Security is a process!

CycleSEC ISMS-Frameworks

Modulare ISMS-Frameworks

CycleSEC verwendet bei der ISMS-Implementierung nach ISO/IEC 27001 eine eigenentwickelte Struktur aus ISMS-Frameworks und Compliance-Mappings.

Unsere ISMS-Frameworks basieren auf praktischen Erfahrungen und auf den Forschungsergebnissen, die unser Autor Sebastian Klipper zusammen mit dem Sprachwissenschaftler Steffen Hessler am Center for Advanced Internet Studies CAIS NRW erzielt hat. In unserer bisherigen Beratungspraxis haben sich die folgenden 12 Frameworks als besonders hilfreich erwiesen:

Core-Framework

Prozess-Framework

Management-Review-Framework

Framework der Rollen und Verantwortlichkeiten

Awareness-Framework

ISMS-Team-Framework

Compliance-Framework

Risiko-Framework

Policy-Framework

Communication-Framework

Qualification-Framework

Audit-Framework

Implementierung mit CMS und Ticket-System

Bei der Implementierung unserer ISMS-Frameworks nutzen wir Content-Management-Systeme (wie Confluence, Sharepoint oder xWiki) und Ticket-Systeme (z.B. Jira i.V.m. Confluence). Im besten Fall existiert in Ihrer Organisation bereits ein CMS und ein Ticket-System, in denen die Fachabteilungen arbeiten und die Dokumentation zu internen Prozessen und Regularien ablegen.

Schneller zur ISMS-Implementierung mit CycleSEC und XWiki

Neben einer individuellen Implementierung bieten wir zur Implementierung eines ISMS nach ISO/IEC 27001 eine vollständige ISMS-Dokumentation in XWiki. Das Second Generation Wiki XWiki ist eine Plattform zum Wissensmanagement. Als Confluence-Alternative haben wir mit XWiki in unseren Kundenprojekten sehr gute Erfahrungen gemacht. Darüber hinaus wird XWiki in der Open CoDE-Plattform der Öffentlichen Verwaltung für Projekte im Wissensmanagement empfohlen.

-50.000 EUR

Reduzierte Projektkosten*

750+ vorhandene CMS Seiten

Reduzierter Projektaufwand

-8 Wochen

Schneller zum Ziel*

* Entspricht unserem üblichen Projektaufwand zum Implementieren der CMS-Struktur in einem typischen Kundenprojekt.
Das installieren des Import-Pakets dauert je nach Umgebung ca. 5 Minuten.
Im Vergleich zu Confluence fallen darüber hinaus deutlich geringere Lizenzkosten an.

Bei unserem Angebot handelt es sich um eine beispielhafte Implementierung, die auch Varianten einer möglichen Umsetzung in XWiki zeigt. Die vorhandene Struktur ist ein Beispiel-Aufbau, die Ihnen den Einstieg in eine ISMS-Implementierung mit XWiki erleichtern soll. Falls der Beispiel-Aufbau zu Ihren Bedürfnissen passt, spart Ihnen unser Import-Paket bis zu acht Wochen internem Aufwand bzw. externe Projektkosten*.

Die CycleSEC ISMS-Frameworks unterstützen die folgenden Normen und Anforderungen:

ISMS: ISO/IEC 27001:2022 – Information security management systems – Requirements

Risiko-Management: ISO/IEC 27005:2022 – Guidance on managing information security risks

Risiko-Management: Gefährdungen des BSI IT-Grundschutz-Kompendiums

ISMS-Prozesse: ISO/IEC 27022:2021 – Guidance on information security management system processes

Staatlicher Geheimschutz: Anlage 4 zum Geheimschutzhandbuch – GHB: VS-NfD-Merkblatt mit Stand 07/2023

Branchen-Label: Mapping zum TeleTrusT Vertrauenszeichen IT Security made in Germany

Die Integration weiterer Normen in unser Compliance-Framework ist bereits in der Vorbereitung. Die hierfür zu erstellenden Mappings werden voraussichtlich im Frühjahr 2024 zur Verfügung stehen (in Vorbereitung) oder können mit einem Projektpartner implementiert werden (mit Projektpartner).

Datenschutz: ISO/IEC 27701:2019 – Extension for privacy information management (in Vorbereitung)

Bankenaufsicht: BAIT – Bankaufsichtliche Anforderungen an die IT – BAIT-Novelle 2021 (mit Projektpartner)

Bankenaufsicht: DORA – Digital Operational Resilience Act (mit Projektpartner)

Eine wesentliche Stärke von CMS-Systemen ist die automatische und revisionssichere Versionierung. Das erleichtert es, die ISMS-Dokumentation Schritt für Schritt zu verbessern und Änderungen lückenlos nachzuvollziehen. Durch die Kombination mit einem geeigneten Ticket-System können Prozesse und Anforderungen jeweils im Ticket-System bearbeitet und gesteuert werden.

