Security is a process!

Effizienzsteigerung im ISMS mit CMS und Ticketsystemen

Mehr Effizienz in Ihrem ISMS

CycleSEC setzt bei der ISMS-Implementierung ein speziell für die eigenen Beratungsprojekte entwickeltes System aus ISMS-Frameworks und Compliance-Mappings ein. Diese Frameworks gründen auf den praktischen Erfahrungen aus CycleSEC-Projekten, Forschungsergebnissen des Centers for Advanced Internet Studies (CAIS) in NRW und den Publikationen unserer Berater [1, 2, 3]. Für die Implementierung unserer ISMS-Frameworks verwenden wir Content-Management-Systeme (CMS) und Ticket-Systeme. In unserem Beitrag erläutern wir, welche Aspekte in der ISMS-Praxis mit CMS und Ticket-Systemen von Bedeutung sind.

Bei der Implementierung der ISMS-Frameworks setzen wir zur Effizienzsteigerung im ISMS bei unseren Kunden verschiedene Content-Management-Systeme (CMS) und Ticket-Systeme in unterschiedlichen Kombinationen ein. Beispiele hierfür sind:

Confluence

XWiki

Microsoft SharePoint

Jira

XWiki Task Manager App

Microsoft Planner

Wie groß ist der Change-Aufwand?

Im Idealfall verfügt eine Organisation bereits über ein oder mehrere Content-Management- und Ticket-Systeme. In diesem Fall beginnt die Arbeit mit den Systemen nicht bei Null, und es ist möglich, auf vorhandene Dokumentation zu internen Prozessen und Richtlinien zuzugreifen. Besonders vorteilhaft ist, wenn die Organisation bereits Erfahrung im Umgang mit diesen Systemen hat. Der Aufwand für den Wechsel von einer Arbeitsumgebung mit traditionellen Desktop-Anwendungen, File-Shares und E-Mailboxen hin zu CMS und Ticket-Systemen sollte nicht unterschätzt werden, auch wenn am Ende eine Effizienzsteigerung im ISMS das eigentliche Ziel ist.

Es ergibt wenig Sinn, vorhandene Dateien einfach in unübersichtliche Seitenstrukturen hochzuladen. Wer die Vorteile von CMS und Ticket-Systemen voll ausschöpfen möchte, muss sich letztlich von den gewohnten File-Shares verabschieden. Wir unterstützen unsere Kunden dabei, diesen schwierigen Schritt hin zu einem modernen Wissensmanagement zu vollziehen.

Sebastian Klipper

CycleSEC Geschäftsführer und Managing Consultant

Gängige Schwierigkeiten in der Anwendung

In unseren Projekten helfen wir Kunden, gängige Fehler im Umgang mit CMS und Ticket-Systemen zu vermeiden. Die drei am einfachsten vermeidbaren Problembereiche sind:

Fehler 1: Datei-Export

Fehler: Das CMS als Ersatz für Word und Co. verwenden und Seiten regelmäßig exportieren und als PDF ablegen.

Beispiel: Praktisch in jedem Projekt stößt man irgendwann auf die Frage, wie man die Seiten aus dem CSM oder die Tickets denn als PDF-Datei exportieren kann, um diese dann in den alten File-Shares abzulegen.

Fehler 2: Datei-Import

Fehler: Dateien in CMS-Seiten oder als Anhänge zu Seiten abzulegen, statt wie vorher in Ordnerstrukturen.

Beispiel: Ebenso verlockend ist der Reflex, das CMS dafür zu nutzen, Dateien als Anlage zu einer Seite hochzuladen und das CMS als wenig geeignetes Abbild der alten Ordnerstrukturen zu verwenden.

Fehler 3: Zettelwirtschaft

Fehler: Das Kommentarfeld im Ticket-System oder dem CMS als Ersatz für E-Mails und zur Dokumentation von Fakten verwenden.

Beispiel: Gerade bei komplexen Aufgaben können mit der Zeit eine beachtliche Anzahl an Kommentaren mit wichtigen aber kaum wiederzufindenden Fakten zustande kommen – das Revival der Zettelwirtschaft.

Versprochen: Die drei hinter diesen Fehlern stehenden Aufgaben lassen sich mit einer Textverarbeitung, File-Shares und E-Mail-Programmen deutlich besser und schneller erledigen als mit einem CMS oder einem Ticket-System. Was trivial erscheint, bedarf oft einer Erklärung, insbesondere wenn Personen in einer Organisation nicht mit dieser Art von Systemen vertraut sind. Es kommt regelmäßig vor, dass jemand in einer CMS-Seite einen Header einfügt, der die Version der Seite manuell vermerkt, obwohl das CMS diese Information in der Versionshistorie automatisch speichert. Wie kann man es also besser machen und woran müssen wir uns anpassen?

Lösung 1: Versionierung

Das Content-Management-System (CMS) stellt die zentrale Anlaufstelle für aktuelle und historische Versionen eines Textes dar.

Neue Texte werden stets im CMS erstellt. Im Idealfall werden sie durch das Marketing und die interne Kommunikation finalisiert und publiziert, sofern eine Weitergabe nach außen erforderlich ist.

Woran wir uns gewöhnen müssen: Texte sind mehr ein Kontinuum, als dass sie eine konkrete Version haben. Sollen Informationen dann doch einmal außerhalb des Kreises der Systemberechtigten verteilt werden, geschieht das über technische Schnittstellen, interne Kommunikation und Marketing.

