ISMS-Manangement
Wofür wird das ISMS-Management benötigt?
Ohne eine funktionierende ISMS-Planung keine Zertifizierung. Im Kapitel 6 der ISO/IEC 27001 wird vorgegeben, dass alle Maßnahmen zur Erreichung der Sicherheitsziele zu planen und deren Umsetzung zu überwachen sind.
Die Organisation und die getroffenen Maßnahmen sind nach Kapiltel 9 zu bewerten und deren Umsetzung zu überwachen.
- Anwendbarkeitserklärung
-
Ein wesentlicher Bestandteil eines ISMS ist die Erklärung zur Anwendbarkeit (Statement of Applicability | SOA), in der die Sicherheitsanforderungen zusammengefasst werden, die zur Erreichung der Sicherheitsziele der Organisation relevant sind. Der Katalog der Sicherheitsanforderungen ist dem Anhang A der DIN ISO/IEC 27001 zu entnehmen.
Die sich aus den Anforderungen ergebenden Maßnahmen werden ergänzt um weitere Maßnahmen aus
-
eigenen Sicherheitsstandards,
-
der Risikobewertung,
-
der Vorfallanalyse oder
-
internen wie externen Audits.
Die Umsetzung der Maßnahmen ist zu überwachen und ihr Umsetzungsgrad zu ermitteln.
| xmera Omnia bietet den Anforderungskatalog als Importpaket gemäß DIN ISO/IEC 27001 Anhang A an, der um individuelle Anforderungen erweitert werden kann. |
- Interne Audits
-
Im Kapitel 9.2 und im Anhang A.12.7 wird die Planung von internen Audits gefordert, in denen überprüft wird, ob die ISMS Prozesse die Anforderungen an die IT-Sicherheit erfüllen und wirksam sind.
Wie unterstützt xmera Omnia?
Erklärung zur Anwendbarkeit (SOA)
Der Anforderungskatalog kann an zentraler Stelle importiert und verwaltet werden. Von hier aus können Maßnahmen manuell oder automatisiert auf Assets der Organisation verteilt werden.
Durch die Verknüpfung der zentralen Maßnahmenliste mit den operativ dezentral durchzuführenden Maßnahmen, kann der Reifegrad zentral überwacht werden.
Die Begründung zur Relevanz von Sicherheitsanforderungen kann direkt in der Sicherheitsanforderung abgebildet werden.
Die Anwendbarkeitserklärung kann zur weiteren Verarbeitung oder Vorlage beim Auditor exportiert werden.
Maßnahmenmangement
- Status und Umsetzungsgrad
-
Aus dem Anforderungskatalog sind Maßnahmen abzuleiten, zu planen, zu deligieren und zu überwachen. Zu jeder Maßnahme lassen sich Status und Umsetzungsgrad vom Verantwortlichen angeben, wodurch der Informationssicherheitsbeauftragte jederzeit einen Überblick über den Fortschritt erhält.
Auswertungen kann er sowohl auf Ebene eines einzelnen Assets vornehmen als auch auf der Ebene von übergeordneten Objekten. In der obersten Ebene erhält er einen Überblick über das gesamte System.
Um die Übersichtlichkeit zu erhöhen, lassen sich Aufgabenpakete bilden. Sie fassen Maßnahmen und zugehörige Aufgaben zusammen. Auch bei Aufgabenpaketen werden unterlagerte Maßnahmen und Aufgaben kumuliert dargestellt, so dass auch hier leicht ein Umsetzungsgrad überwacht werden kann.
- Verknüpfung zwischen Maßnahmen und Aufgaben
-
Maßnahmen können auf verschiedenste Weise verknüpft werden. Der Bearbeitungstatus und der Umsetzungsgrad von untergeordneten Aufgaben ist in den übergeordneten Elementen zu sehen und kann den Status und den Umsetzungsgrad des übergeordneten Elements beeinflussen.
- Tabellarische und graphische Auswertung
-
Zur Priorisierung und Umsetzungsüberwachung bietet xmera Omnia mehrere Möglichkeiten der Datenauswertung. Dabei unterstützen Filterfunktionen und eine flexible Spaltenanordnung innerhalb der Tabellen. Zusätzliche graphische Auswertungen runden die Analyse ab.
Maßnahmenzuordnung
Die Maßnahmenzuordnung kann auf drei Wegen erfolgen:
-
Manuell
-
Automatisiert
-
Vorkonfiguration
-
Synchronisation
-
In der Demo haben wir die Synchronisation vorbereitet.
