ISMS-Tools in der Praxis (2) : Unterstützung des ISMS-Betriebs durch dedizierte Tools
Im Rahmen des Aufbaus eines ISMS stellt sich häufig die Frage, wo und womit man die dabei entstehenden und benötigten Informationen dokumentiert und pflegt. ISMS-Tools konzentrieren sich primär darauf, die Anforderungen eines oder mehrerer Standards in ein Datenmodell abzubilden. Die eigentlichen Betriebsaufgaben eines ISMS und ihre Unterstützung liegen häufig nicht im Fokus der Werkzeuge. Dieser Artikel beleuchtet die durch ein ISMS-Tool zu unterstützenden Aufgaben und die dafür benötigte Funktionalität, um Auswahl, Beschaffung oder Entwicklung solcher Tools zu unterstützen.
Von Knut Haufe, Berlin
Aufbauend auf den Stolpersteinen und Erfolgsfaktoren sowie dem Prozessreferenzmodell zum Betrieb eines ISMS (grundschutzkompatibel) auf ISO/IEC TS 27022:2021 wird im Folgenden prozessweise beschrieben, welche Funktionen ein ISMS-Tool zur Unterstützung sowohl von ISO/IEC 27001 als auch dem BSI IT-Grundschutz umfassen sollte. Diese Übersicht lässt sich sowohl als Checkliste für die eigene Auswahl eines passenden Erfolgsfaktoren sowie dem Prozessreferenzmodell zum Betrieb eines ISMS (grundschutzkompatibel) auf ISO/IEC TS 27022:2021 wird im Folgenden prozessweise beschrieben, welche Funktionen ein ISMS-Tool zur Unterstützung sowohl von ISO/IEC 27001 als auch dem BSI IT-Grundschutz umfassen sollte. Diese Übersicht lässt sich sowohl als Checkliste für die eigene Auswahl eines passenden ISMS-Tools als auch für Vergleichsanalysen aktueller ISMS-Tools verwenden.
Hinsichtlich der in Tabelle 1 übersichtsweise dargestellten Prozesse wird unterschieden zwischen:
- Tool-spezifische, administrative Prozesse: Hierbei handelt es sich um Prozesse zur Administration des ISMS-Tools oder dessen technischer Schnittstellen zu anderen bestehenden Tools.
- Methodenabhängige Basis-Prozesse: Hierbei handelt es sich um Prozesse oder Elemente einer standardspezifischen Methodik – wie dem BSI-Standard 200-2 und dessen Entsprechungen in der ISO/IEC 27001.
- ISMS-Betriebsprozesse: basierend auf ISO/IEC 27001, BSI IT-Grundschutz und dem ISMS-Prozess- Referenzmodell der ISO/IEC TS 27022
Im Folgenden wird prozessweise dargestellt, wie und mit welchen Funktionen ein ISMS-Tool die einzelnen Prozesse unterstützen sollte.
Tabelle 1: ISMS-Tool-Prozesse im Überblick
# | Prozess-Typ | Prozess |
---|---|---|
1 | Tool-spezifischer, administrativer Prozess | Rollen- und Berechtigungsmanagement |
2 | Tool-spezifischer, administrativer Prozess | Stammdatenmanagement (Grundschutz-Kataloge, Controls) |
3 | Methodenabhängiger Basis-Prozess | Asset-/Strukturanalyse |
4 | Methodenabhängiger Basis-Prozess | Anforderungsmanagement/Schutzbedarfsfeststellung |
5 | Methodenabhängiger Basis-Prozess | Modellierung/SoA |
6 | Methodenabhängiger Basis-Prozess | Grundschutz-Check/Gap-Analyse |
7 | Methodenabhängiger Basis-Prozess | Risikoanalysen |
8 | ISMS-Betriebsprozess | Stakeholder- und Anforderungsmanagement |
9 | ISMS-Betriebsprozess | Initiierung und Nachverfolgung Maßnahmenumsetzung |
10 | ISMS-Betriebsprozess | Incident-Management |
11 | ISMS-Betriebsprozess | Interne Audits |
12 | ISMS-Betriebsprozess | Steuerung von Vorgaben und Vorgabedokumenten |
13 | ISMS-Betriebsprozess | Verträge und Dienstleistersteuerung |
14 | ISMS-Betriebsprozess | Sensibilisierung und Weiterbildung |
15 | ISMS-Betriebsprozess | Reporting und Kommunikation |
16 | ISMS-Betriebsprozess | Performancemanagement / Kennzahlen-Dashboard |
17 | ISMS-Betriebsprozess | Ressourcensteuerung |
18 | ISMS-Betriebsprozess | Kontinuierliche Verbesserung |
19 | ISMS-Betriebsprozess | Änderungsmanagement |
20 | ISMS-Betriebsprozess | Steuerung von Aufzeichnungen und Nachweisen |
Rollen- und Berechtigungsmanagement
Ziele des Prozesses sind die Gewährleistung des Need-to-know-Prinzips der verarbeiteten Daten sowie der Arbeitsfähigkeit im und mit dem ISMS-Tool. Dies kann durch die Unterstützung der folgenden Tätigkeiten durch das ISMS-Tool erreicht werden:
- Anlegen, Bearbeiten und Sperren von Nutzern sowie Rechterollen: Die nutzende Organisation ist eigenständig mittels ISMS-Tool Funktionen in der Lage, Berechtigungsrollen und Nutzer anzulegen, zu modifizieren und zu sperren.
- Berechtigungssteuerung: Die nutzende Organisation ist eigenständig mittels ISMS-Tool-Funktionen in der Lage, Berechtigungen wie Erstellen, Lesen, Bearbeiten, Löschen auf Ebene von Informationsverbünden, einzelnen Objekten oder für einzelne Funktionen/Workflows/Prozesse im ISMS-Tool festzulegen und zu Berechtigungsrollen zusammenzufassen.
- Integration in Bestandssysteme: Zum Berechtigungsmanagement können in den von der Organisation genutzten Verzeichnisdienst (bspw. Active Directory, AD) integrierte Nutzer (Single-Signon) verwendet werden. Rollenbasierte Workflows und Dashboards: Workflows und Dashboards beziehungsweise Dashboard-Elemente wie „offene Aufgaben“ werden rollenbasiert generiert und angezeigt.
- Protokollierung: Alle Zugriffe auf Datenbankobjekte (Lesen, Erstellen, Ändern, Löschen) werden inklusive Zeitstempel und Nutzer protokolliert – An- und Abmeldungen von Nutzern werden protokolliert.
