Möchten Sie die Anforderungen der ISO 27001 digital umsetzen und gleichzeitig dafür sorgen, dass diese von Ihren Mitarbeitenden gelebt werden? Wir zeigen Ihnen wie! Mit der GRC-Software Aeneis bauen Sie Ihr ISMS digital, unkompliziert und komplett vernetzt auf.
Die Umsetzung und Zertifizierung nach ISO 27001 ist in der heutigen vernetzten und digitalen Geschäftswelt oft entscheidend für das Vertrauen von Kund*innen und Partner*innen. Informationssicherheit wird großgeschrieben. Sensible Daten müssen geschützt werden. Doch die Implementierung eines ganzheitlichen Informationssicherheits-Managementsystems (ISMS) stellt Unternehmen oft vor zentrale Herausforderungen:
- Integration und Skalierung: Das ISMS muss flexibel genug sein, um in bestehende Unternehmensstrukturen integriert zu werden und mit dem Wachstum und sich ändernden Anforderungen Schritt zu halten.
- Komplexe Strukturen und Prozesse: In Unternehmen mit komplexen Strukturen und einer Vielzahl von Prozessen müssen alle Sicherheitsanforderungen identifiziert und effektiv gemanagt werden. Alle von der ISO 27001 geforderten Dokumentationen müssen detailliert erfasst und Sicherheitsmaßnahmen regelmäßig überprüft werden.
- Verständnis und Engagement der Mitarbeitenden: Mitarbeitende müssen die Informationssicherheitspolitik verstehen und umsetzen, damit die Richtlinien und Kontrollmechanismen Wirkung zeigen.
Mit der GRC-Software Aeneis können Unternehmen konzernweit Ihr ISMS nach ISO 27001 implementieren und verwalten. Wir zeigen Ihnen mit welchen Schlüsselkomponenten Sie in Aeneis Ihr ISMS prozessorientiert aufbauen, alle Mitarbeitenden direkt miteinbeziehen und dabei folgende Fragen beantworten:
- Wer sind die Verantwortlichen für die Informationssicherheit?
- Was genau soll geschützt werden?
- Wovor soll geschützt werden?
- Wie soll geschützt werden?
- Wie können die Schutzmaßnahmen überprüft und stetig verbessert werden?
Prozessorientiertes ISMS
Für die Zertifizierung nach ISO 27001 müssen Unternehmen ein Informationssicherheitsmanagementsystem (ISMS) implementieren. Bei der Informationssicherheit geht es um die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.
In der Prozessmanagement-Software Aeneis haben Sie die Möglichkeit Ihre komplette Unternehmens- und Prozesslandschaft digital abzubilden und gleichzeitig vollintegriert Ihr ISMS aufzubauen. Das ISMS ist dabei kompakt in einer App, also einem eigenen Bereich enthalten und trotzdem voll vernetzt mit allen relevanten Prozessen, Rollen und IT-Systemen. Damit werden Sicherheitsmaßnahmen direkt in den Arbeitsalltag integriert.
Wer sind die Verantwortlichen der Informationssicherheit?
Die ISO 27001 schreibt vor, dass die Verantwortlichkeiten rund um die Informationssicherheit eindeutig zugewiesen sein müssen. In der GRC-Software Aeneis steht Ihnen in der App ISMS ein Bereich zur Verfügung, in dem Sie Ihre Organisation in Bezug auf Ihre Informationssicherheit abbilden können.
Dort können Sie grafisch abbilden, wie Ihre globale ISMS-Organisation und die von jeder einzelnen Niederlassung strukturiert ist und die Verantwortlichkeiten in Form von Rollen und Mitarbeitenden zuweisen. Damit erfüllen Sie nicht nur die Anforderungen der ISO 27001, sondern schaffen auch eine klare Governance-Struktur.
Die Organisation können Sie wie Prozesslandkarten als Freihanddiagramme erstellen, wie in diesem Blogartikel und in unserem Video zu Prozesslandkarten beschrieben.
Welche Daten und Informationen sollen geschützt werden?
ISMS-Ziele dokumentieren und Handbücher bereitstellen
Unternehmen sind gemäß ISO 27001 im Rahmen ihres ISMS dazu verpflichtet, Ihre ISMS-Ziele zu erarbeiten und zu dokumentieren. In der ISMS-App haben Sie im Bereich der Handbücher die Möglichkeit, Ihre Anforderungen und Ziele global und für jede einzelne Niederlassung zu dokumentieren und Ihren Mitarbeitenden zentral zur Verfügung zu stellen.
