Security is a process!

CycleSEC
ISMS-Frameworks in der „kes“

ISMS mit XWiki in „kes“ Heft 04/2024

Bei der Implementierung eines ISMS nach ISO/IEC 27001 müssen 7 Clauses und 93 Controls systematisch in der eigenen Organisation umgesetzt und ggf. für ein Zertifizierungsaudit nachvollziehbar dokumentiert werden.

In seinem aktuellen Artikel in der „kes“ Die Zeitschrift für Informations-Sicherheit beleuchtet der CycleSEC-Geschäftsführer Sebastian Klipper die Möglichkeiten einer ISMS-Implementierung mit der Wiki-Software XWiki.

Wesentlicher Teil des Artikels ist die Vorstellung der von CycleSEC entwickelten ISMS-Frameworks und Compliance-Mappings. Sie basieren auf praktischen Erfahrungen und auf den Forschungsergebnissen, die unser Autor Sebastian Klipper zusammen mit Steffen Hessler am Center for Advanced Internet Studies CAIS NRW erzielt und bereits in Heft 2021#1 in der „kes“ veröffentlicht hatte. In unserer bisherigen Beratungspraxis haben sich die folgenden Frameworks als besonders hilfreich erwiesen:

ISMS-Core-Framework

Prozess-Framework

Management-Review-Framework

Framework der Rollen und Verantwortlichkeiten

Awareness-Framework

BSI-Framework

ISMS-Team-Framework

Compliance-Framework

Risiko-Framework

Policy-Framework

Communication-Framework

Qualification-Framework

Asset-Framework

DSGVO-Framework

Audit-Framework

ISMS mit XWiki: Drei wichtige Frameworks

Die drei wichtigsten Frameworks teasern wir im Folgenden kurz an. Eine ausführliche Darstellung findet sich in der <kes> im aktuellen Heft 4/2023.

ISMS-Core-Framework

Im ISMS-Core-Framework wird das ISMS-Handbuch und das Statement of Applicability (SoA) gepflegt. Ein ISMS-Handbuch ist zwar gemäß ISO/IEC 27001 nicht vorgeschrieben, aber dennoch weit verbreitet. Es wird oft als textuelle Beschreibung zur Umsetzung der Clauses eingesetzt und folgt dabei sogar in der Nummerierung der Struktur des Textteils der ISO/IEC 27001. Das Handbuch dient der Einarbeitung ins ISMS und als grundlegendes Überblicksdokument und in einem Stage 1-Audit erleichtert es einem Audit-Team die Arbeit. Das SoA hingegen ist ein zwingend erforderliches Dokument, das den expliziten Anforderungen aus Clause 6.1.3 genügen muss.

ISMS-Implementierung mit CycleSEC und XWiki

Die ISMS-Frameworks im Überblick

Weitere Informationen zu unseren ISMS-Frameworks für XWiki finden Sie hier:

ISMS-Frameworks

BSI IT-Grundschutz mit den ISMS-Frameworks

Informationen zur Implementierung eines ISMS mit XWiki, den BSI Standards und dem IT-Grundschutz-Kompendium finden Sie unter:

IT-Grundschutz

Managed ISMS-Frameworks

Wir begleiten Sie bei der ISMS-Implementierung mit XWiki und stellen die Infrastruktur:

ISMS as a Service

Management-Review-Framework

Im Management-Framework werden alle gemäß Clause 9.3 geforderten Aspekte umgesetzt. Diese kann beispielsweise als Powerpoint-Präsentation erfolgen oder wie in CycleSEC-Projekten in einer Übersichtsdarstellung als Dashboard in einem Content-Management-System (CMS).

Bei der Umsetzung in einem CMS gilt es, eine Balance zwischen automatisierter, tagesaktueller Darstellung und Dokumentation der Inhalte zu einem bestimmten Stichtag zu finden. Es gibt einerseits Organisationen, für die Online-Meetings und die Arbeit mit CMS oder Ticket-System auch im Top-Management gängige Praxis sind und andererseits Organisationen, in denen die ausgedruckte Tischvorlage die übliche Basis für Entscheidungen des Top-Managements sind. Auch letzterer Fall lässt sich in einem CMS realisieren, vorausgesetzt man hat eine gute Export-Möglichkeit zu den eigenen Office-Anwendungen.