Die Anforderungen an den Prozess basieren allem voran auf dem BSI-IT-Grundschutz-Kompendium, besonders auf den Anforderungen A3 und A12 des Bausteins ORP.4„Identitäts- und Berechtigungsmanagement“.
Stammdatenmanagement
Ziel dieses Prozesses ist die Abbildung multipler Versionen und Kataloge von Stammdaten zu Anforderungen, Controls und Risiken im ISMS-Tool. Dies kann durch die Unterstützung der folgenden Tätigkeiten durch das ISMS-Tool erreicht werden:
Import von Katalogen zu Anforderungen, Controls und Risiken
Das ISMS-Tool ermöglicht den strukturierten Import von Katalogen zu Anforderungen, Controls und Risiken – besonders zum IT-Grundschutzkompendium und dem Annex A der ISO/IEC 27001. Es ermöglicht die gleichzeitige Nutzung unterschiedlicher Versionen dieser Kataloge auf Geltungsbereich-, Verbund- und Asset-Ebene.
Änderungsmanagement
Das ISMS-Tool unterstützt den Nutzer mit einem Transitions-Workflow zur Bearbeitung der Sicherheitskonzepte, getriggert durch Änderungen an den genannten Katalogen – Änderungen triggern weitere Workflows und Prozesse im ISMS-Tool (inkl. konfigurierbarer Termine). Bereits in Vorgänger-Versionen der Kataloge enthaltene Elemente werden beibehalten – lediglich das Delta zur neuen Version ist Basis des Transition-Workflows. Beispiele anhand von Anforderungen lauten (andere Kataloge analog):
- Anforderung ist in neuem Katalog zusätzlich enthalten: Das ISMS-Tool triggert in Form von rollenbasierten To-do-Listen die Bearbeitungsprozesse im Rahmen des Transition-Workflows – inhaltliche/sachlogische Abhängigkeiten bei der Bearbeitungsreihenfolge werden dabei berücksichtigt. Termine für Elemente der To-do-Listen sind regelbasiert und individuell steuerbar.
- Anforderung ist weggefallen: Das ISMS-Tool unterstützt durch einen Auswahldialog „beibehalten und in eigene Anforderung transformieren“ oder löschen.
- Anforderung ist in altem und neuem Katalog identisch: keine Aktion im Transition-Workflow
- Anforderung ist in altem und neuem Katalog enthalten, aber die Formulierung wurde geändert: Das ISMS-Tool triggert Bearbeitungsprozesse im Rahmen des Transition-Workflows.
Die Anforderungen an diesen Prozess basieren insbesondere auf dem BSI IT-Grundschutz-Kompendium, ISO/IEC 27001 Annex A und gegebenenfalls weiteren Controls.
Asset-/Strukturanalyse
Ziel dieses Prozesses ist es, eine standardkonforme, richtige und vollständige Dokumentation der Assets als Grundlage für die weiteren ISMS-Prozesse zur Verfügung zu stellen. Dies kann durch die Unterstützung der folgenden Tätigkeiten durch das ISMS-Tool erreicht werden:
Erfassung von Assets, Scopes, Verbünden
Im ISMS-Tool können Assets mit den Mindestinhalten und Verknüpfungen gemäß BSI IT-Strukturanalyse und „Inventory of Assets“ gemäß ISO 27001 Annex A erfasst und bearbeitet werden. Mindestinhalte und Verknüpfungen sind entsprechend vorkonfiguriert durch Pflichtfelder und optionale Felder.
Das ISMS-Tool ermöglicht und unterstützt die Zuordnung von Assets zu einem Scope/Verbund inklusive der Bildung von Teilscopes/ verbünden, der Schachtelung von Scopes/Verbünden und Zuordnung von einem Asset zu mehreren Scopes/Verbünden. Attribute eines Assets können je Zuordnung zu einem Scope/Verbund variieren (z. B. kann der Schutzbedarf eines Asset A in Verbund X hoch sein, aber in Verbund Y normal).
Das ISMS-Tool nutzt ein integriertes Datenmodell: Beispielsweise wird ein Server als ein Asset angelegt (Datenbankobjekt) – dieses ist dann durch Verbund-Zuordnung in der Strukturanalyse und automatisch als Asset in der ISO-Sicht sichtbar. Ist ein Server in mehreren Verbünden/Scopes enthalten, bleibt er genau ein Datenbankobjekt.
Das ISMS-Tool unterstützt bei der Dokumentation der Abgrenzung von Scopes und Verbünden (eigenes Datenbankobjekt inkl. strukturierter Abgrenzungsbeschreibung – bspw. örtlich/räumlich, prozessorientiert, anhand von Organisationseinheiten, Schnittstellen etc.)
Import und Schnittstellen
Das ISMS-Tool unterstützt durch eine Funktion zum einmaligen sowie regelmäßigen Import über automatisierte Schnittstellen. Die nutzende Organisation ist der Lage, über standardisierte Schnittstellen eigene Imports (einmalig bzw. automatisch – z. B. Excel Tabellen) zu erstellen und auszuführen sowie Bestandssysteme anzubinden. Unvollständige Daten zu Assets (Imports/Schnittstellen) werden workflowgeführt erhoben.
Customizing
Das ISMS-Tool ermöglicht es der nutzenden Organisation, eigenständig Attribute von Assets und Verknüpfungen von Assets oder deren Eigenschaften anzulegen, zu löschen und zu modifizieren.
Gruppierung
Das ISMS-Tool unterstützt in der Strukturanalyse mit einem Workflow bei der Gruppierung von Elementen zu Gruppen inkl. Änderungsmanagement (z. B. assistentengeführtes Hinzufügen/Löschen von Elementen zu einer Gruppe auf Basis eines Imports oder getriggert durch eine manuelle Erfassung eines gruppierungsfähigen Elements).
Die Anforderungen an den Prozess basieren allem voran auf BSI 200-2 Kapitel 3.3.4 und 8.1 sowie ISO 27001:2022 Anhang A, Table A.1, Nr. 5.9. in Verbindung mit Kapitel 6.1.3 c.
Anforderungsmanagement/Schutzbedarfsfeststellung
Ziel dieses Prozesses ist es, für jedes Asset einen Schutzbedarf jeweils hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität zu dokumentieren. Dies kann durch die Unterstützung der folgenden Tätigkeiten durch das ISMS-Tool erreicht werden:
- Anpassung der Schutzbedarfskategorien: Schutzbedarfskategorien gemäß Grundschutz sind vordefiniert und können angepasst werden.