Sie können dort die bereitgestellten Dokumente bearbeiten und anpassen oder Ihre eigenen anlegen. Auf diese Weise können Sie auch relevante Normen direkt integrieren und in Kapiteln die passenden Normen verlinken.
Wie Sie Dokumente in Aeneis erstellen, bearbeiten und verwalten, erfahren Sie in unserem Blogartikel und Video zum Dokumentenmanagement.
IS-relevante Prozesse und Assets identifizieren
Der prozessorientierte Ansatz Ihres ISMS in Aeneis zeichnet sich dadurch aus, dass Sie im Zuge Ihres Prozessmanagements direkt im Prozess bestimmen können, ob dieser relevant für die Informationssicherheit ist. Danach können Sie dessen Kritikalität in Bezug auf die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität bewerten. Dasselbe gilt für Assets, wie IT-Systeme.
Alle Prozesse und Assets werden in der ISMS-App ausgewertet und in einer Grafik und in Tabellen angezeigt. Dort können Sie direkt überblicken, welche Prozesse und IT-Systeme kritisch für Ihre Informationssicherheit sind und mit der Einstufung fortfahren.
Anwendungsbereich dokumentieren
Ein weiterer kritischer Schritt bei der Implementierung eines ISMS ist die Definition des Anwendungsbereichs. Die ISO 27001 schreibt im Kapitel 4.3 vor, dass der Anwendungsbereich des Informationssicherheitsmanagementsystems dokumentiert werden muss. Der Anwendungsbereich bestimmt, welche Teile Ihres Unternehmens und welche Informationen durch das ISMS geschützt werden.
In Aeneis können Sie den Anwendungsbereich für das gesamte Unternehmen oder spezifisch für jede Niederlassung dokumentieren. In dem Bereich werden auch jeweils die IS-relevanten Prozesse in einer Tabelle aufgelistet, damit Sie den dokumentierten Anwendungsbereich gezielt mit den Prozessen abgleichen und so für die Vollständigkeit sorgen können.
Vor welchen Gefahren und mit welchen Maßnahmen soll geschützt werden?
Standard-Kataloge mit Gefahren und Maßnahmen nutzen
Für die Betrachtung der Gefährdungen Ihrer Informationssicherheit müssen Sie nicht bei Null anfangen. In der Compliance-Software Aeneis stehen Ihnen Standard-Kataloge bereit, die Bedrohungen, Schwachstellen und Gefährdungsszenarien enthalten, die vom BSI (Bundesamt für Sicherheit in der Informationstechnik) und in der ISO 27005 empfohlen werden. Sie können also schnell mit der Betrachtung der Gefährdungen starten und Einstufungen vornehmen.
In der ISO 27001 werden zudem Maßnahmen empfohlen, die Sie ebenfalls in den Katalogen wiederfinden und somit direkt für die Behandlung der Bedrohungen hinzuziehen können.
Risikomanagement in 3 Schritten durchführen
Das Herzstück des ISMS in der GRC-Software Aeneis ist das Risikomanagement. Den Risikoprozess können Sie dort in drei Schritten durchführen:
Risikoprozess im ISMS in drei Schritten
- Risikoidentifikation
- Risikoanalyse
- Risikobehandlung
Risiken identifizieren
Wie weiter oben bereits erwähnt, ist das ISMS in Aeneis prozessorientiert. Für die Risikoidentifikation können Sie also alle Prozesse in einer Tabelle durchgehen und die mit einem Risiko für Ihre Informationssicherheit ausfindig machen.
Für die Risikoanalyse ist es hier ebenfalls wichtig, dass Sie die kritischen Prozesse mit den relevanten Assets verknüpfen.
Risiken analysieren
Zu jedem Asset, das Sie zuvor als IS-relevant eingestuft haben oder das aus einem IS-relevanten Prozess stammt, können Sie für die Risikoanalyse ISMS-Risiken erfassen. Beim Erfassen des Risikos können Sie wiederum auf den Katalog mit den Gefährdungen zugreifen und ein Gefährdungsszenario zuweisen. Mit einem klaren Verständnis des zugrunde liegenden Gefährdungsszenarios können im nächsten Schritt gezieltere und wirksamere Risikominderungsmaßnahmen ergriffen werden.
Für die Analyse der Risiken und die anschließende Risikobehandlung können Sie für das ISMS-Risiko eine Bruttobewertung angeben. Dort können Sie einstufen, wie sich das Risiko ohne eingreifende Maßnahmen auf die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität auswirken würde.