Lösung 2: Textübernahme

Der Inhalt von Dateien wird dabei in Gänze auf der CMS-Plattform integriert. Dies betrifft gegebenenfalls auch Dokumente, die von externen Quellen erhalten wurden.

Abhängig vom jeweiligen Anwendungsfall kann auch die Einrichtung eines Mechanismus zur automatischen Übernahme von Daten aus E-Mails erforderlich sein.

Tabellen und Übersichten werden durch das System erstellt und nicht manuell.

Woran wir uns gewöhnen müssen: Nur wenn wir die Möglichkeiten eines CMS wie einheitliches Erscheinungsbild, Tags, Includes, Makros oder automatisch generierte Listen konsequent nutzen, werden wir einen Vorteil aus den Systemen ziehen.

Lösung 3: Eingabemasken

Das Kommentarfeld eines Tickets dient auch ausschließlich der Kommentierung von Fakten und nicht ihrer Dokumentation. Es wird nicht zum Versenden von Nachrichten an andere Nutzer:innen (z.B. durch Verwendung von @…) genutzt und auch nicht zur Zuweisung von Unteraufgaben.

Sollte für eine wichtige Information kein passendes Feld vorhanden sein, ist die Eingabemaske entsprechend zu erweitern.

Woran wir uns gewöhnen müssen: Die wesentlichen Informationen zu einem Ticket sind in den Feldern des Tickets vorzuhalten und anzupassen. Sub-Tasks werden als neue Tickets erfasst und zugewiesen und komplexe Aufgaben sind als übergeordnetes Epic oder als Story zu planen.

Die Dokumentation eines ISMS mit nicht enden wollenden Tabellen und unübersichtlichen Ordnerstrukturen ist mit den CycleSEC-Frameworks in einem CMS mit Ticket-System Geschichte.

Integration und kontinuierliche Verbesserung

Wenn man sich auf die Umstellung einlässt und die Systeme sowie ihre spezifischen Stärken nutzt, kann am Ende eine deutliche Effizienzsteigerung im ISMS stehen. Insbesondere lassen sich Übersichten, Auswertungen und aggregierte Darstellungen so implementieren, dass sie stets aktuelle Informationen enthalten. In der Beratungspraxis konnten wir die Vorbereitungszeit für ein Management-Review nach ISO/IEC 27001 9.3, die mit Word, Excel und PowerPoint teilweise mehrere Tage in Anspruch nahm, auf unter 15 Minuten reduzieren. Je nach Umfang und Tiefe der Systemintegration ist es möglich, das Management-Review teilweise jederzeit auf Abruf durchzuführen, da die Informationen immer auf dem neuesten Stand sind.

Durch Kombination mit einem geeigneten Ticket-System können Prozesse und Anforderungen direkt im Ticket-System bearbeitet und gesteuert werden, wobei die spezifischen Reporting-Möglichkeiten zur Steuerung des ISMS genutzt werden. Wie erfolgreich die Integration von CMS und Ticket-System ist und wie hoch die Effizienzsteigerung im ISMS, hängt von der technischen Kompatibilität der konkret vorhandenen Systeme ab und davon, wie diese genutzt werden. Hierbei sind Erfahrung, gegebenenfalls etwas Kreativität und Geschick im Umgang mit den vorhandenen Möglichkeiten gefragt. Nicht immer ist die beste Lösung auch die effizienteste, und oft ist es ratsam, dem Pareto-Prinzip folgend an einer Stelle zunächst mit 80 % zufrieden zu sein und an anderer Stelle weiterzumachen, wo die Zielerreichung bisher nur bei 30 % liegt. Wenn man schließlich überall 80 % erreicht hat, beginnt die kontinuierliche Verbesserung, die nach ISO/IEC 27001 Clause 10 zum Alltag eines ISMS gehört.

Weitere Quellen zum Thema

Managementsysteme für Informationssicherheit (ISMS) mit DIN EN ISO/IEC 27001 betreiben und verbessern

Herausgeber: DIN
Verlag: Beuth 2017, Neuauflage 2024

Das Buch aus der Reihe Beuth Praxis unterstützt Sie bei der Aufrechterhaltung und Verbesserung Ihres ISMS und bei der kontinuierlichen Verbesserung der zugehörigen Prozesse.

Co-Autor: Sebastian Klipper

Buch beim Verlag ansehen…

Al­les be­ginnt mit ei­nem Satz: Content-Management-Systeme und Ticket-Systeme als ISMS-Tools (Teil I)

Artikel in „kes“ Heft 5/2023

In ihrem Artikel in der „kes“ Die Zeitschrift für Informations-Sicherheit beleuchten die CycleSEC-Consultants Sebastian Klipper, Lars Albert und Louisa Frick die Möglichkeiten, eine ISMS-Implementierung mit Content-Management-Systemen (CMS) und Ticket-Systemen zu steuern.

Autor:innen: Sebastian Klipper, Lars Albert, Louisa Frick

Artikel in der „kes“ ansehen…

Veröffentlicht am

Foto des Autors

Dieser Beitrag kommt von

CycleSEC Redaktion

Die CycleSEC GmbH wurde 2015 als wissenschaftliche Ausgründung der Fachhochschule Münster gegründet. Seit 2017 ist das Unternehmen im alleinigen Besitz des Gründers Sebastian Klipper. CycleSEC hat seinen Sitz in Hamburg. Aus dem Norden der Republik bietet die CycleSEC GmbH ihr Beratungsportfolio in ganz Deutschland und darüber hinaus an.

Sie haben noch Fragen?

Nehmen Sie Kontakt zu uns auf:

Hier geht's zum Kontaktformular

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen