CycleSEC ISMS-Frameworks
Modulare ISMS-Frameworks
CycleSEC verwendet bei der ISMS-Implementierung nach ISO/IEC 27001 eine eigenentwickelte Struktur aus ISMS-Frameworks und Compliance-Mappings.
Unsere ISMS-Frameworks basieren auf praktischen Erfahrungen und auf den Forschungsergebnissen, die unser Autor Sebastian Klipper zusammen mit dem Sprachwissenschaftler Steffen Hessler am Center for Advanced Internet Studies CAIS NRW erzielt hat. In unserer bisherigen Beratungspraxis haben sich die folgenden 12 Frameworks als besonders hilfreich erwiesen:
Core-Framework
Prozess-Framework
Management-Review-Framework
Framework der Rollen und Verantwortlichkeiten
Awareness-Framework
ISMS-Team-Framework
Compliance-Framework
Risiko-Framework
Policy-Framework
Communication-Framework
Qualification-Framework
Audit-Framework
Implementierung mit CMS und Ticket-System
Bei der Implementierung unserer ISMS-Frameworks nutzen wir Content-Management-Systeme (wie Confluence, Sharepoint oder xWiki) und Ticket-Systeme (z.B. Jira i.V.m. Confluence). Im besten Fall existiert in Ihrer Organisation bereits ein CMS und ein Ticket-System, in denen die Fachabteilungen arbeiten und die Dokumentation zu internen Prozessen und Regularien ablegen.
Eine wesentliche Stärke von CMS-Systemen ist die automatische und revisionssichere Versionierung. Das erleichtert es, die ISMS-Dokumentation Schritt für Schritt zu verbessern und Änderungen lückenlos nachzuvollziehen. Durch die Kombination mit einem geeigneten Ticket-System können Prozesse und Anforderungen jeweils im Ticket-System bearbeitet und gesteuert werden.
Wie gut die Integration von CMS und Ticket-System klappt, hängt davon ab, wie gut die in Ihrer Organisation konkret verwendeten Systeme technisch miteinander harmonieren. Hierbei ist also Erfahrung, ggf. etwas Kreativität und Geschick im Umgang mit den vorhandenen Möglichkeiten gefragt. Das CycleSEC Consulting-Team hilft Ihnen natürlich dabei, bekannte Probleme und Fallstricke zu umgehen.
> 450
CMS Seiten
> 1500
Verknüpfungen
> 50
Snippets
> 15
Apps und Tools
1
Erfahrenes Team
Die Dokumentation eines ISMS mit nicht enden wollenden Tabellen und unübersichtlichen Ordnerstrukturen ist mit den CycleSEC-Frameworks Geschichte.
Unsere ISMS-Frameworks im Überblick
Core-Framework
Im ISMS-Core-Framework wird das ISMS-Handbuch und das Statement of Applicability (SoA) gepflegt. Hier sehen Sie auf einen Blick, wie weit sie bereits gekommen sind.
Prozess-Framework
Unser Prozess-Framework basiert auf den Anforderungen der ISO/IEC 27022 und beinhaltet Prozesssteckbriefe zu den 17 wichtigsten ISMS-Prozessen.
Compliance-Framework
Das Compliance-Framework enthält mindestens ein Mapping auf alle Anforderungen der ISO/IEC 27001. Zusätzlich können hier Mappings auf regulatorische Anforderungen gepflegt werden (BaFin, VSA, o.ä.).
Communication-Framework
Im Communication-Framework wird die gesamte Kommunikation des ISMS-Teams geplant, gesteuert und dokumentiert, so dass Sie auf jede Situation passend vorbereitet sind.
Vier wichtige Frameworks
Im Folgenden stellen wir vier wichtige Frameworks kurz vor. Eine ausführliche Darstellung findet sich in der <kes> im aktuellen Heft 5/2023.
ISMS-Core-Framework
Im ISMS-Core-Framework wird das ISMS-Handbuch und das Statement of Applicability (SoA) gepflegt. Ein ISMS-Handbuch ist zwar gemäß ISO/IEC 27001 nicht vorgeschrieben, aber dennoch weit verbreitet. Es wird oft als textuelle Beschreibung zur Umsetzung der Clauses eingesetzt und folgt dabei sogar in der Nummerierung der Struktur des Textteils der ISO/IEC 27001. Das Handbuch dient der Einarbeitung ins ISMS und als grundlegendes Überblicksdokument und in einem Stage 1-Audit erleichtert es einem Audit-Team die Arbeit. Das SoA hingegen ist ein zwingend erforderliches Dokument, das den expliziten Anforderungen aus Clause 6.1.3 genügen muss.
Management-Review-Framework
Im Management-Review-Framework werden alle gemäß Clause 9.3 geforderten Aspekte umgesetzt. Diese kann beispielsweise als Powerpoint-Präsentation erfolgen oder wie in CycleSEC-Projekten in einer Übersichtsdarstellung als Dashboard in einem Content-Management-System (CMS).
Bei der Umsetzung in einem CMS gilt es, eine Balance zwischen automatisierter, tagesaktueller Darstellung und Dokumentation der Inhalte zu einem bestimmten Stichtag zu finden. Es gibt einerseits Organisationen, für die Online-Meetings und die Arbeit mit CMS oder Ticket-System auch im Top-Management gängige Praxis sind und andererseits Organisationen, in denen die ausgedruckte Tischvorlage die übliche Basis für Entscheidungen des Top-Managements sind. Auch letzterer Fall lässt sich in einem CMS realisieren, vorausgesetzt man hat eine gute Export-Möglichkeit zu den eigenen Office-Anwendungen.
Policy-Framework
Im Policy-Framework werden Entwürfe und in Kraft gesetzte Policies dokumentiert. Je nach Höhe der Dokumentenpyramide in der Organisation können weitere nachgeordnete Frameworks für Guidelines, Betriebsvereinbarungen oder ähnliches angelegt werden. Bei der Implementierung eines ISMS mit Content-Management-Systemen (CMS) und Ticket-Systemen und den vorhandenen Möglichkeiten zur Versionierung und Abstimmung von Entwürfen kann es nötig sein, jeweils ein Framework für die Entwurfs- und Abstimmungsphase anzulegen und ein Framework für die in Kraft gesetzten Dokumente.
Prozess-Framework
ISO/IEC 27022-kompatible ISMS-Prozesse
Unser Prozess-Framework basiert auf den Anforderungen der ISO/IEC 27022 und beinhaltet Prozesssteckbriefe zu den wichtigsten ISMS-Prozessen.
112
Prozess-Aktivitäten
69
Ergebnis-Dokumente
17
Prozess-Steckbriefe
1
Prozess-Framework
Ein ISMS umfasst eine Sammlung von interagierenden Prozessen und wird durch die Ausführung dieser Prozesse betrieben. ISO/IEC 27022 stellt ein Prozessreferenzmodell (PRM) für das Informationssicherheitsmanagement zur Verfügung.