DocSetMinder®-Modul "ISMS – ISO/IEC 27001"

Die Norm ISO/IEC 27001 ist für die Planung, Umsetzung, Überwachung und stetige Verbesserung des Managementsystems für Informationssicherheit (ISMS) einer Organisation konzipiert. Weitere Normen der Reihe 27xxx, wie z.B. ISO/IEC TR 27019 sind nahtlos integrierbar (siehe IT-Sicherheitskatalog). Das DocSetMinder®-Modul "ISMS-ISO/IEC 27001" bildet die Anforderungen der Norm ISO/IEC 27001 vollständig und detailliert ab. Die Modulstruktur und Inhaltsvorlagen unterstützen Sie interaktiv durch Hinweise und Plausibilitätsprüfung bei der Definition der Sachverhalte und ihrer Dokumentation. Die Schutzbedarfsdefinition, Schutzbedarfsfeststellung und ihre Vererbung durch das Maximumprinzip sowie die Modellierung des IT-Verbundes ist durch die Softwareunterstützung einfach und schnell umsetzbar. Für die Durchführung der Risikoanalyse stehen Ihnen insgesamt vier unterschiedliche Methoden zur Verfügung, u.a. auch die Risikoanalyse gemäß ISO 27005 für Energieversorger. Zur Überwachung der Umsetzung der festgelegten Maßnahmen können sehr effektiv der Aufgaben- und Maßnahmenplaner sowie die Reporting Services verwendet werden. Das Modul nutzt die bereits im Grundmodul „Organisation“ und „IT-Dokumentation“ erfassten Informationen für die im Sicherheitsprozess vorgeschriebene Strukturanalyse der Organisation. Für die die Umsetzung des IT-Sicherheitskataloges wird zusätzlich das Modul "Leit- und Steuerungssysteme (BDEW)" verwendet. Ready for Audit!

Moduleigenschaften

Modulbeschreibung

Die Modulstruktur ist vom Inhaltsverzeichnis der Norm ISO/IEC 27001 (High-Level-Structure) abgeleitet und stellt einen Umsetzungsleitfaden für die im Sicherheitsprozess involvierten Mitarbeiter und Berater dar. Die ISO-Grundstruktur und die einheitliche Nomenklatur hat das Ziel, mehrere ISO-Normen einfacher und transparenter miteinander zu einem Integrierten Managementsystem (IMS) zu verknüpfen. Die Software DocSetMinder® ist für die Integration der ISO-Normen als IMS konzipiert. Ein integraler Bestandteil des Moduls ISO/IEC 27001 sind die importierten Maßnahmenziele und Maßnahmen aus dem Anhang A der Norm. Das Modul ist wie folgt strukturiert:

Kapitel 1 - 3

Die Norm-Kapitel beschreiben den Anwendungsbereich der Norm, Normative Verweise und Begriffe/Definitionen:

  • Anwendungsbereich
  • Normative Verweise
  • Begriffe (u.a. Schutzbedarfskategorien, Schadensszenarien, Risikoparameter)

Kapitel 4 - 10

Die Kapitel 4 - 10 sind für eine normkonforme und abschließende Zertifizierung verpflichtend:

  • 4.0 Kontext der Organisation (Kontext, Erfordernisse und Erwartungen der interessierten Parteien, Geltungsbereich des ISMS, Prozesse)
  • 5.0 Führung (Rollen und Verantwortlichkeiten, Rechtskataster, Informationssicherheitspolitik)
  • 6.0 Planung (SOA - Anwendbarkeitserklärung, Sicherheitsziele)
  • 7.0 Unterstützung (Ressourcen, Kompetenzen, Bewustsein, Kommunikation)
  • 8.0 Betrieb (Risikoanalyse und Risikobehandlung)
  • (optional IT-Sicherheitsanalyse Verbund/Verbünde)
  • 9.0 Bewertung der Leistung (Überwachung und Messung, Auditsplanung)
  • 10.0 Verbesserung (Korrekturmaßnahmen)

Dokumentation und Berichte 

  • Berichte A0 - A7 (angepasst für die ISO-Norm)
  • Dokumentation (Microsoft® Word-Format)
  • Individuelle Berichte
  • Managementberichte
Modulnutzen

Mit dem DocSetMinder® -Modul "ISMS-ISO/IEC 27001" erhalten Sie einen durchdachten und ausgereiften Dokumentationsbaustein, um den Anforderungen der Erstellung einer IT-Sicherheitskonzeption gerecht zu werden:

  • Standardisierte Modul- und Inhaltsvorlagenstruktur genau nach ISO/IEC 27001 und High-Level-Structure
  • Integration mit weiteren ISO-Normen, wie z.B. ISO 22301, ISO 9001, ISO 14001, ISO 50001 etc.
  • Konfigurierbare Importe der Assets aus Fremdsystemen
  • Automatische Generierung der Anwendbarkeitserklärung (SOA)
  • Verwendbar für mehrere IT-Verbünde
  • Mandantenfähig
  • Standard- und benutzerdefinierte Reports A0 bis A7

Das Modul nutzt die bereits im DocSetMinder®-Modul „Unternehmensorganisation“ bereitgestellten Informationen zur Aufbauorganisation, den Prozessen und zentralen Inhalten wie Richtlinien, Verträge, Anweisungen sowie die im Modul "IT-Dokumentation" erfassten Sachverhalte des IT-Verbunds für die Strukturanalyse der Organisation.

Die Maßnahmenziele und Maßnahmen (Anhang A der Norm) stehen den Benutzern in den DocSetMinder® Stammdaten zur Verfügung. Sie werden regelmäßig aktualisiert. Benutzerdefinierte Bausteine können einfach definiert und im Modellierungsprozess verwendet werden. Auch die IT-Grundschutz-Kataloge können bei der Umsetzung der Sicherheitsmaßnahmen verwendet werden. 

Wir unterstützen Sie

Für eine effiziente Umsetzung des ISMS gemäß ISO/IEC 27001 bieten wir Ihnen eine Reihe von Dienstleistungen an:

  • Planung und Umsetzung des Managementsystems für Informationssicherheit (ISMS)
  • Anpassung der Modulstruktur und der Inhaltsvorlagen gemäß den individuellen Anforderungen (Modellierung)
  • Konfiguration der Import-Schnittstelle für den automatischen und wiederholbaren Datenimport aus Fremd-Systemen, wie z.B.: Microsoft® Active Directory, ERP-Systemen, IT-Management- & -Inventory-Systemen, CMDB
  • GAP Analyse 
  • Vollständige Erstellung des IT-Sicherheitskonzeptes (auch mit Partner-Unternehmen)
  • Durchführung der Datenimports
  • Begleitendes Coaching durch erfahrene Berater
  • Technische und inhaltliche Unterstützung Ihrer Implementierungspartner
  • Konzeption und Erstellung von individuellen Reports
  • Technischer Support