- Planung und Durchführung von Schutzbedarfsinterviews: Das ISMS-Tool unterstützt bei der Planung von Schutzbedarfsinterviews (bspw. durch Versand von Teams-Einladungen an Asset-Verantwortliche) und stellt ein Dashboard mit Terminen und noch nicht terminierten Schutzbedarfsfeststellungen zur Verfügung. Asset-Verantwortliche können den Schutzbedarf und Begründungen dokumentieren. Dabei gibt es einen Audit-Trail: Für jedes Feld ist nachvollziehbar, wer wann welchen Eintrag oder welche Änderung vorgenommen hat. Das ISMS-Tool zeigt dem Informations-Sicherheits-Beauftragten (ISB) alle neuen, geänderten Schutzbedarfe zur Qualitätskontrolle in einem Dashboard an.
- Vererbung: Das ISMS-Tool unterstützt gemäß Verknüpfungen der Assets durch einen Schutzbedarfsvererbungsvorschlag (Maximumprinzip) gemäß vorkonfiguriertem und konfigurierbarem Vererbungs-Prozess. Abweichungen davon können dokumentiert werden (inkl. Begründung).
- Änderungen am Schutzbedarf: Bei Änderung eines Schutzbedarfs wird automatisch ein neuer Vererbungslauf durchgeführt – inklusive manueller Kontrolle, Bestätigung oder Änderung durch den ISB. Gegebenenfalls werden aus den Änderungen automatisch weitere Schritte im ISMS-Tool getriggert (bspw. Risikoanalyse).
- Schutzbedarfs-Reviews: Das ISMS-Tool unterstützt bei der Planung regelmäßiger Reviews des Schutzbedarfs – beispielsweise durch einen automatischen Workflow in konfigurierbaren Intervallen.
- Anforderungsmanagement: Das ISMS-Tool unterstützt bei der Erfassung und Steuerung von Anforderungen (Was, Quelle/Stakeholder, Eigentümer, Zuständigkeiten, Intern/Extern, Ansatz zur Erfüllung etc.), deren Konsolidierung und Priorisierung (ggf. daraus resultierende Risiken werden als solche erfasst und gesteuert) sowie beim Mapping auf Assets.
Die Anforderungen an den Prozess basieren besonders auf BSI 200-2 Kapitel 8.2, dem BSI-Kompendium ISMS.1.A2, A6, A9–11 sowie ISO 27001:2022 Kapitel 4.2, 5.1.b, 6.2.c und 8.1.
Modellierung/Statement of Applicability
Ziel dieses Prozesses ist es, alle notwendigen und angemessenen Maßnahmen zur Risikobehandlung aus den genutzten Katalogen abzuleiten (Grundschutz) oder gegen diese zu prüfen (ISO-Sicht) und angemessen zu dokumentieren. Dies lässt sich durch die Unterstützung der folgenden Tätigkeiten durch das ISMS-Tool erreichen:
- Anwendung der Modellierungsregeln: Das ISMS-Tool unterstützt durch einen Modellierungsautomatismus (Vorschlag, der bestätigt werden muss) anhand der Modellierungsregeln (Kapitel 1.3 BSI-Kompendium ist einblendbar) sowie der in der Strukturanalyse dokumentierten Assets und Assetgruppen (Zielobjekte). Bausteine können zusätzlich modelliert werden, automatisch modellierte Bausteine können geändert oder aus der Modellierung gelöscht werden; Baustein-Zielobjekte können Ansprechpartnern zugeordnet werden. Eine Begründung für die Modellierung ist dokumentierbar und wird anhand der Modellierungsregel durch das ISMS-Tool vorbefüllt.
- Modellierung von Outsourcing: Das ISMS-Tool unterstützt durch einen Workflow die Anwendung der Modellierungsregeln gemäß dem BSI-Dokument „ITGrundschutz- Methodik im Kontext von Outsourcing“
- Erstellung des „Statement of Applicability“ (SoA): Das ISMS-Tool unterstützt durch eine automatische Erstellung des SoA auf Basis der Ergebnisse der Risikoanalysen und der Modellierung. Das ISMS-Tool ermöglicht die Modifikation und Ergänzung des automatisch erstellten SoA – Gründe für Inklusion und Exklusion lassen sich dokumentieren.
Die Anforderungen an den Prozess basieren insbesondere auf BSI 200-2 Kapitel 8.3, ISO 27001:2022 Kapitel 6.1.3. d sowie der BSI IT-Grundschutz-Methodik im Kontext von Outsourcing [2].
Grundschutz-Check / Gap-Analyse
Ziel dieses Prozesses ist es, für alle abgeleiteten Maßnahmen (aus Modellierung und Risikoanalysen) eine Gap-Analyse oder einen Grundschutz-Check durchzuführen und zu dokumentieren. Ein ISMS-Tool kann dabei durch die Unterstützung der folgenden Tätigkeiten helfen:
Planung Grundschutz-Check/Gap-Analyse
Das ISMS-Tool unterstützt mit einem Workflow/Dashboard bei der Planung der Grundschutzchecks und liefert hierzu etwa Übersichten pro Ansprechpartner, Möglichkeiten zur Terminierung und Wiedervorlage, eine Dokumentation, wer wann die letzte Änderung vorgenommen hat, et cetera.
Ansprechpartner werden durch das ISMS-Tool oder einen Assistenten im ISMS-Tool generiert: Hierzu werden im ISMS-Tool die in den Bausteinen hinterlegten verantwortlichen Rollen auf die spezifischen Rollen der nutzenden Organisation gemappt (Funktion/Workflow im ISMS-Tool) und darüber der Ansprechpartner der nutzenden Organisation für eine Anforderung oder einen Baustein generiert. Dieser kann modifiziert und auch durch die Nutzer auf Anforderungsebene modifiziert werden. Für Grundschutz-Checks lässt sich eine Referenzierung nutzen (analog zum BSI GSTOOL 3.1).
Dokumentation Grundschutz-Check/Gap-Analyse
Zu jeder Maßnahme lassen sich standardkonform der Umsetzungsstatus (inkl. Status offen) oder die Entbehrlichkeit (bei Basisanforderungen übersteuerbar) sowie Interviewpartner, Interviewer, Datum des Interviews et cetera dokumentieren.