750+

CMS Seiten

3000+

Verknüpfungen

60+

Vorlagen und Beispiele

25+

Apps und Tools

1

Erfahrenes Team

Wie gut die Integration von CMS und Ticket-System klappt, hängt davon ab, wie gut die in Ihrer Organisation konkret verwendeten Systeme technisch miteinander harmonieren. Hierbei ist also Erfahrung, ggf. etwas Kreativität und Geschick im Umgang mit den vorhandenen Möglichkeiten gefragt. Das CycleSEC Consulting-Team hilft Ihnen natürlich dabei, bekannte Probleme und Fallstricke zu umgehen.

Die Dokumentation eines ISMS mit nicht enden wollenden Tabellen und unübersichtlichen Ordnerstrukturen ist mit den CycleSEC-Frameworks Geschichte.

Unsere ISMS-Frameworks im Überblick

Core-Framework

Im ISMS-Core-Framework wird das ISMS-Handbuch und das Statement of Applicability (SoA) gepflegt. Hier sehen Sie auf einen Blick, wie weit sie bereits gekommen sind.

Prozess-Framework

Unser Prozess-Framework basiert auf den Anforderungen der ISO/IEC 27022 und beinhaltet Prozesssteckbriefe zu den 17 wichtigsten ISMS-Prozessen.

Management-Review-Framework

Hier werden alle gemäß Clause 9.3 geforderten Aspekte dokumentiert und in einer Übersichtsdarstellung als Dashboard dargestellt. Das Management-Review kann dann jederzeit tagesaktuell durchgeführt werden.

Unser Service: CISO-Coaching

Framework der Rollen und Verantwortlichkeiten

In diesem Framework werden alle für das ISMS relevanten Rollen als Rollensteckbrief angelegt und dokumentiert, welche Personen die Rollen einnehmen und welche Befugnisse sie dadurch haben.

Unser Service: ISMS-Recruiting

Awareness-Framework

Im Security-Awareness-Framework werden alle Maßnahmen zusammengefasst, die auf eine angemessene Security-Awareness einzahlen: vom simplen Wandposter bis zur großen Awareness-Kampagne.

Unser Service: Awareness-Trainings

ISMS-Team-Framework

Im ISMS-Team-Framework fassen wir die Arbeit des ISMS-Teams zusammen: Von der Meilensteinplanung bis zur Liste der offenen Punkte.

Unser Service: ISMS-Trainings

Compliance-Framework

Das Compliance-Framework enthält mindestens ein Mapping auf alle Anforderungen der ISO/IEC 27001. Zusätzlich können hier Mappings auf regulatorische Anforderungen gepflegt werden (BaFin, VSA, o.ä.).

Risiko-Framework

Im Risiko-Framework werden alle Risiken gesteuert und das Risikoinventar gepflegt. Wir verwenden dabei die Risiko-Methodik Ihrer Organisation oder bieten Ihnen eine von CycleSEC entwickelte Methodik.

Unser Service: Risk Management

Policy-Framework

Im Policy-Framework werden Entwürfe und in Kraft gesetzte Policies dokumentiert. Je nach Aufbau Ihrer Dokumentenpyramide können hier weitere Dokumentenklassen gesteuert werden.

Zum Beispiel: Secure Development

Communication-Framework

Im Communication-Framework wird die gesamte Kommunikation des ISMS-Teams geplant, gesteuert und dokumentiert, so dass Sie auf jede Situation passend vorbereitet sind.

Qualification-Framework

Im Qualification-Framework werden alle Fortbildungsmaßnahmen gesteuert, die für einen erfolgreichen Betrieb des ISMS benötigt werden: vom Inhouse-Training bis zum individuell geförderten Aufbaustudium.

Unser Service: ISMS-Trainings

Audit-Framework

Im Audit-Framework erfolgt die Steuerung aller internen und externen Audit-Aktivitäten. Hierzu gehört die Dokumentation von Abweichungen inkl. der Verknüpfung zum Stand der veranlassten Korrekturmaßnahmen.

Unser Service: Internal Audit

Vier wichtige Frameworks

Im Folgenden stellen wir vier wichtige Frameworks kurz vor. Eine ausführliche Darstellung findet sich in der <kes> im aktuellen Heft 5/2023.