Policy-Framework

Im Policy-Framework werden Entwürfe und in Kraft gesetzte Policies dokumentiert. Je nach Höhe der Dokumentenpyramide in der Organisation können weitere nachgeordnete Frameworks für Guidelines, Betriebsvereinbarungen oder ähnliches angelegt werden. Bei der Implementierung eines ISMS mit Content-Management-Systemen (CMS) und Ticket-Systemen und den vorhandenen Möglichkeiten zur Versionierung und Abstimmung von Entwürfen kann es nötig sein, jeweils ein Framework für die Entwurfs- und Abstimmungsphase anzulegen und ein Framework für die in Kraft gesetzten Dokumente.

Al­les be­ginnt mit ei­nem Satz – Teil I:
Content-Management-Systeme und Ticket-Systeme als ISMS-Tools

Autor:innen: Sebastian Klipper, Lars Albert, Louisa Frick (jeweils CycleSEC)

Artikel in der <kes> ansehen…

Al­les be­ginnt mit ei­nem Satz – Teil II:
Praktische ISMS-Implementierung mit einem CMS am Beispiel von XWiki

Autor: Sebastian Klipper (CycleSEC)

Artikel in der <kes> ansehen…

Direkt durchstarten mit den CycleSEC ISMS-Frameworks

CycleSEC bietet seinen Kunden zur ISMS-Implementierung nach ISO/IEC 27001 und BSI IT-Grundschutz eine eigenentwickelte Struktur aus 16 modularen ISMS-Frameworks und mehreren Compliance-Mappings zu wichtigen Anforderungen der Informationssicherheit:

ISMS: ISO/IEC 27001:2022 – Information security management systems – Requirements

Risiko-Management: ISO/IEC 27005:2022 – Guidance on managing information security risks

ISO/IEC 27001 auf Basis von IT-Grundschutz: Die CycleSEC ISMS-Frameworks als Alternative zu Ihrem Grundschutz-Tool

Risiko-Management: Gefährdungen des BSI IT-Grundschutz-Kompendiums

ISMS-Prozesse: ISO/IEC 27022:2021 – Guidance on information security management system processes

Datenschutz-Grundverordnung: Anforderungen der europäischen Verordnung zum Schutz personenbezogener Daten

NIS 2: Gesetzes zur Umsetzung der NIS-2-Richtlinie (im Referentenentwurf vom 07.05.2024)

Staatlicher Geheimschutz: Anlage 4 zum Geheimschutzhandbuch – GHB: VS-NfD-Merkblatt mit Stand 07/2023

Branchen-Label: Mapping zum TeleTrusT Vertrauenszeichen IT Security made in Germany

Als Managed Service, zur eigenverantwortlichen Nutzung oder als Consulting-Projekt

Die CycleSEC ISMS-Frameworks stehen ihnen dabei als Managed Service oder zur eigenverantwortlichen Nutzung zur Verfügung. Oder sie starten Ihre ISMS-Implementierung wie gewohnt in einem Consulting-Projekt mit unserem Erfahrenen Team und wir passen die ISMS-Frameworks auf Ihre individuellen Bedürfnisse an und unterstützen Sie bei allen Projektaktivitäten im Zusammenhang mit Ihrem ISMS.

Veröffentlicht am

Foto des Autors

Dieser Beitrag kommt von

CycleSEC Redaktion

Die CycleSEC GmbH wurde 2015 als wissenschaftliche Ausgründung der Fachhochschule Münster gegründet. Seit 2017 ist das Unternehmen im alleinigen Besitz des Gründers Sebastian Klipper. CycleSEC hat seinen Sitz in Hamburg. Aus dem Norden der Republik bietet die CycleSEC GmbH ihr Beratungsportfolio in ganz Deutschland und darüber hinaus an.

Sie haben noch Fragen?

Nehmen Sie Kontakt zu uns auf:

Hier geht's zum Kontaktformular

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen