizer Partner für das Intervalid ISMS.
Wir verfügen über grosses Wissen, beide Lösungen effizient und kostengünstig bei Ihnen umzusetzen. Weitere Informationen finden Sie hier.
Informationen zum Autor: Andreas Wisler
Im Jahre 2001 habe ich meinen Beruf zugunsten meines Hobbys aufgegeben. Seit dieser Zeit widme ich mich leidenschaftlich meiner Firma, die ich im Jahre 1999 mit zwei Studienkollegen gegründet hatte. Als Mehrheitsteilhaber, CEO, Verkaufsleiter und Senior Security Consultant ist mein Aufgabenbereich abwechslungsreich und spannend. Die Begleitung von kleinen bis mittelgrossen Firmen zur ISO 27001-Zertifizierung erfüllt mich ganz besonders und spornt mich immer wieder zu Höchstleistungen an. Zudem gebe ich mein umfassendes Security-Know-how und meine grosse Erfahrung als Dozent an der FHNW an (wissens-) durstige Studenten weiter. Für diverse Online- und Print-Medien schrieb ich schon unzählige Artikel zum Thema IT-Security. Des Weiteren bin ich Autor und Co-Autor von mehreren Büchern. Für Sie als Kunde, für meine Mitarbeiter und für meine Firma gebe ich jeden Tag 120%.