Bei der Dokumentation werden Regelungen gemäß BSI-Standards erzwungen: Beispielsweise keine Entbehrlichkeit bei Basis Anforderungen möglich oder bei Entbehrlichkeit wird die Begründung zum Pflichtfeld. Hinsichtlich eines Umsetzungsnachweises kann weiterhin verwiesen werden auf: Links, konkrete Vorgaben/Dokumente (bes. gespeist aus dem Prozess „Steuerung von Vorgaben und Vorgabedokumenten“). Zudem lässt sich dokumentieren, ob Angaben verifiziert wurden (wer, wann, mit welchem Ergebnis). Überdies kann ein Plan-Datum zur nächsten Verifikation erfasst werden, welches entsprechend Dashboards oder To-do-Listen der passenden Rollen befüllt. Anforderungen können in Teilanforderungen zerlegt werden (befrag- und auswertbar – mit aggregierendem Status zur Anforderung).
Umsetzungsstatus triggert weitere Schritte
Je nach Umsetzungsstatus einer Anforderung oder Maßnahme werden weitere Schritte/Workflows im ISMS-Tool getriggert:
- nein / teilweise: Die Angabe „teilweise“ triggert ein Pflichtfeld zur Angabe, welche Teile noch nicht realisiert sind. Beide Eingaben triggern ein Pflichtfeld, bis wann und durch wen etwas noch zu realisieren ist, sowie einen automatischen Eintrag für temporäres Risiko – inklusive Risikobehandlungsentscheidung bis zur Umsetzung (i. d. R. „Akzeptanz“).
- entbehrlich: erfordert eine Pflichtbegründung pro Gefährdung (automatisch erstellt über hinterlegte Kreuzreferenztabellen), dass diese durch (welche?) Alternativmaßnahmen angemessen minimiert wurden. Bei Basis-Anforderungen darf keine Risikoakzeptanz möglich sein.
Die Anforderungen an den Prozess basieren vor allem auf BSI 200-2 Kapitel 8.4.
Risikoanalysen
Ziel dieses Prozesses ist es, alle relevanten Risiken, welche die Erreichung des angestrebten Niveaus der Informationssicherheit bedrohen, zu identifizieren, zu analysieren und zu bewerten. Dies lässt sich durch die Unterstützung der folgenden Tätigkeiten durch das ISMS-Tool erreichen:
- Identifikation der zu analysierenden Assets: Das ISMS-Tool unterstützt durch automatische Auswahl der Zielobjekte, für die Risikoanalysen gemäß BSI 200-2 infrage kommen. Die Auswahl lässt sich modifizieren, eine Begründung ist dokumentierbar.
- Identifikation und Bewertung von Risiken: Das ISMS-Tool unterstützt durch eine automatische Vorbelegung von Risikoanalyse-Inhalten anhand der modellierten Bausteine sowie Kreuzreferenztabellen Schutzbedarf und Grundschutz-Check. Risikoanalysen können Standardkonform inklusive aller notwendigen Felder dokumentiert werden. Für jedes Risiko lassen sich Eigentümer dokumentieren (Verbindung zu Rollen und Berechtigungsmanagement im ISMS-Tool): Nur diese dürfen über eine Risikobehandlung entscheiden und siese Entscheidungen sind dokumentierbar (wer, wann, Begründung). Eine temporäre Risikoakzeptanz ist möglich und triggert nach Zeitablauf automatisch einen Review-Workflow.
- Risiko-Behandlung: Risikobehandlungsentscheidungen sind gekoppelt an relevante ISMS-Tool-Prozesse. Beispielsweise könnte eine Risikominderung die Erfassung einer Maßnahme, Beschreibung ihrer Zielwirkung, einen Review nach Zeitraum x hinsichtlich der Wirksamkeit triggern – eine Risikominderung könnte auch eine Bewertung des Restrisikos nach Minderung und Weiterbehandlung (i. d. R. Akzeptanz) erzwingen.
- Dashboards: Das ISMS-Tool unterstützt die Risikoeigentümer durch To-do-Listen zu Risikoentscheidungen.
- Auswertung: Das ISMS-Tool ermöglicht eine grafische Aufbereitung der Risikoanalysen in Form einer Risikolandkarte inklusive Risikoakzeptanzlinie und unterstützt bei der Erstellung einer Risikomeldung an das übergeordnete Risikomanagement beziehungsweise bei Management-Reviews.
Die Anforderungen an den Prozess basieren insbesondere auf BSI 200-2 Kapitel 8.5, auf BSI 200-3 sowie ISO 27001:2022 Kapitel 6.1.2 und 6.1.3.
Stakeholder- und Anforderungsmanagement
Ziel dieses Prozesses ist es, ein aktuelles, möglichst vollständiges und korrektes Verständnis darüber zu besitzen, welche Anforderungen und Erwartungen die Stakeholder des ISMS an das ISMS und das angestrebte Sicherheitsniveau haben. Alle relevanten gesetzlichen, vertraglichen und sonstigen Anforderungen müssen dazu identifiziert und eingehalten werden. Ein ISMS-Tool kann hierzu bei folgenden Tätigkeiten unterstützen:
- Erfassung/Dokumentation von Anforderungen und Rahmenbedingungen (Achtung: hier sind nicht die Anforderungen gem. BSI-Kompendium gemeint!): Das ISMS-Tool unterstützt durch eine strukturierte Dokumentation der Stakeholder (Datenbank-Entitäten) und ihrer Anforderungen. Anforderungen können attributiert werden (z. B. hinsichtlich Eigentümer extern/intern, Typ gesetzlich/vertraglich, nach Geschäftsziel, Priorität, Auswirkungen bei Nichterfüllung oder Erfüllung durch zu dokumentierende Maßnahmen), Anforderungen können gruppiert (bei gleichen/ähnlichen Anforderungen) und im Sinne eines Konflikts verknüpft werden.
- Generierung von Risiken aus Anforderungen: Anforderungen, deren Eigentümer, Auswirkungen bei Nichterfüllung et cetera werden genutzt, um automatisch Risiken zu generieren.
- Berichte: Das ISMS-Tool unterstützt durch automatische Erstellung eines Berichts im internem oder externem Kontext.
- Bewertung und Zuweisung: Das ISMS-Tool unterstützt durch eine Möglichkeit zur Bewertung und Zuweisung der Zuständigkeit für Anforderungen. Zielkonflikte von Anforderungen lassen sich im ISMS-Tool durch Priorisierung lösen (verbunden mit dem Entstehen eines Risikos durch die Priorisierung).
- Ansatz zur Erfüllung der Anforderungen: Das ISMS-Tool unterstützt durch eine Möglichkeit zur Bewertung und Zuweisung der Zuständigkeit für Anforderungen. Zielkonflikte von Anforderungen können im ISMS-Tool durch Priorisierung gelöst werden (verbunden mit dem Entstehen eines Risikos durch die Priorisierung).
