ISMS nach DIN ISO/IEC 27001 mit INDITOR® ISO

Die Lösung INDITOR® ISO ermöglicht die ganzheitliche Einführung eines Informationssicherheits-Managementsystems (ISMS) gemäß der ISO/IEC 27001. Die ressourcenschonende Implementierung und der Betrieb stehen dabei im Fokus der Lösung. Die Anforderungen der ISO/IEC 27001 werden übersichtlich dargestellt und ermöglichen dadurch eine einfache Dokumentation. In INDITOR® ISO dokumentieren Sie zunächst den Ist-Zustand der Informationssicherheit in der Organisation. Der Soll-Zustand wird aus den Anforderungen der ISO abgeleitet. Aus dem Soll-Ist-Vergleich ergeben sich Risiken oder Chancen für die Organisation. Den identifizierten Risiken werden anschließend Maßnahmen zugeordnet, um diese zu behandeln.

Vielfältige Funktionen leiten durch den Prozess der Implementierung und unterstützen Sie bei der Einführung: Die strukturierte Vorgehensweise und damit die Umsetzungsstruktur wird durch die Lösung vorgegeben. Somit erhalten Sie einen Leitfaden, wie Sie im Projekt vogehen können. Die Norm-Texte sind um einfach nachvollziehbare Umsetzungsempfehlungen ergänzt. Diese ermöglichen Ihnen eine zeiteffiziente Dokumentation der geforderten Maßnahmen ohne das „Norm-Deutsch“ zu beherrschen. Ein einfaches und zentral gesteuertes Risikomanagement dient als weitere Hilfestellung: Assets wie Prozesse, Personal und Infrastruktur, die dem gleichen Risiko zugeordnet sind, können in Gruppen zusammengefasst werden. Eine Risikoanalyse findet damit pro Gruppe statt. Auf diese Weise werden Analysen und Maßnahmen deutlich reduziert. Aufgaben zur Risikobehandlung können erstellt und den Assets zugeordnet werden. Vordefinierte Kriterien zur Risikoakzeptanz erleichtern die Priorisierung der Risikobehandlung. Das Aufgabenmanagement gibt einen übersichtlichen Überblick über die angelegten Aufgaben sowie Maßnahmen und zeigt den Fortschritt der Bearbeitung an.

Durch die gemeinsame Datenbasis für IT-Notfallplanung und Datenschutz sind einmal angelegte Assets wie Prozesse, Personal und Infrastruktur für alle Bereiche nutzbar. Damit werden sämtliche bereits erfasste Informationen automatisch in beiden Lösungen übernommen.



Vorteile durch die Einführung eines ISMS nach ISO 27001 mit INDITOR® ISO:

  • Kataloge der ISO/IEC 27001 sind in der Software integriert
  • Umsetzungsempfehlungen der Norm-Texte als Hilfestellung
  • Vorgegebene Umsetzungsstruktur
  • Zentrales und integriertes Risikomanagement
  • Erleichterte Risikoanalyse durch Gruppierung der Unternehmenswerte
  • Aufgabenmanagement
  • Höhere Sicherheit und Transparenz der (IT-)Geschäftsprozesse
  • Gemeinsame Datenbasis für IT-Notfallplanung sowie Datenschutz

4 Schritte:

Stammdaten
Zu Beginn des Projekts muss der Geltungsbereich definiert werden. In den Stammdaten können dann die Risikomethode festgelegt sowie die Risikoszenarien aus den eigenen Gefährdungen erstellt und durch bereits mitgelieferte elementare Gefährdungen des BSI ergänzt werden.

Schritt 1 | Anforderungskatalog
Der erste Schritt beinhaltet die Anforderungen und Maßnahmen aus der ISO/IEC 27001 und ist um Umsetzungsempfehlungen und Hilfestellungen ergänzt. Hier kann auch eine Verknüpfung zu anderen Katalogen wie der ISO/IEC 27002 stattfinden. Zusätzlich wird die SOA (Statement of Applicability), also die Information, welche Maßnahmen im Rahmen des ISMS angewendet werden, angezeigt und kann als Bericht ausgeworfen werden. Daraus kann der Umsetzungsstatus der Maßnahmen abgeleitet werden.

Schritt 2 | Assetmanagement
Hierbei werden Assets (=Unternehmenswerte) wie Prozesse, Personal und die Infrastruktur angelegt. Diese können automatisch bei Erwerb der weiteren Softwarelösungen von CONTECHNET (IT-Notfallplanung und Datenschutz) genutzt werden. Ist bereits die Softwarelösung INDART Professional® (IT-Notfallplanung) im Einsatz, ist dieser Punkt bereits mit Daten gefüllt und damit erledigt.

Schritt 3 | Risikoanalyse und -bewertung
In diesem Schritt wird die Eintrittswahrscheinlichkeit der Risikoszenarien bewertet und die Auswirkung festgelegt. Wiederkehrende Behandlungsprozesse zur Risikoakzeptanz, Risikominimierung, Risikovermeidung oder Risikoverlagerung werden effizient verwaltet. Die Unternehmenswerte wie Prozesse, Personal und Infrastruktur, die dem gleichen Risiko zugeordnet sind, können in Gruppen zusammengefasst werden. Eine Risikoanalyse findet damit pro Gruppe statt. Auf diese Weise werden Analysen und Maßnahmen deutlich reduziert. Des Weiteren können Organisationen die Methode im System auf ihre individuellen Bedürfnisse anpassen.

Schritt 4 | Risikobehandlung
Hierbei können Aufgaben und Maßnahmen zur Behandlung von Risiken erstellt und den Unternehmenswerten zugeordnet werden. Vordefinierte Kriterien zur Risikoakzeptanz erleichtern die Priorisierung der Risikobehandlung. Zusätzlich können Wichtigkeit und Dringlichkeit einer Aufgabe definiert werden.

Aufgabenmanagement

Die angelegten Aufgaben und Maßnahmen werden in diesem Schritt übersichtlich in einem Kalender verwaltet und gesteuert. Dafür kann nach unterschiedlichen Kriterien gefiltert und der Bearbeitungsfortschritt der Aufgaben eingesehen werden.

Umsetzung einer IT-Notfallplanung, der IT-Grundschutz-Methode sowie der ISO/IEC 27001 mit der CONTECHNET-Suite

Mit der Notfallplanungs-Software INDART Professional® von CONTECHNET können Sie Ihre Notfallplanung schnell und einfach in 8 intuitiven Schritten aufbauen. In Kombination mit dem Grundschutz-Modul INDITOR® BSI erstellen Sie IT-Sicherheitskonzepte nach den Vorgaben des BSI IT-Grundschutzes. Die Software INDITOR® ISO erlaubt es, ein praktikables ISMS aufzubauen und damit die Integration eines erfolgreichen Notfallmanagements zu schaffen.

  it-sa 2018

Besuchen Sie uns auf der it-sa in Halle 9, Stand 338.

Downloadcenter

Demoversion - 30 Tage lang kostenfrei testen!

Webcasts zu IT-Notfallplanung, Informationssicherheit und Datenschutz

Termine und Online-Anmeldung

Partner finden

Sehen Sie hier eine Übersicht unserer Vertriebspartner.

Online-Support

Download Fernwartungstool

Newsletter

Jetzt anmelden!