Die Zuordnung von umzusetzenden Sicherheitsanforderungen und Maßnahmen zu den betroffenen Objekten erfolgt über eine Synchronisationsfunktion. Dazu werden ihnen vorbereitend die jeweils relevanten Objektklassen (Zielobjekte) zugeordnet.
In einem weiteren Schritt können Synchronisationsobjekte definiert werden. Um nicht für jedes Objekt eine eigene (zu bearbeitende) Maßnahmenliste zu erzeugen, kann ein Strukturobjekt im Hierarchiebaum gewählt werden, das alle unterlagerten Objekte zusammenfasst.
Bei der Synchronisation wird analysiert, welche Objektklasse(n) dem vorliegenden Objekt zugeordnet sind (eigene Objektklasse und ggf. hierarchisch unterlagerte Objektklassen). Anhand dieser Auswertung werden die Maßnahmen des zentralen Katalogs entweder auf Ebene des Strukturobjekts oder auf Einzelobjektebene synchronisiert.
Auswertungsfunktionen
Für die Auswertung von Aufgaben, wie bspw.
-
Maßnahmen,
-
Vorfälle und Störungen,
-
Risikobeurteilungen
bietet xmera Omnia durch Abfragen, Berichte, Diagramme und Exportschnittstellen mehrere Möglichkeiten.
- Tabellenabfragen
-
Ein Anwender kann für Objekte und Aufgaben individuelle Abfragen erstellen. Dafür wählt er die entsprechenden Filter und stellt sich Ergebnistabellen mit den benötigten Attributen als Tabellenspalten und sortierten oder gruppierten Daten zusammen.
Diese Abfragen können gespeichert, und für die weitere Verarbeitung als PDF oder csv-Datei exportiert, werden.
- Berichte / Zusammenfassung
-
In den Aufgabenlisten der Objekte können über die Funktion Zusammenfassung Berichte aufgerufen werden, die in Form von Graphiken und Tabellen verschiedene Informationen darstellen.
Die graphischen Auswertungen lassen sich auch im Dashboard anzeigen.
Wiederholende Aufgaben
Im Rahmen des Informationssicherheitsmanagementsystems (ISMS) gibt es in vielen Bereichen wiederkehrende Aufgaben. Typische Aktivitäten zum Aufbau und Betrieb eines ISMS sind beispielsweise:
-
Monatliche Besprechung und Abstimmung im ISMS-Team
-
Jährliche Überprüfung, Aktualisierung und Fortschreibung der Informationssicherheitsleitlinie
-
Vierteljährliche Überprüfung der Zutrittsrechte
-
Jährliche [Auditplanung]
-
uvm.
Mit xmera Omnia können Sie beliebig viele Aufgaben mit individuellen Wiederholungszyklen planen. Zudem können Sie jede wiederkehrende Aufgabe einer Person zuordnen, einen Fertigstellungstermin und die Bearbeitungsdauer planen.
Da die Funktion der Wiederholende Aufgaben als Objektmodul konzipiert ist, können Sie sie in jedem beliebigen Objekt aktivieren. Dadurch lassen sich Wiederholende Aufgaben auch gut im [IT-Servicemanagement] einsetzen.
Auditplanung und -durchführung
Mit xmera Omnia können Sie auch Audits planen und durchführen. Zu den Hilfsmitteln gehören
-
Aufgaben, deren Inhalt um eigene Felder wie z.B. Auditfragen oder Ergebnisse ergänzt werden können,
-
Terminplanungen,
-
Zuordnung von Verantwortlichkeiten,
Folgende Funktionen unterstützen bei der Auditplanung und -durchführung.
- Paket / Stapel
-
Mit der Zuordnung der Aufgaben zu Arbeitspaketen, basierend auf dem Jahresdatum oder dem Zertifizierungszyklus, können die durchzuführenden Audits strukturiert werden.
- Verlauf und Kalender
-
Mit den Funktionen Kalender und Verlauf lassen sich die geplanten und umgesetzten Audits chronologisch darstellen. Über diesen Weg wird die Planung und der aktuelle Auditstatus besonders übersichtlich.
- Wiederholende Aufgaben
-
Mit dem Objektmodul der Wiederkehrenden Aufgaben lassen sich im Rahmen der Auditplanung und -durchführung alle Aufgaben, die sich z.B. jährlich wiederholen auf unbestimmte Zeit vorausplanen. Dabei können die Aufgabenvorlagen jederzeit an veränderte Anforderungen angepasst werden.