Die Anforderungen an den Prozess basieren allem voran auf BSI 200-2 Kapitel 3.2.1, auf BSI 200-1 Kapitel 3.2.1 und 7.1 sowie ISO 27001:2022 Kapitel 4.2, 5.1.b, 6.2.c und 8.1.
Initiierung/Nachverfolgung der Maßnahmenumsetzung
Dieser Prozess dient der Initiierung und Nachverfolgung von Maßnahmen außerhalb des ISMS-Betriebs als Bestandteil des Risikobehandlungsplans nebst notwendigen Änderungen. Ziel des Prozesses ist die Gewährleistung, den Risikobehandlungsplan und alle Änderungen wie geplant umzusetzen. Dies kann durch die Unterstützung der folgenden Tätigkeiten durch das ISMS-Tool erreicht werden:
- Planung: Das ISMS-Tool unterstützt die Maßnahmenplanung durch folgende Funktionen oder Attributierung von Maßnahmen: Maßnahmen sind zu Maßnahmenbündeln oder Projekten konsolidierbar, die Umsetzungsreihenfolge kann festgelegt werden; Attribute wie „Umsetzung bis“, „Zuständigkeiten“, „Kosten- und Aufwandsschätzung (Personal, monetär, einmalig, fix, Betrieb)“ sind dokumentier- und auswertbar. Abhängigkeiten zwischen Maßnahmen (zeitlich, sachlogisch, …) können dokumentiert werden. Rückreferenzen auf Anforderungen und/oder Risiken sowie Ziele der Maßnahmen sind ersichtlich.
- Initiierung und Nachverfolgung: Das ISMS-Tool unterstützt bei der Kommunikation der Maßnahmenzuständigkeit durch einen Workflow (Generierung von E‑Mails bzw. Anbindung an ein Ticketsystem / Generierung von Tickets). Das Tool ermöglicht auf Maßnahmenebene die Verlinkung zu Projektplänen, Protokollen, Statusreports: Für jede Maßnahme sind der Status und der Zeitpunkt der letzten Statusprüfung dokumentierbar – das ISMS-Tool generiert je nach Rolle To-do-Listen zur Statusprüfung. Wird eine Maßnahme als umgesetzt zurückgemeldet, generiert das ISMS-Tool automatisch einen To-do-Eintrag zur Umsetzungsverifikation. Wird die Umsetzung bestätigt, aktualisiert das ISMS-Tool automatisch auch die entsprechenden Einträge im Grundschutzcheck.
- Dokumentation temporärer Risiken: Maßnahmen mit Umsetzungstermin „heute + x“, wobei x konfigurierbar ist, führen im ISMS-Tool automatisch zu einer Dokumentation eines temporären Risikos.
Die Anforderungen an den Prozess basieren insbesondere auf dem BSI Kompendium ISMS.1.A7, A10 und A11, auf BSI 200-2 Kapitel 6.4 und 9x.y sowie ISO 27001:2022 Kapitel 8.1.
Incident-Management
Ziele dieses Prozesses sind die Identifikation, Meldung, Bewertung und Behandlung von Vorfällen der Informationssicherheit sowie ein Lernen aus diesen Vorfällen. Ziel ist es weiterhin, einen konsistenten, effektiven und effizienten Umgang mit Vorfällen zu gewährleisten (schnelle, effektive und durchdachte Behandlung von Vorfällen der Informationssicherheit). Dies lässt sich durch eine Unterstützung folgender Tätigkeiten durch das ISMS-Tool erreichen:
- Erfassung: Das ISMS-Tool unterstützt bei der Erfassung von Incidents – entweder aus vorgelagerten Systemen (Help-Desk etc.) oder als Neuerfassung per Eingabemaske inklusive aller benötigten Attribute (wer, was, wann, Klassifizierung, …).
- Priorisierung: Das ISMS-Tool ermöglicht die Priorisierung, Kategorisierung und Klassifizierung von Vorfällen (auswertbar) durch konfigurierbare Kategorien, Klassen und Prioritätsstufen.
- Analyse: Das ISMS-Tool ermöglicht die Dokumentation von Vorfällen durch Attribute wie Auswirkungshöhe sowie Textfelder, Links oder den Upload von Dokumenten.
- Kommunikation/Behandlung: Das ISMS-Tool unterstützt durch eine automatische Kommunikation (konfigurierbar) von Vorfällen je nach deren Klassifizierung (an die IT, den Datenschutz-/Notfallbeauftragten etc.) zur Behandlung oder Eskalation.
- Nachbereitung/Lernen: Incidents führen über einen Workflow zur Neubewertung (Eintrittswahrscheinlichkeit/ Auswirkungen) oder zur Neu-Erfassung von Risiken.
Die Anforderungen an den Prozess basieren allem voran auf dem BSI Kompendium DER.1, DER.2.1 und DER.2.3 sowie auf ISO 27001:2022 Anhang A, Tabelle 1, Nr. 16 in Verbindung mit Kapitel 6.1.3 c.
Interne Audits
Ziel dieses Prozesses ist die Feststellung der Effektivität und Effizienz von Sicherheitsmaßnahmen inklusive der Identifikation von Abweichungen. Dies kann durch die Unterstützung der folgenden Tätigkeiten durch ein ISMS-Tool erreicht werden:
Planung interner Audits (Auditprogramm)
Alle wesentlichen Aktivitäten im Zusammenhang mit der Steuerung der Auditprogramme und der Durchführung von Audits zur Informationssicherheit erfolgen unterstützt durch und im ISMS-Tool.
Das ISMS-Tool unterstützt durch eine automatische und anpassbare Planung des Auditprogramms inklusive einer Dokumentation der Audit-Kriterien, -ziele, des -umfangs, leitender Auditoren sowie der risikoorientierten Auswahl unter Berücksichtigung von konfigurierbaren Parametern wie Zeithorizont des Auditprogramms und Geltungsbereich sowie angestrebtes Konfidenz-Niveau bei Stichproben.
Das ISMS-Tool berücksichtigt dabei geltende Regeln des BSI, der ISO, der IAF (als Regelwerk vorbelegt und anpassbar) bei der Auditplanung (Berechnung Auditaufwand, onsite vs. offsite, …) und bricht diese Regeln automatisch in Auditpläne herunter (mit der Möglichkeit der manuellen Anpassung).
