Ausgabe 03 | 2022

ISMS mit Tools

Andreas Wisler, goSecurity AG

Ein Informationssicherheitsmanagementsystem (ISMS) aufzubauen, benötigt viel Zeit, Wissen und Erfahrung. Das ISMS umfasst standardisierte Verfahren, Richtlinien und vorgegebene Massnahmen, um Risiken zu minimieren und Unternehmenswerte zu schützen. Die Anforderungen aus ISO 27001 (und anderen Normen) können zwar mit Word und Excel erstellt werden. Doch gerade die Erarbeitung im Team oder für die Nachvollziehbarkeit ist dies eine echte Herausforderung. Zum Beispiel wird gerne für das Risiko Management Excel verwendet.

Schon im zweiten oder dritten Jahr wird es schwierig, die Risiken über den Verlauf der Zeit nachzuverfolgen. Daher wird gerne auf Tools zurückgegriffen. Dieser Artikel zeigt zwei Möglichkeiten mit Jira/Confluence sowie Intervalid ISMS.

Confluence
Confluence ist ein klassisches Wiki-System, ähnlich Wikipedia. Wer mit Word arbeiten kann, findet sich umgehend auch in Confluence zu recht. Der Funktionsumfang ist zwar eingeschränkt, doch mit diversen Plugins kann dieses Manko erweitert werden. Viele sind bereits integriert, andere können kostenpflichtig dazu gekauft werden. Der Vorteil an dieser Online-Lösung ist unter anderem das Arbeiten im Team. Verschiedene Personen können an einer Seite arbeiten (auch gleichzeitig, wie zum Beispiel von SharePoint gewohnt), kommentieren, ergänzen usw. Bei Word-Dokumenten, die in Ordner abgelegt werden, ist die Verbindung zwischen verschiedenen Dokumenten stark eingeschränkt. Bei Confluence hingegen können die Dokumente mit Links verknüpft werden. Wird Bezug auf eine andere Stelle genommen, wird der Link mit zwei Klicks ergänzt. So wird der Aufbau des ISMS interaktiv. Für die Anwender ist dies ein Zeitgewinn, müssen doch nicht weitere Dokumente gesucht und geöffnet werden. Ein weiterer Vorteil ist die Nachvollziehbarkeit in einem Wiki-System. Automatisch wird jede Version gespeichert und kann mit der aktuellen Version verglichen werden. Wird ein Dokument überarbeitet und muss neu freigegeben werden, kann die freigebende Person alle Änderungen sehr einfach anschauen.

Jira
Jira ist vor allem in der Software-Entwicklung bekannt. Ein klassisches Ticket-System, das aber sehr offen ist. Ideal für die notwendigen Prozesse eines ISMS. Klassisch sind dies Aufgaben, Abweichungen, Verbesserungen, Kontrollen, KPI-Bewertungen, Risiken oder Information Security Incidents. Für jede Art, in Jira «Vorgangstyp» genannt, kann ein eigener Workflow (Arbeitsablauf) erstellt werden. Bei jedem Übergang von einem Prozess-Schritt zum anderen kann eine so genannte Bildschirmmaske zugewiesen werden. So werden immer nur die Felder angezeigt, die auch gerade benötigt werden.
Bild 1 zeigt die Bewertung eines KPIs. Die Bewertungskriterien wurden bei der Erfassung des KPIs definiert und werden zur Erinnerung angezeigt. Je nach eingegebenem Wert wird der Status des Tickets auf «Grün», «Orange» oder «Rot» gesetzt.
Mit Filtern können die Tickets nach Belieben zusammengestellt werden. Zeige mir alle Tickets vom Vorgangstyp «Aufgabe», die mir zugeordnet sind und noch nicht erledigt wurden. Dies sieht so aus: project = ISMS AND issuetype = Task AND status != Abgeschlossen AND assignee in (currentUser()). Erläuterung: Projekt ist ISMS, Vorgangstyp ist Aufgabe, Status ist nicht abgeschlossen und das Ticket gehört dem aktuellen eingeloggten Benutzer. Damit kann dieser Filter für alle Benutzenden genutzt werden. Diese Filter können anschliessend für Dashboards benutzt werden. Grafisch kann dann eine Übersicht gezeigt werden. Bild 2 zeigt die aktuell offenen Information Security Incidents. Während Confluence sehr schnell eingerichtet ist, benötigt Jira sehr viel Wissen. Alle Felder, Arbeitsabläufe, Filter und Dashboards müssen von Hand erstellt werden. Der Vorteil ist sicherlich die Flexibilität, der Nachteil der grosse Aufwand.