Risiken behandeln
Um die Eintrittswahrscheinlichkeit und die Auswirkungen der Risiken zu vermeiden oder so gering wie möglich zu halten, werden im letzten Schritt des Risikomanagements Maßnahmen erfasst. Die Maßnahme wird dabei direkt den Verantwortlichen zugewiesen, die sie dann als Aufgabe abarbeiten können. Auf diese Weise wird nicht nur direkt dafür Sorge getragen, dass die festgelegten Maßnahmen umgesetzt werden, sondern Sie holen auch Ihre Mitarbeitenden mit ins Boot und schaffen Bewusstsein.
Nach der Maßnahmenerfassung können Sie die Nettobewertung Ihrer Risiken vornehmen. Damit wird direkt sichtbar, wie wirksam die Maßnahmen sind und Sie nachweislich für die Minderung oder Vermeidung der Risiken für Ihre Informationssicherheit gesorgt haben.
Erklärung der Anwendbarkeit dokumentieren
Die Erklärung der Anwendbarkeit (Statement of Applicability – SoA) ist eine weitere von der ISO 27001 geforderte Dokumentation. Die Erklärung muss alle Maßnahmen enthalten, die ein Unternehmen im Rahmen seines ISMS bewertet hat.
In der ISMS-Software Aeneis werden hierfür alle Maßnahmen in einem extra Bereich für die Erklärung der Anwendbarkeit in einer Tabelle ausgegeben. Dort können Sie jede Maßnahme nochmals gesondert betrachten und festlegen, ob diese in Ihrem Unternehmen anwendbar ist. So wie alle Tabellen in Aeneis, können Sie auch diese filtern und als Excel-Tabelle exportieren. Zum Beispiel können Sie hier nach allen anwendbaren Maßnahmen filtern, die Tabelle exportieren und so Ihre dokumentierte Erklärung der Anwendbarkeit im Audit nachweisen.
Wie können die Schutzmaßnahmen überprüft und stetig verbessert werden?
Auswertungen und Berichte einsehen
Die ständige Überprüfung und Verbesserung Ihrer Schutzmaßnahmen ist für die Einhaltung geltender Gesetze maßgeblich. Bestimmte Reports vereinfachen Ihnen diesen Schritt in Ihrem ISMS. Sie können also nicht nur in den einzelnen Bereichen in Grafiken und Tabellen direkt sehen, wie es um Ihre Informationssicherheit bestellt ist. Sie haben auch ausgewählte Bereiche, in denen Sie Ihre eingeleiteten Maßnahmen überblicken und alle Risiken und deren Status und Bewertung in Tabellen und HeatMaps einsehen können.
Sicherheitsvorfälle dokumentieren
In der heutigen digitalen Welt, in der Cybersecurity eine große Rolle spielt und Betrüger immer raffiniertere Fallen stellen, kann es trotz implementiertem und gelebtem ISMS dennoch zu Informationssicherheitsvorfällen kommen. In solchen Fällen können Sie, wie von der ISO 27001 vorgeschrieben, den Vorfall dezidiert dokumentieren, um daraus wiederum Handlungsbedarf in Form von Maßnahmen abzuleiten.
In der Compliance-Software Aeneis gibt es für Sicherheitsvorfälle einen eigenen Bereich, der über eingeschränkte Zugriffsrechte nochmals besonders geschützt ist, damit auch dort keine sensiblen Daten in die falschen Hände geraten können. Beim Erfassen eines Vorfalls können Sie alle wichtigen Angaben erfassen. Dort werden auch die vom BSI vorgegebenen Fragen abgefragt, damit Sie keine relevanten Informationen vergessen.
Die erfassten Sicherheitsvorfälle helfen Ihnen im Nachgang die Eintrittswahrscheinlichkeit von ISMS-Risiken besser einschätzen zu können und Themen für interne Schulungen und Sensibilisierungen ausfindig zu machen. Auf diese Weise können Sie zur kontinuierlichen Verbesserung und Weiterentwicklung Ihres ISMS beitragen und Ihr Team direkt in den Prozess miteinbeziehen.
Jetzt Aeneis 30 Tage kostenfrei testen!
Keine Installation – bequem und einfach in der Cloud
Die Implementierung der ISO 27001 erfordert ein umfassendes Verständnis verschiedener Schlüsselelemente.
Einige der wichtigsten Aspekte, auf die es bei der Umsetzung ankommt und wie Sie diese mit der BPM- & GRC-Software Aeneis meistern, finden Sie in diesem Leitfaden.