Durchführung von Audits
Das ISMS-Tool unterstützt bei der Durchführung durch Workflows, Checklisten und Fragebögen sowie der Terminplanung für einzelne Audit-Schritte sowie die zentrale Ablage (Link oder in der Tool-Datenbank) von Referenzdokumenten, Nachweisen, Checklisten und Auditplänen.
Das ISMS-Tool unterstützt, wo möglich und sinnvoll automatisiert, bei der Arbeit und Kommunikation mit relevanten Anspruchsgruppen (z. B. durch automatisierten Versand von Erinnerungen, Upload von Nachweisen durch auditierte Personen im Tool etc.). Schulungsprogramm und Kompetenznachweise der Auditoren sind im ISMS-Tool steuerbar.
Das ISMS-Tool unterstützt außerdem durch automatische Bericht-Generierung auf Basis der im Tool erfassten Angaben und stellt auch sicher, dass vor der Durchführung eines Audits die notwendigen Voraussetzungen (z. B. Pflicht-Schulungen, Abgabe einer aktuellen Verpflichtungserklärung etc.) erfüllt sind und geltende Vorgaben eingehalten werden. Kategorien von Feststellungen sind vorbelegt (ISO/BSI) und anpassbar – Ursachenanalysen und Korrekturmaßnahmen zu Feststellungen lassen sich dokumentieren.
Audit-Follow-ups
Das ISMS-Tool unterstützt mit einem Workflow und/oder To-Do-Listen bei der Nachverfolgung von Abweichungen (auf Basis der dokumentierten Behebungsfrist) sowie bei der Terminorganisation für Nachprüfungen.
Die Anforderungen an den Prozess basieren insbesondere auf dem BSI Kompendium DER.3.1, auf BSI 200-2 Kapitel 10.1 sowie ISO 27001:2022 Kapitel 9.2.
Vorgaben und Vorgabedokumente
Ziel des Prozesses ist es, alle relevanten Anforderungen der Informationssicherheit dokumentiert, vollständig und nachvollziehbar zu regeln. Dabei kann ein ISMS-Tool folgende Tätigkeiten unterstützen:
- Zuordnung von Anforderungen zu Regelungsdokumenten/Regelungen: Das ISMS-Tool unterstützt sowohl durch eine Mapping-Funktion im Grundschutzcheck beziehungsweise auf Anforderungs-/Maßnahmenebene zu Regelungsdokumenten als auch atomarisiert auf Regelungsebene.
- Dokumentenlebenszyklus: Das ISMS-Tool unterstützt mit einem automatisierten Workflow/Prozess mit Review, Wiedervorlage, Terminen und Personenzuordnung, Einführung neuer Regeln, Abbildung von Freigabeschritten und Mitzeichnungsprozessen auf Regelungs- und Dokumentenebene.
- Attribute von Regelungen: Zu jeder Regelung und jedem Regelungsdokument lassen sich Attribute wie „verantwortlich“, „Eigentümer“, „Adressatenkreis“, Quelle und Thema der Regelung et cetera dokumentieren. Das ISMS-Tool unterstützt bei der Erstellung von Regelungen durch einen Assistenten und ein einheitliches Sprachmodell: Was, für wen, mit definierter und einheitlicher Nutzung von Modalverben et cetera.
- Individuelle Generierung von Regelungsdokumenten: Im ISMS-Tool lassen sich Dokumente individuell generieren auf Basis von atomarisierten Regelungen im Sinne von „Erstelle ein Regelungsdokument für die Zielgruppe xy zum Thema z“ – Regelungen sind im ISMS-Tool für alle Mitarbeiter durch ein geeignetes Frontend recherchierbar.
Die Anforderungen an den Prozess basieren insbesondere auf BSI 200-2 Kapitel 5.2 und ISO 27001:2022 Kapitel 7.5.3.
Verträge und Dienstleistersteuerung
Ziel dieses Prozesses ist die Vermeidung negativer Auswirkungen der Auslagerung von Dienstleistungen auf das Informationssicherheitsniveau. Dies kann durch die Unterstützung der folgenden Tätigkeiten durch das ISMS-Tool erreicht werden:
- Stammdaten und Sicherheitskonzepte: Das ISMS-Tool unterstützt bei der strukturierten Dokumentation von externen Dienstleistern und Dienstleistungen sowie damit verbundenen Sicherheitsanforderungen und Sicherheitskonzepten (siehe auch Prozess-Modellierung/SoA). Das ISMS-Tool unterstützt durch einen Workflow die Anwendung der Modellierungsregeln gemäß dem BSI-Dokument „IT-Grundschutz-Methodik im Kontext von Outsourcing“ [2]. Hierzu lassen sich gegebenenfalls bestehende Übersichten/Datenbanken der Beschaffungs-/Einkaufsabteilung anbinden (Schnittstelle).
- Beschaffung/Vertragsprüfung: Das ISMS-Tool unterstützt durch einen in den Beschaffungsprozess integrierbaren Workflow – beispielsweise lässt sich eine intendierte Beschaffung mithilfe einer konfigurierbaren Checkliste aus Sicherheitssicht prüfen.
- Audits/Monitoring/Kontrolle: Das ISMS-Tool unterstützt bei der Planung und Durchführung von Dienstleisteraudits (Schnittstelle zum Prozess „interne Auditierung“) sowie der Bewertung von Dienstleistern aus Sicherheitssicht (Schnittstelle zum Prozess „Performancemanagement/Kennzahlen-Dashboard“)
Die Anforderungen an den Prozess basieren allem voran auf dem BSI-Dokument „IT-Grundschutz-Methodik im Kontext von Outsourcing“ [2] sowie ISO 27001:2022 Kapitel 8.1.
Sensibilisierung und Weiterbildung
Ziel des Prozesses ist die kontinuierliche Achtsamkeit und Gewährleistung angemessener Kompetenz bezüglich der Informationssicherheit für alle in die Informationsverarbeitung involvierten Personen. Dies kann durch die Unterstützung der folgenden Tätigkeiten durch das ISMS-Tool erreicht werden:
- Erhebung des Sensibilisierungsniveaus: Das ISMS-Tool unterstützt bei der Erhebung und Auswertung des Sensibilisierungsniveaus durch einen Workflow (Design von Fragebögen/Multiple-Choice-Fragen), dem Fragebögen- Versand sowie deren Auswertung.
