Security is a process!

CycleSEC
ISMS-Frameworks in der „kes“

Artikel in „kes“ Heft 5/2023

Bei der Implementierung eines ISMS nach ISO/IEC 27001 müssen 7 Clauses und 93 Controls systematisch in der eigenen Organisation umgesetzt und ggf. für ein Zertifizierungsaudit nachvollziehbar dokumentiert werden.

In ihrem aktuellen Artikel in der „kes“ Die Zeitschrift für Informations-Sicherheit beleuchten die CycleSEC-Consultants Sebastian Klipper, Lars Albert und Louisa Frick die Möglichkeiten, eine ISMS-Implementierung mit Content-Management-Systemen (CMS) und Ticket-Systemen zu steuern.

Wesentlicher Teil des Artikels ist die Vorstellung der von CycleSEC für die eigenen Beratungsprojekte entwickelten ISMS-Frameworks und Compliance-Mappings. Sie basieren auf praktischen Erfahrungen und auf den Forschungsergebnissen, die unser Autor Sebastian Klipper zusammen mit Steffen Hessler am Center for Advanced Internet Studies CAIS NRW erzielt und bereits in Heft 2021#1 in der „kes“ veröffentlicht hatte. In unserer bisherigen Beratungspraxis haben sich die folgenden 12 Frameworks als besonders hilfreich erwiesen:

ISMS-Core-Framework

Prozess-Framework

Management-Review-Framework

Framework der Rollen und Verantwortlichkeiten

Awareness-Framework

ISMS-Team-Framework

Compliance-Framework

Risiko-Framework

Policy-Framework

Communication-Framework

Qualification-Framework

Audit-Framework

Al­les be­ginnt mit ei­nem Satz: Content-Management-Systeme und Ticket-Systeme als ISMS-Tools

Autor:innen: Sebastian Klipper, Lars Albert, Louisa Frick (jeweils CycleSEC)

Artikel in der <kes> ansehen…

Drei wichtige Frameworks

Die drei wichtigsten Frameworks teasern wir im Folgenden kurz an. Eine ausführliche Darstellung findet sich in Heft in der <kes> im aktuellen Heft 5/2023.

ISMS-Core-Framework

Im ISMS-Core-Framework wird das ISMS-Handbuch und das Statement of Applicability (SoA) gepflegt. Ein ISMS-Handbuch ist zwar gemäß ISO/IEC 27001 nicht vorgeschrieben, aber dennoch weit verbreitet. Es wird oft als textuelle Beschreibung zur Umsetzung der Clauses eingesetzt und folgt dabei sogar in der Nummerierung der Struktur des Textteils der ISO/IEC 27001. Das Handbuch dient der Einarbeitung ins ISMS und als grundlegendes Überblicksdokument und in einem Stage 1-Audit erleichtert es einem Audit-Team die Arbeit. Das SoA hingegen ist ein zwingend erforderliches Dokument, das den expliziten Anforderungen aus Clause 6.1.3 genügen muss.

Management-Review-Framework

Im Management-Framework werden alle gemäß Clause 9.3 geforderten Aspekte umgesetzt. Diese kann beispielsweise als Powerpoint-Präsentation erfolgen oder wie in CycleSEC-Projekten in einer Übersichtsdarstellung als Dashboard in einem Content-Management-System (CMS).

Bei der Umsetzung in einem CMS gilt es, eine Balance zwischen automatisierter, tagesaktueller Darstellung und Dokumentation der Inhalte zu einem bestimmten Stichtag zu finden. Es gibt einerseits Organisationen, für die Online-Meetings und die Arbeit mit CMS oder Ticket-System auch im Top-Management gängige Praxis sind und andererseits Organisationen, in denen die ausgedruckte Tischvorlage die übliche Basis für Entscheidungen des Top-Managements sind. Auch letzterer Fall lässt sich in einem CMS realisieren, vorausgesetzt man hat eine gute Export-Möglichkeit zu den eigenen Office-Anwendungen.

Policy-Framework

Im Policy-Framework werden Entwürfe und in Kraft gesetzte Policies dokumentiert. Je nach Höhe der Dokumentenpyramide in der Organisation können weitere nachgeordnete Frameworks für Guidelines, Betriebsvereinbarungen oder ähnliches angelegt werden. Bei der Implementierung eines ISMS mit Content-Management-Systemen (CMS) und Ticket-Systemen und den vorhandenen Möglichkeiten zur Versionierung und Abstimmung von Entwürfen kann es nötig sein, jeweils ein Framework für die Entwurfs- und Abstimmungsphase anzulegen und ein Framework für die in Kraft gesetzten Dokumente.

Veröffentlicht am

Photo of author

Dieser Beitrag kommt von

CycleSEC Redaktion

Die CycleSEC GmbH wurde 2015 als wissenschaftliche Ausgründung der Fachhochschule Münster gegründet. Seit 2017 ist das Unternehmen im alleinigen Besitz des Gründers Sebastian Klipper. CycleSEC hat seinen Sitz in Hamburg. Aus dem Norden der Republik bietet die CycleSEC GmbH ihr Beratungsportfolio in ganz Deutschland und darüber hinaus an.

Sie haben noch Fragen?

Nehmen Sie Kontakt zu uns auf:

Hier geht's zum Kontaktformular

Bitte stimmen Sie der Benutzung von Cookies durch diese Webseite zu. Weitere Informationen

Informationen zu Coockies

Diese Webseite verwendet so genannte Cookies. Sie dienen dazu, die Webseite, insbesondere die Kommentarfunktion nutzerfreundlicher, effektiver und sicherer zu machen. Cookies sind kleine Textdateien, die auf Ihrem Rechner abgelegt werden und die Ihr Browser speichert. Cookies richten auf Ihrem Rechner keinen Schaden an und enthalten keine Viren.

Wenn Sie auf "Akzeptieren" klicken, erklären Sie sich mit der Nutzung von Cookies einverstanden.

Schließen