CycleSEC
ISMS-Frameworks
Modulare ISMS-Frameworks™
CycleSEC verwendet bei der ISMS-Implementierung nach ISO/IEC 27001 eine eigenentwickelte Struktur aus ISMS-Frameworks™ und Compliance-Mappings.
Unsere ISMS-Frameworks™ basieren auf praktischen Erfahrungen und auf den Forschungsergebnissen, die unser Autor Sebastian Klipper zusammen mit dem Sprachwissenschaftler Steffen Hessler am Center for Advanced Internet Studies CAIS NRW erzielt hat. In unserer bisherigen Beratungspraxis haben sich die folgenden 12 Frameworks als besonders hilfreich erwiesen:
Core-Framework
Prozess-Framework
Management-Review-Framework
Framework der Rollen und Verantwortlichkeiten
Awareness-Framework
ISMS-Team-Framework
Compliance-Framework
Risiko-Framework
Policy-Framework
Communication-Framework
Qualification-Framework
Audit-Framework
Implementierung mit CMS und Ticket-System
Bei der Implementierung unserer ISMS-Frameworks™ nutzen wir Content-Management-Systeme (wie Confluence, Sharepoint oder xWiki) und Ticket-Systeme (z.B. Jira i.V.m. Confluence). Im besten Fall existiert in Ihrer Organisation bereits ein CMS und ein Ticket-System, in denen die Fachabteilungen arbeiten und die Dokumentation zu internen Prozessen und Regularien ablegen.
Schneller zur ISMS-Implementierung mit CycleSEC und XWiki
Neben einer individuellen Implementierung bieten wir zur Implementierung eines ISMS nach ISO/IEC 27001 eine vollständige ISMS-Dokumentation in XWiki. Das Second Generation Wiki XWiki ist eine Plattform zum Wissensmanagement. Als Confluence-Alternative haben wir mit XWiki in unseren Kundenprojekten sehr gute Erfahrungen gemacht. Darüber hinaus wird XWiki in der Open CoDE-Plattform der Öffentlichen Verwaltung für Projekte im Wissensmanagement empfohlen.
-50.000 EUR
Reduzierte Projektkosten*
750+ vorhandene CMS Seiten
Reduzierter Projektaufwand
-8 Wochen
Schneller zum Ziel*
* Entspricht unserem üblichen Projektaufwand zum Implementieren der CMS-Struktur in einem typischen Kundenprojekt.
Das installieren des Import-Pakets dauert je nach Umgebung ca. 5 Minuten.
Im Vergleich zu Confluence fallen darüber hinaus deutlich geringere Lizenzkosten an.
Bei unserem Angebot handelt es sich um eine beispielhafte Implementierung, die auch Varianten einer möglichen Umsetzung in XWiki zeigt. Die vorhandene Struktur ist ein Beispiel-Aufbau, die Ihnen den Einstieg in eine ISMS-Implementierung mit XWiki erleichtern soll. Falls der Beispiel-Aufbau zu Ihren Bedürfnissen passt, spart Ihnen unser Import-Paket bis zu acht Wochen internem Aufwand bzw. externe Projektkosten*.
Die CycleSEC ISMS-Frameworks™ unterstützen die folgenden Normen und Anforderungen:
ISMS: ISO/IEC 27001:2022 – Information security management systems – Requirements
Risiko-Management: ISO/IEC 27005:2022 – Guidance on managing information security risks
Risiko-Management: Gefährdungen des BSI IT-Grundschutz-Kompendiums
ISMS-Prozesse: ISO/IEC 27022:2021 – Guidance on information security management system processes
Staatlicher Geheimschutz: Anlage 4 zum Geheimschutzhandbuch – GHB: VS-NfD-Merkblatt mit Stand 07/2023
Branchen-Label: Mapping zum TeleTrusT Vertrauenszeichen IT Security made in Germany
Die Integration weiterer Normen in unser Compliance-Framework ist bereits in der Vorbereitung. Die hierfür zu erstellenden Mappings werden voraussichtlich im Frühjahr 2024 zur Verfügung stehen (in Vorbereitung) oder können mit einem Projektpartner implementiert werden (mit Projektpartner).
Datenschutz: ISO/IEC 27701:2019 – Extension for privacy information management (in Vorbereitung)
Bankenaufsicht: BAIT – Bankaufsichtliche Anforderungen an die IT – BAIT-Novelle 2021 (mit Projektpartner)
Bankenaufsicht: DORA – Digital Operational Resilience Act (mit Projektpartner)
Eine wesentliche Stärke von CMS-Systemen ist die automatische und revisionssichere Versionierung. Das erleichtert es, die ISMS-Dokumentation Schritt für Schritt zu verbessern und Änderungen lückenlos nachzuvollziehen. Durch die Kombination mit einem geeigneten Ticket-System können Prozesse und Anforderungen jeweils im Ticket-System bearbeitet und gesteuert werden.