Intervalid
Seit 1. Januar 2022 ist die goSecurity AG Partner der österreichischen Firma Intervalid mit dem gleichnamigen ISMS-Tool. Dieses Werkzeug ist eine All-In-One-Lösung, um das komplexe Thema Informationssicherheit einfach im Unternehmen umzusetzen. Enthalten sind unter anderem die Standardnormen ISO 27001, BSI IT-Grundschutz, VdS 10000, TISAX oder B3S. Ebenfalls sind bereits alle für die Zertifizierung notwendigen Dokumente integriert, die jedoch noch an das eigene Unternehmen angepasst werden müssen.
Ein grosser Vorteil dieses Tools ist die nahtlose Integration von Dokumenten, Werten (Assets), Risiken, Aufgaben und Sicherheitsvorfällen. Der klassische Ablauf umfasst die folgenden acht Schritte:

1 Vorbereitung
Richtlinie auswählen. Damit werden die Anforderungen automatisch erstellt.

2. Umsetzung
Die Mitarbeitenden werden eingebunden, Verantwortlichkeiten und Aufgaben verteilt sowie der Fortschritt überwacht.

3. Assets
Informationswerte werden in einem strukturieren Register erfasst. Vorlagen für TOMs auswählen, den Schutzbedarf festlegen und klassifizieren. Fragebögen helfen durch den Prozess.

4. Risiko-Analyse
Bedrohungen erkennen, Risiken beurteilen, Massnahmen ableiten und freigeben.

5. Auskünfte
Mit Reports können Informationen auf Knopfdruck zusammengestellt werden.

6. Sicherheitsvorfall
Daten zum Vorfall erfassen, analysieren und Massnahmen ergreifen.

7. Umfragen
Mittels Fragebögen werden Informationen von Mitarbeitenden eingeholt ausgewertet, analysiert und verarbeitet.

8. Audits und Zertifizierungen
Laufende Überprüfung und Vorbereitung auf eine Zertifizierung. Festhalten der Resultate und falls notwendig der Korrektur-Massnahmen.
Für die Ersterfassung von neuen Assets und um Änderungen bekannt zu geben, steht im Tool ein Workflow zur Verfügung. Die Assets können erfasst, in Abhängigkeit gebracht und klassifiziert werden. Gleichzeitig können die technischen und organisatorischen Massnahmen (TOMs) mit Vorlagen oder individuell nach eigenen Bedürfnissen erstellt werden. Das Register ist mehrsprachig und bietet anpassbare Auswahlmöglichkeiten. In einem zweiten Schritt werden die Risiken erfasst und gemäss dem Schutzbedarf bewertet. Die bereits erfassten Assets werden mit den Risiken verknüpft. Die Benutzenden werden durch Mustervorlagen und Fragebögen schrittweise durch den Prozess geführt. Am Ende können Massnahmen zur Reduktion geplant und zur Umsetzung zugewiesen werden.
Wie in Jira stehen auch bei Intervalid ISMS Reports und Dashboards auf Knopfdruck zur Verfügung. Natürlich kann es auf die eigenen Bedürfnisse individuell konfiguriert werden.

Fazit
Mit einem Tool kann ein ISMS sehr effizient, zeitsparend und umfassend aufgebaut werden. Durch Vorlagen und Workflows werden die Anwender schrittweise durch den komplexen Prozess geführt. Fehlendes Wissen kann dadurch erarbeitet werden. Am Ende steht ein aktuelles und hoffentlich gut gepflegtes ISMS zur Verfügung.

ZUM AUTOR
Andreas Wisler, Dipl. Ing FH
goSecurity AG
Schulstrasse 11
CH-8542 Wiesendangen
T +41 (0)52 511 37 37
www.goSecurity.ch
wisler@gosecurity.ch

Termine

September

ALUMINIUM, Düsseldorf

Weltmesse und Kongress
27. bis 29. September
www.aluminium-exhibition.com

Oktober

Bondexpo, Stuttgart

Fachmesse für industrielle Klebetechnologie
4. bis 7. Oktober
www.bondexpo-messe.de

Motek, Stuttgart

Internationale Fachmesse für Montage- und Handhabungstechnik
4. bis 7. Oktober
www.motek-messe.de

parts2clean, Stuttgart

Internationale Leitmesse für industrielle Teile- und Oberflächenreinigung
11. bis 13. Oktober
www.parts2clean.de

Optatec, Frankfurt

Internationale Fachmesse für optische Technologien, Komponenten und Systeme
18. bis 20. Oktober
www.optatec-messe.de