CycleSEC
ISMS-Frameworks in der „kes“
ISMS mit XWiki in „kes“ Heft 04/2024
Bei der Implementierung eines ISMS nach ISO/IEC 27001 müssen 7 Clauses und 93 Controls systematisch in der eigenen Organisation umgesetzt und ggf. für ein Zertifizierungsaudit nachvollziehbar dokumentiert werden.
In seinem aktuellen Artikel in der „kes“ Die Zeitschrift für Informations-Sicherheit beleuchtet der CycleSEC-Geschäftsführer Sebastian Klipper die Möglichkeiten einer ISMS-Implementierung mit der Wiki-Software XWiki.
Wesentlicher Teil des Artikels ist die Vorstellung der von CycleSEC entwickelten ISMS-Frameworks und Compliance-Mappings. Sie basieren auf praktischen Erfahrungen und auf den Forschungsergebnissen, die unser Autor Sebastian Klipper zusammen mit Steffen Hessler am Center for Advanced Internet Studies CAIS NRW erzielt und bereits in Heft 2021#1 in der „kes“ veröffentlicht hatte. In unserer bisherigen Beratungspraxis haben sich die folgenden Frameworks als besonders hilfreich erwiesen:
ISMS-Core-Framework
Prozess-Framework
Management-Review-Framework
Framework der Rollen und Verantwortlichkeiten
Awareness-Framework
BSI-Framework
ISMS-Team-Framework
Compliance-Framework
Risiko-Framework
Policy-Framework
Communication-Framework
Qualification-Framework
Asset-Framework
DSGVO-Framework
Audit-Framework
ISMS mit XWiki: Drei wichtige Frameworks
Die drei wichtigsten Frameworks teasern wir im Folgenden kurz an. Eine ausführliche Darstellung findet sich in der <kes> im aktuellen Heft 4/2023.
ISMS-Core-Framework
Im ISMS-Core-Framework wird das ISMS-Handbuch und das Statement of Applicability (SoA) gepflegt. Ein ISMS-Handbuch ist zwar gemäß ISO/IEC 27001 nicht vorgeschrieben, aber dennoch weit verbreitet. Es wird oft als textuelle Beschreibung zur Umsetzung der Clauses eingesetzt und folgt dabei sogar in der Nummerierung der Struktur des Textteils der ISO/IEC 27001. Das Handbuch dient der Einarbeitung ins ISMS und als grundlegendes Überblicksdokument und in einem Stage 1-Audit erleichtert es einem Audit-Team die Arbeit. Das SoA hingegen ist ein zwingend erforderliches Dokument, das den expliziten Anforderungen aus Clause 6.1.3 genügen muss.
ISMS-Implementierung mit CycleSEC und XWiki
Management-Review-Framework
Im Management-Framework werden alle gemäß Clause 9.3 geforderten Aspekte umgesetzt. Diese kann beispielsweise als Powerpoint-Präsentation erfolgen oder wie in CycleSEC-Projekten in einer Übersichtsdarstellung als Dashboard in einem Content-Management-System (CMS).
Bei der Umsetzung in einem CMS gilt es, eine Balance zwischen automatisierter, tagesaktueller Darstellung und Dokumentation der Inhalte zu einem bestimmten Stichtag zu finden. Es gibt einerseits Organisationen, für die Online-Meetings und die Arbeit mit CMS oder Ticket-System auch im Top-Management gängige Praxis sind und andererseits Organisationen, in denen die ausgedruckte Tischvorlage die übliche Basis für Entscheidungen des Top-Managements sind. Auch letzterer Fall lässt sich in einem CMS realisieren, vorausgesetzt man hat eine gute Export-Möglichkeit zu den eigenen Office-Anwendungen.
Policy-Framework
Im Policy-Framework werden Entwürfe und in Kraft gesetzte Policies dokumentiert. Je nach Höhe der Dokumentenpyramide in der Organisation können weitere nachgeordnete Frameworks für Guidelines, Betriebsvereinbarungen oder ähnliches angelegt werden. Bei der Implementierung eines ISMS mit Content-Management-Systemen (CMS) und Ticket-Systemen und den vorhandenen Möglichkeiten zur Versionierung und Abstimmung von Entwürfen kann es nötig sein, jeweils ein Framework für die Entwurfs- und Abstimmungsphase anzulegen und ein Framework für die in Kraft gesetzten Dokumente.
Direkt durchstarten mit den CycleSEC ISMS-Frameworks
CycleSEC bietet seinen Kunden zur ISMS-Implementierung nach ISO/IEC 27001 und BSI IT-Grundschutz eine eigenentwickelte Struktur aus 16 modularen ISMS-Frameworks und mehreren Compliance-Mappings zu wichtigen Anforderungen der Informationssicherheit:
ISMS: ISO/IEC 27001:2022 – Information security management systems – Requirements
Risiko-Management: ISO/IEC 27005:2022 – Guidance on managing information security risks
ISO/IEC 27001 auf Basis von IT-Grundschutz: Die CycleSEC ISMS-Frameworks als Alternative zu Ihrem Grundschutz-Tool
Risiko-Management: Gefährdungen des BSI IT-Grundschutz-Kompendiums
ISMS-Prozesse: ISO/IEC 27022:2021 – Guidance on information security management system processes
Datenschutz-Grundverordnung: Anforderungen der europäischen Verordnung zum Schutz personenbezogener Daten
NIS 2: Gesetzes zur Umsetzung der NIS-2-Richtlinie (im Referentenentwurf vom 07.05.2024)
Staatlicher Geheimschutz: Anlage 4 zum Geheimschutzhandbuch – GHB: VS-NfD-Merkblatt mit Stand 07/2023
Branchen-Label: Mapping zum TeleTrusT Vertrauenszeichen IT Security made in Germany
Als Managed Service, zur eigenverantwortlichen Nutzung oder als Consulting-Projekt
Die CycleSEC ISMS-Frameworks stehen ihnen dabei als Managed Service oder zur eigenverantwortlichen Nutzung zur Verfügung. Oder sie starten Ihre ISMS-Implementierung wie gewohnt in einem Consulting-Projekt mit unserem Erfahrenen Team und wir passen die ISMS-Frameworks auf Ihre individuellen Bedürfnisse an und unterstützen Sie bei allen Projektaktivitäten im Zusammenhang mit Ihrem ISMS.