750+
CMS Seiten
3000+
Verknüpfungen
60+
Vorlagen und Beispiele
25+
Apps und Tools
1
Erfahrenes Team
Wie gut die Integration von CMS und Ticket-System klappt, hängt davon ab, wie gut die in Ihrer Organisation konkret verwendeten Systeme technisch miteinander harmonieren. Hierbei ist also Erfahrung, ggf. etwas Kreativität und Geschick im Umgang mit den vorhandenen Möglichkeiten gefragt. Das CycleSEC Consulting-Team hilft Ihnen natürlich dabei, bekannte Probleme und Fallstricke zu umgehen.
Die Dokumentation eines ISMS mit nicht enden wollenden Tabellen und unübersichtlichen Ordnerstrukturen ist mit den CycleSEC-Frameworks™ Geschichte.
Unsere ISMS-Frameworks™ im Überblick
Core-Framework
Im ISMS-Core-Framework wird das ISMS-Handbuch und das Statement of Applicability (SoA) gepflegt. Hier sehen Sie auf einen Blick, wie weit Sie bereits gekommen sind.
Prozess-Framework
Unser Prozess-Framework basiert auf den Anforderungen der ISO/IEC 27022 und beinhaltet Prozesssteckbriefe zu den 17 wichtigsten ISMS-Prozessen.
Compliance-Framework
Das Compliance-Framework enthält mindestens ein Mapping auf alle Anforderungen der ISO/IEC 27001. Zusätzlich können hier Mappings auf regulatorische Anforderungen gepflegt werden (BaFin, VSA, o.ä.).
Communication-Framework
Im Communication-Framework wird die gesamte Kommunikation des ISMS-Teams geplant, gesteuert und dokumentiert, so dass Sie auf jede Situation passend vorbereitet sind.
Vier wichtige ISMS-Frameworks™
Im Folgenden stellen wir vier wichtige ISMS-Frameworks™ kurz vor. Eine ausführliche Darstellung findet sich in der <kes> in Heft 5/2023.
ISMS-Core-Framework
Im ISMS-Core-Framework wird das ISMS-Handbuch und das Statement of Applicability (SoA) gepflegt. Ein ISMS-Handbuch ist zwar gemäß ISO/IEC 27001 nicht vorgeschrieben, aber dennoch weit verbreitet. Es wird oft als textuelle Beschreibung zur Umsetzung der Clauses eingesetzt und folgt dabei sogar in der Nummerierung der Struktur des Textteils der ISO/IEC 27001. Das Handbuch dient der Einarbeitung ins ISMS und als grundlegendes Überblicksdokument und in einem Stage 1-Audit erleichtert es einem Audit-Team die Arbeit. Das SoA hingegen ist ein zwingend erforderliches Dokument, das den expliziten Anforderungen aus Clause 6.1.3 genügen muss.
Management-Review-Framework
Im Management-Review-Framework werden alle gemäß Clause 9.3 geforderten Aspekte umgesetzt. Diese kann beispielsweise als Powerpoint-Präsentation erfolgen oder wie in CycleSEC-Projekten in einer Übersichtsdarstellung als Dashboard in einem Content-Management-System (CMS).
Bei der Umsetzung in einem CMS gilt es, eine Balance zwischen automatisierter, tagesaktueller Darstellung und Dokumentation der Inhalte zu einem bestimmten Stichtag zu finden. Es gibt einerseits Organisationen, für die Online-Meetings und die Arbeit mit CMS oder Ticket-System auch im Top-Management gängige Praxis sind und andererseits Organisationen, in denen die ausgedruckte Tischvorlage die übliche Basis für Entscheidungen des Top-Managements sind. Auch letzterer Fall lässt sich in einem CMS realisieren, vorausgesetzt man hat eine gute Export-Möglichkeit zu den eigenen Office-Anwendungen.
Policy-Framework
Im Policy-Framework werden Entwürfe und in Kraft gesetzte Policies dokumentiert. Je nach Höhe der Dokumentenpyramide in der Organisation können weitere nachgeordnete Frameworks für Guidelines, Betriebsvereinbarungen oder ähnliches angelegt werden. Bei der Implementierung eines ISMS mit Content-Management-Systemen (CMS) und Ticket-Systemen und den vorhandenen Möglichkeiten zur Versionierung und Abstimmung von Entwürfen kann es nötig sein, jeweils ein Framework für die Entwurfs- und Abstimmungsphase anzulegen und ein Framework für die in Kraft gesetzten Dokumente.
Prozess-Framework
ISO/IEC 27022-kompatible ISMS-Prozesse
Unser Prozess-Framework basiert auf den Anforderungen der ISO/IEC 27022 und beinhaltet Prozesssteckbriefe zu den wichtigsten ISMS-Prozessen.
112
Prozess-Aktivitäten
69
Ergebnis-Dokumente
20
Prozess-Steckbriefe
1
Prozess-Framework
Ein ISMS umfasst eine Sammlung von interagierenden Prozessen und wird durch die Ausführung dieser Prozesse betrieben. ISO/IEC 27022 stellt ein Prozessreferenzmodell (PRM) für das Informationssicherheitsmanagement zur Verfügung.