- Planung und Durchführung von Trainings-, Sensibilisierungs- und Weiterbildungsmaßnahmen: Das ISMS-Tool unterstützt bei der Erstellung eines Trainings-, Sensibilisierungs- und Weiterbildungsplanes mit entsprechenden Maßnahmen/Elementen durch Zuweisung von dessen Elementen zu Mitarbeitergruppen sowie dem Tracking der Umsetzung. Es ist dokumentierbar, wer wann welche Maßnahmen/Elemente mit welchem Erfolg das letzte Mal durchlaufen hat. Für Maßnahmen/Elemente mit physischer Teilnahme können Teilnahmeprotokolle (automatisch als Unterschriftenliste) erstellt und abgelegt werden. Darüber hinaus lassen sich Trainings-, Sensibilisierungs- und Weiterbildungs-Unterlagen mit dem ISMS-Tool speichern und verwalten. Für Online-Maßnahmen/- Elemente unterstützt das ISMS-Tool bei der Terminplanung durch Integration in die Kalender der Mitarbeiter (und ggf. weitere Tools wie MS Teams).
- Verbesserung von Trainings-, Sensibilisierungs- und Weiterbildungsmaßnahmen: Das ISMS-Tool unterstützt durch einen Workflow zum Einholen von Feedback zu jeder Maßnahme/Element und bei dessen Auswertung.
Die Anforderungen an den Prozess basieren insbesondere auf dem BSI Kompendium ORP.3, auf BSI 200-2 Kapitel 4.4, 4.5 und 9.5 sowie ISO 27001:2022 Kapitel 7.2 und 7.3.
Reporting und Kommunikation
Ziel dieses Prozesses ist es, Entscheidungsträger und Stakeholder angemessen über Informationssicherheits- Risiken und damit auch über Inhalte wie Kosten für Maßnahmen, erreichte Fähigkeiten und Reifegrade, Zielerreichungsgrade der ISMS-Prozesse, Sicherheits Vorfälle et cetera zu informieren und diesen ein grundlegendes Verständnis dieser Informationen zu ermöglichen. Dabei kann ein ISMS-Tool durch die Unterstützung der folgenden Tätigkeiten helfen:
- Generierung von Referenzdokumenten für Auditoren: Das ISMS-Tool unterstützt durch die automatische Generierung der A.x-Referenzdokumente (BSI) beziehungsweise des Statement of Applicability (SoA) für einzelne Scopes (Sichten) – diese Sichten unterscheiden sich je nach Anwendung der Standards.
- Generierung von Berichten: Das ISMS-Tool unterstützt durch vordefinierte und konfigurierbare Berichte, die bei den jeweiligen ISMS-Prozessen integriert und beschrieben werden (Berichtsgenerator).
- (Teil-)Automatisierter Workflow / Kommunikationsplan: Das ISMS-Tool unterstützt durch zeitgesteuerte Generierung und Aussendung von Berichten (nach manueller Freigabeprüfung) gemäß einem darin dokumentierten Kommunikationsplan: Was wird wann, wie oft an wen berichtet/kommuniziert? Der Kommunikationsplan selbst kann als Bericht generiert werden.
Die Anforderungen an den Prozess basieren vor allem auf dem BSI Kompendium ISMS.1.A6, auf BSI 200-2 Kapitel 5.2.4 sowie ISO 27001:2022 Kapitel 7.4.
Performance-Management /Kennzahlen-Dashboard
Ziel dieses Prozesses ist die fortlaufende Bewertung von Sicherheitsmaßnahmen und der Leistung des ISMS gegen die Vorgaben/Anforderungen und Ziele. Dies kann durch die Unterstützung der folgenden Tätigkeiten durch das ISMS-Tool erreicht werden:
- Kennzahlen, Dashboard und Reporting: Das ISMS-Tool unterstützt mit einer Funktion zur Definition und Verknüpfung von Kennzahlen für die Effektivität und Effizienz von ISMS-Prozessen und Maßnahmen durch geeignete Ziel- und Performance-Kennzahlen. Kennzahlen werden – soweit sie auf Daten im ISMS-Tool beruhen – automatisch im ISMS-Tool gebildet und in Form eines konfigurierbaren rollenbasierten Dashboards angezeigt (Kennzahlen, Verläufe, grafische Darstellung, Möglichkeit einer Berichtsausgabe zu einem definierten Zeitraum, Zeitpunkt und auswählbarem Scope). Für jede Kennzahl lassen sich Schwellenwerte und Alarmierungsregeln definieren, die im ISMS-Tool eine automatische Kommunikation auslösen.
Die Anforderungen an den Prozess basieren insbesondere auf dem BSI Kompendium ISMS.1.A1, auf BSI 200-2 Kapitel 10.1 sowie ISO 27001:2022 Kapitel 9.1.
Ressourcensteuerung
Ziel des Prozesses zur Steuerung von Ressourcen ist es, zu gewährleisten, dass angemessene Ressourcen für das ISMS und die Sicherheitsmaßnahmen verfügbar sind und diese effizient eingesetzt werden. Dies lässt sich durch die Unterstützung der folgenden Tätigkeiten durch ein ISMS-Tool erreichen:
- Planung notwendiger Ressourcen: Das ISMS-Tool unterstützt bei der Planung benötigter Ressourcen und beim Herunterbrechen verfügbarer/budgetierter Ressourcen für Maßnahmen und den Betrieb des ISMS – dies erfolgt integriert in den Prozess zur Initiierung und Nachverfolgung der Maßnahmenumsetzung.
- Ressourcen-Nutzungsberichte: Das ISMS-Tool unterstützt beim Monitoring der Ressourcen-Nutzung und durch eine Funktion zur Generierung von (konfigurierbaren) Ressourcennutzungsberichten.
Die Anforderungen an den Prozess basieren besonders auf BSI 200-2 Kapitel 9 sowie ISO 27001:2022 Kapitel 6.2 und 7.1.
Kontinuierliche Verbesserung (KVP)
Ziel dieses Prozesses ist die Gewährleistung einer kontinuierlichen Optimierung der Effizienz und Effektivität des ISMS. Dies kann durch die Unterstützung der folgenden Tätigkeiten durch das ISMS-Tool erreicht werden:
- Ursachenanalyse für Abweichungen: Das ISMS-Tool unterstützt mit einer Möglichkeit, zu jeder festgestellten Abweichung (Prozesse „Performance-Management“ und „interne Audits“) eine Ursachenanalyse zu dokumentieren und Verbesserungsmaßnahmen abzuleiten, zu dokumentieren und zu initiieren (Workflow).