ISMS-Core-Framework

Im ISMS-Core-Framework wird das ISMS-Handbuch und das Statement of Applicability (SoA) gepflegt. Ein ISMS-Handbuch ist zwar gemäß ISO/IEC 27001 nicht vorgeschrieben, aber dennoch weit verbreitet. Es wird oft als textuelle Beschreibung zur Umsetzung der Clauses eingesetzt und folgt dabei sogar in der Nummerierung der Struktur des Textteils der ISO/IEC 27001. Das Handbuch dient der Einarbeitung ins ISMS und als grundlegendes Überblicksdokument und in einem Stage 1-Audit erleichtert es einem Audit-Team die Arbeit. Das SoA hingegen ist ein zwingend erforderliches Dokument, das den expliziten Anforderungen aus Clause 6.1.3 genügen muss.

Management-Review-Framework

Im Management-Review-Framework werden alle gemäß Clause 9.3 geforderten Aspekte umgesetzt. Diese kann beispielsweise als Powerpoint-Präsentation erfolgen oder wie in CycleSEC-Projekten in einer Übersichtsdarstellung als Dashboard in einem Content-Management-System (CMS).

Bei der Umsetzung in einem CMS gilt es, eine Balance zwischen automatisierter, tagesaktueller Darstellung und Dokumentation der Inhalte zu einem bestimmten Stichtag zu finden. Es gibt einerseits Organisationen, für die Online-Meetings und die Arbeit mit CMS oder Ticket-System auch im Top-Management gängige Praxis sind und andererseits Organisationen, in denen die ausgedruckte Tischvorlage die übliche Basis für Entscheidungen des Top-Managements sind. Auch letzterer Fall lässt sich in einem CMS realisieren, vorausgesetzt man hat eine gute Export-Möglichkeit zu den eigenen Office-Anwendungen.

Erfahren Sie mehr zur ISMS-Implementierung mit CycleSEC

Policy-Framework

Im Policy-Framework werden Entwürfe und in Kraft gesetzte Policies dokumentiert. Je nach Höhe der Dokumentenpyramide in der Organisation können weitere nachgeordnete Frameworks für Guidelines, Betriebsvereinbarungen oder ähnliches angelegt werden. Bei der Implementierung eines ISMS mit Content-Management-Systemen (CMS) und Ticket-Systemen und den vorhandenen Möglichkeiten zur Versionierung und Abstimmung von Entwürfen kann es nötig sein, jeweils ein Framework für die Entwurfs- und Abstimmungsphase anzulegen und ein Framework für die in Kraft gesetzten Dokumente.

Prozess-Framework

ISO/IEC 27022-kompatible ISMS-Prozesse

Unser Prozess-Framework basiert auf den Anforderungen der ISO/IEC 27022 und beinhaltet Prozesssteckbriefe zu den wichtigsten ISMS-Prozessen.

112

Prozess-Aktivitäten

69

Ergebnis-Dokumente

20

Prozess-Steckbriefe

1

Prozess-Framework

Ein ISMS umfasst eine Sammlung von interagierenden Prozessen und wird durch die Ausführung dieser Prozesse betrieben. ISO/IEC 27022 stellt ein Prozessreferenzmodell (PRM) für das Informationssicherheitsmanagement zur Verfügung.

Erfahren Sie mehr zur ISMS-Implementierung mit CycleSEC

Unsere Veröffentlichungen zum Thema

ISMS mit DIN EN ISO/IEC 27001 betreiben und verbessern

Erschienen im Beuth Verlag, herausgegeben vom DIN

Autoren: Dr. Wolfgang Böhmer, Prof. Dr. Knut Haufe, Sebastian Klipper (CycleSEC), Dr. Thomas Lohre, Prof. Dr. Rainer Rumpel, Dipl.-Inf. Bernhard C. Witt

Buch beim Verlag ansehen…

Al­les be­ginnt mit ei­nem Satz – CMS- und Ticket-Systeme als ISMS-Tools

Fachartikel zu unseren Frameworks in der Zeitschrift <kes>

Autor:innen: Sebastian Klipper, Lars Albert, Louisa Frick (jeweils CycleSEC)

Artikel in der <kes> ansehen…

Die CycleSEC-Frameworks in der Fachzeitschrift <kes>

Beitrag in unserem Blog

Autor: Sebastian Klipper (CycleSEC)

Beitrag in unserem Blog lesen…

Sie haben noch Fragen?

Nehmen Sie Kontakt zu uns auf:

Hier geht's zum Kontaktformular

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen