Vorteile der Softwareunterstützung

Relevanz und Vorteile der Softwareunterstützung in der Informationssicherheit

Jede Organisation, unabhängig der Branche, Rechtsform oder Größe, ist heute und in Zukunft auf eine angemessene Informationssicherheit angewiesen. Dies liegt daran, dass nahezu kein Geschäftsprozess ohne IT-Unterstützung effektiv und effizient ausgeführt werden kann und Daten und Informationen von immenser Wichtigkeit für die einzelnen Organisationen sind. Angriffe auf die Informationssicherheit stellen daher eine nicht zu verachtende Bedrohungslage dar, die von existentiellen wirtschaftlichen Verlusten bis hin zu personenbezogenen Schäden führen kann. Daher ist ein angemessener Schutz der Informationen bzw. ein angemessenes Niveau der Informationssicherheit inhärentes Interesse jeder Organisation und zudem Inhalt diverser rechtlicher und regulatorischer Anforderungen.

Stellt sich die Frage, wie setzt man Informationssicherheit angemessen um? Die international anerkannte Norm für Informationssicherheits-Managementsysteme (ISMS) ISO/IEC 27001 bietet Organisationen einen Rahmen, die Informationssicherheit zu planen, umzusetzen, zu überwachen und kontinuierlich zu verbessern. Durch die optionale Zertifizierung kann die Einhaltung des Standards bestätigt und damit die Wettbewerbsfähigkeit gesteigert sowie das Unternehmensimage in der Öffentlichkeit und bei Geschäftspartnern gestärkt werden.

Doch wie lässt sich eine ganzheitliche und umfassende Informationssicherheit im Unternehmen garantieren bzw. wie lässt sich der Zertifizierungsprozess unterstützen und somit leichter bewältigen? Die Antwort ist ein ISMS, das mit Hilfe einer integrativen Software implementiert wird und damit einen nachhaltigen Mehrwert bei gleichzeitiger Kostenreduktion für das Unternehmen generiert.

Die 7 Schritte des systemgestützten ISMS

Zu Beginn ist es entscheidend die Unterstützung des Managements sicherzustellen und im Anschluss den Anwendungsbereich des ISMS genau zu definieren. Als dritter Schritt sollte überprüft werden, welche Controls aus dem Anhang A der ISO 27001 umgesetzt werden müssen bzw. welche Controls ausgeschlossen werden können. Das Ergebnis aus dem dritten Schritt ist das Statement of Applicability. Anschließend sollten alle Assets und Prozesse des Unternehmens inventarisiert werden, damit das Unternehmen weiß, welche Informationswerte geschützt werden müssen. Erst danach können die Informationssicherheitsrisiken effektive gemanagt werden. Unter dem sechsten Schritt ISMS-Betrieb verbergen sich Teilbereiche wie Audits, Indikatoren und Sicherheitsvorfälle. Die nachfolgende Abbildung zeigt Ihnen die 7 Schritte des systemgestützten ISMS.

Schritt 1 und 2: Sicherstellung der Management Unterstützung und Definition des ISMS Anwendungsbereichs

Zu Beginn gilt es, durch Initiative der Geschäftsführung den Stein ins Rollen zu bringen. Hierbei ist es nicht von Bedeutung, ob die Einführung eines ISMS durch Gesetze oder Kunden vorgeschrieben wird oder auf internen Vorschlägen beruht – der Sicherheitsprozess muss von der Geschäftsführung angestoßen, genehmigt und auch (kontinuierlich) vorgelebt werden. Außerdem muss der Geltungsbereich des ISMS festgelegt werden. Mithilfe einer Informationssicherheitsleitlinie legt das Management fest, mit welcher Strategie das angestrebte Sicherheitsniveau im Geltungsbereich erreicht werden soll und definiert die Organisation des Sicherheitsprozesses.

Schritt 3: Statement of Applicability

Um die Erklärung zur Anwendbarkeit (=Statement of Applicability, SoA) nach ISO 27001 auszufüllen, bietet sich eine Prüfung in ibi systems iris an. Hier ist die Prüfvorlage schon vorhanden und muss nur entsprechend befüllt werden. Somit ist es ein Leichtes, Controls der ISO 27002 (bzw. Anhang A der ISO 27001) auszuschließen und den Ausschlussgrund zu dokumentieren oder auch anwendbare Controls näher zu beschreiben.

Schritt 4: Inventarisierung der Assets / Prozesse

Sind der Scope und die anwendbaren Controls definiert, können die Geschäftsprozesse der Organisation inklusive Verantwortlichen sowie die verarbeiteten Informationen ermittelt werden – sei es innerhalb oder außerhalb von IT-Systemen. In einem ersten Schritt ist es auch sinnvoll, sich schon über den Schutzbedarf dieser Informationen Gedanken zu machen: Gibt es also Informationen, die bezüglich der Vertraulichkeit, Integrität oder Verfügbarkeit von besonderer Wichtigkeit sind? Sie können softwaregestützt den Schutzbedarf erfassen, die Objekte modellieren und Angaben zur Business Impact Analyse und Business Continuity Management definieren.

Schritt 5: Management der Informationssicherheitsrisiken

Die ISO 27001 fordert u. a. Maßnahmen zum Umgang mit Risiken und deren regelmäßige Beurteilung und Behandlung festzulegen. Die geforderten Punkte aus der ISO 27001 können mithilfe der Software ibi systems iris umgesetzt werden. Nach erfolgter Risikoerfassung und Risikobewertung können Sie im nächsten Schritt Maßnahmen definieren.

Schritt 6: ISMS-Betrieb

Mithilfe der Software ibi systems iris lässt sich Ihr ISMS effektiv betreiben. Sie können u. a. Audit / Prüfungen durchführen, Indikatoren bzw. Kennzahlen definieren und tracken und Sicherheitsvorfälle dokumentieren. Audit bzw. Prüfungen werden zuerst geplant, durchgeführt und anschließend können Berichte erzeugt werden. Des Weiteren können Sie Kennzahlen definieren und diese grafisch aufbereitet beobachten. Sicherheitsvorfälle können ebenfalls in ibi systems iris softwaregestützt dokumentiert und mit Risiken verknüpft werden.

Vorteile des Einsatzes von ibi systems iris

  • Direkte Hinterlegung von Dokumenten und Erstellung von Feststellungen bzw. Schwachstellen
  • Ständig aktueller und verfügbarer Nachweis im ISMS Betrieb und bei der Zertifizierung (SoA)
  • Zuständigkeiten für Assets und Prozesse sind klar definiert
  • Automatisierte Handlungsempfehlungen je Kategorie (Gefährdungen und Maßnahmen)
  • Modellierung inkl. (vererbten) Schutzbedarf
  • Erfassung, Bewertung und Behandlung der Risiken nach definiertem Risikoprozess
  • Regelmäßige oder Ad-hoc-Reports über aktuelle Risikolage abrufbar
  • Aktuelle Prüfergebnisse, Kennzahlen und Informationen zu Vorfällen etc.
  • Reportfunktion für Prüfungen bzw. Audits

Zurück zur Übersicht

____________________

Leitfaden – Systemunterstützes ISMS nach ISO 27001