- Verbesserungspotenziale: Empfehlungen aus internen oder Dienstleister-Audits werden automatisch in diesen Prozess als Verbesserungspotenziale überführt. Das ISMS-Tool unterstützt mit einem Workflow zur strukturierten Dokumentation, Bewertung, Entscheidungsfindung zu Verbesserungspotentialen und gegebenenfalls zur Initiierung von Maßnahmen auf deren Grundlage (Prozess „Initiierung und Nachverfolgung der Maßnahmenumsetzung“). Trigger für Verbesserungen können neben Abweichungen und Empfehlungen auch Veränderungen in den Rahmenbedingungen, neue Technologien und Innovationen sowie Mitarbeiter Vorschläge sein. Das ISMS-Tool unterstützt durch eine strukturierte Erfassungsmöglichkeit dieser Trigger sowie den Start eines darauf basierenden Workflows.
- Vorschlagsmöglichkeit: Das ISMS-Tool unterstützt durch eine Funktion die Erfassung von Verbesserungsvorschläge (was, wie, …) durch jeden Mitarbeiter – wahlweise erfolgt dies anonym (Möglichkeit konfigurierbar). Solche Vorschläge starten ebenfalls den bereits genannten Workflow – vorschlagende Mitarbeiter erhalten automatisch durch das ISMS-Tool eine Rückmeldung zum Bearbeitungsstatus.
Die Anforderungen an den Prozess basieren insbesondere auf BSI 200-2 Kapitel 10 sowie ISO 27001:2022 Kapitel 10.1 und 10.2.
Änderungsmanagement
Ziel dieses Prozesses ist es, negative Effekte von Änderungen auf das Informationssicherheitsniveau zu vermeiden. Dies lässt sich durch die Unterstützung der folgenden Tätigkeiten durch ein ISMS-Tool erreichen:
- Änderungen an dokumentierten Elementen im ISMS-Tool: Grundsätzlich unterstützt das ISMS-Tool bei der Steuerung von Änderungen an dokumentierten Elementen im ISMS-Tool (z. B. Assets, Schutzbedarf, Risiken, Anforderungskatalogen etc.) durch Workflows und Transitionsprozesse, die sachlogisch korrekt alle Auswirkungen einer Änderung berücksichtigten und Nutzer durch die nötigen Prüfungs- und Anpassungsschritte führen (bspw. Ableitung eines Schutzbedarfs, wenn neue Assets hinzukommen, Prüfung der Schutzbedarfsvererbung und ggf. Initiierung von Risikoanalysen bei Änderungen im Schutzbedarf usw.).
- Risiko-Bewertung geplanter Änderungen: Das ISMS-Tool unterstützt durch einen Workflow bei der Bewertung und Freigabe/Ablehnung von Änderungen, die über den Änderungsprozess der nutzenden Organisation außerhalb des ISMS-Tools getriggert werden (Schnittstelle erforderlich). Eine Risiko-Bewertung (gem. Risikoanalyseprozess) der geplanten Änderung aus Sicherheitssicht kann geeignet dokumentiert und über den Workflow an das auslösende System kommuniziert werden.
Die Anforderungen an den Prozess basieren insbesondere auf BSI 200-2 Kapitel 5.2 und 10.2, auf dem BSI Kompendium OPS.1.1.3 sowie ISO 27001:2022 Kapitel 8.1 und 10.2.
Steuerung von Aufzeichnungen und Nachweisen
Ziele dieses Prozesses sind die Gewährleistung der Verfügbarkeit aller notwendigen Aufzeichnungen zum Nachweis der Effektivität des ISMS, die Gewährleistung einer angemessenen Identifikation, Beschreibung, Formatierung, Überprüfung und Freigabe aller relevanten Aufzeichnungen sowie die Gewährleistung des angemessenen Schutzes der Aufzeichnungen vor Verlust, Zerstörung, Verfälschung und unautorisierter Kenntnisnahme oder Veröffentlichung. Dies kann durch die Unterstützung der folgenden Tätigkeiten durch das ISMS-Tool erreicht werden:
- Ablage und Retrieval von Aufzeichnungen und Nachweisen: Das ISMS-Tool unterstützt durch eine strukturierte und durch ein konfigurierbares Berechtigungskonzept geschützte Ablage von Aufzeichnungen und Nachweisen sowie eine Funktion zum Suchen und Finden benötigter Aufzeichnungen. Nachweise und Aufzeichnungen können in der ISMS-Tool-Datenbank oder mithilfe externer Links vorgehalten werden.
- Löschen von Aufzeichnungen und Nachweisen: Das ISMS-Tool unterstützt bei der Bereinigung von Aufzeichnungen mit einem Workflow, nachdem die konfigurierbare Aufbewahrungsfrist abgelaufen ist.
Die Anforderungen an den Prozess basieren allem voran auf BSI 200-2 Kapitel 5, auf dem BSI Kompendium ISMS.1.A13 sowie ISO 27001:2022 Kapitel 7.5.
Fazit
Die beschriebenen Betriebsaufgaben, die durch ein ISMS-Tool zu unterstützen sind, lassen sich auf drei Arten nutzen:
- Organisationen, die ein ISMS aufbauen und betreiben, können sich bei der Auswahl eines geeigneten ISMS-Tools an den beschriebenen Funktionen orientieren und diese für die Ausschreibung beziehungsweise Auswahl eines ISMS-Tools nutzen.
- Organisationen, welche die Entwicklung eines ISMS-Tools planen, dieses entwickeln oder bereits entwickelt haben, können die beschriebenen Funktionen als generisches Anforderungsset an ein ISMS-Tool nutzen oder ihre aktuellen ISMS-Tools dahingehend abgleichen und weiterentwickeln.
- Das beschriebene Funktions- und Anforderungsset kann in einer verdichteten Form für eine Marktanalyse aktueller ISMS-Tools verwendet werden.
Prof. Dr. Knut Haufe ist Director im Bereich Cyber-Security- Services bei der EY Consulting GmbH.
Literatur
[1] Knut Haufe, ISMS-Tools in der Praxis (1), Erfolgsfaktoren für die Nutzung von ISMS-Tools bei Aufbau und Betrieb eines ISMS, <kes> 2024#5, S. 6, www.kes-informationssicherheit.de/print/titelthema-cnapp-das-unbekannte-wesen/isms-tools-in-der-praxis-1/ (<kes>+)
[2] Bundesamt für Sicherheit in der Informationstechnik (BSI), IT-Grundschutz-Methodik im Kontext von Outsourcing, Version 2.2, Dezember 2019, www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Zertifikat/ISO27001/Outsourcing_Kompendium.pdf?__blob=publicationFile