CycleSEC
ISMS-Frameworks in der „kes“
Artikel in „kes“ Heft 5/2023
Bei der Implementierung eines ISMS nach ISO/IEC 27001 müssen 7 Clauses und 93 Controls systematisch in der eigenen Organisation umgesetzt und ggf. für ein Zertifizierungsaudit nachvollziehbar dokumentiert werden.
In ihrem aktuellen Artikel in der „kes“ Die Zeitschrift für Informations-Sicherheit beleuchten die CycleSEC-Consultants Sebastian Klipper, Lars Albert und Louisa Frick die Möglichkeiten, eine ISMS-Implementierung mit Content-Management-Systemen (CMS) und Ticket-Systemen zu steuern.
Wesentlicher Teil des Artikels ist die Vorstellung der von CycleSEC für die eigenen Beratungsprojekte entwickelten ISMS-Frameworks und Compliance-Mappings. Sie basieren auf praktischen Erfahrungen und auf den Forschungsergebnissen, die unser Autor Sebastian Klipper zusammen mit Steffen Hessler am Center for Advanced Internet Studies CAIS NRW erzielt und bereits in Heft 2021#1 in der „kes“ veröffentlicht hatte. In unserer bisherigen Beratungspraxis haben sich die folgenden 12 Frameworks als besonders hilfreich erwiesen:
ISMS-Core-Framework
Prozess-Framework
Management-Review-Framework
Framework der Rollen und Verantwortlichkeiten
Awareness-Framework
ISMS-Team-Framework
Compliance-Framework
Risiko-Framework
Policy-Framework
Communication-Framework
Qualification-Framework
Audit-Framework
Alles beginnt mit einem Satz: Content-Management-Systeme und Ticket-Systeme als ISMS-Tools
Autor:innen: Sebastian Klipper, Lars Albert, Louisa Frick (jeweils CycleSEC)
Drei wichtige Frameworks
Die drei wichtigsten Frameworks teasern wir im Folgenden kurz an. Eine ausführliche Darstellung findet sich in Heft in der <kes> im aktuellen Heft 5/2023.
ISMS-Core-Framework
Im ISMS-Core-Framework wird das ISMS-Handbuch und das Statement of Applicability (SoA) gepflegt. Ein ISMS-Handbuch ist zwar gemäß ISO/IEC 27001 nicht vorgeschrieben, aber dennoch weit verbreitet. Es wird oft als textuelle Beschreibung zur Umsetzung der Clauses eingesetzt und folgt dabei sogar in der Nummerierung der Struktur des Textteils der ISO/IEC 27001. Das Handbuch dient der Einarbeitung ins ISMS und als grundlegendes Überblicksdokument und in einem Stage 1-Audit erleichtert es einem Audit-Team die Arbeit. Das SoA hingegen ist ein zwingend erforderliches Dokument, das den expliziten Anforderungen aus Clause 6.1.3 genügen muss.
Management-Review-Framework
Im Management-Framework werden alle gemäß Clause 9.3 geforderten Aspekte umgesetzt. Diese kann beispielsweise als Powerpoint-Präsentation erfolgen oder wie in CycleSEC-Projekten in einer Übersichtsdarstellung als Dashboard in einem Content-Management-System (CMS).
Bei der Umsetzung in einem CMS gilt es, eine Balance zwischen automatisierter, tagesaktueller Darstellung und Dokumentation der Inhalte zu einem bestimmten Stichtag zu finden. Es gibt einerseits Organisationen, für die Online-Meetings und die Arbeit mit CMS oder Ticket-System auch im Top-Management gängige Praxis sind und andererseits Organisationen, in denen die ausgedruckte Tischvorlage die übliche Basis für Entscheidungen des Top-Managements sind. Auch letzterer Fall lässt sich in einem CMS realisieren, vorausgesetzt man hat eine gute Export-Möglichkeit zu den eigenen Office-Anwendungen.
Policy-Framework
Im Policy-Framework werden Entwürfe und in Kraft gesetzte Policies dokumentiert. Je nach Höhe der Dokumentenpyramide in der Organisation können weitere nachgeordnete Frameworks für Guidelines, Betriebsvereinbarungen oder ähnliches angelegt werden. Bei der Implementierung eines ISMS mit Content-Management-Systemen (CMS) und Ticket-Systemen und den vorhandenen Möglichkeiten zur Versionierung und Abstimmung von Entwürfen kann es nötig sein, jeweils ein Framework für die Entwurfs- und Abstimmungsphase anzulegen und ein Framework für die in Kraft gesetzten Dokumente.