Informations-
sicherheitsmanagement-
Software
17. Oktober 2019

Neues aus der Entwicklung: otris privacy mit ISMS

Mit der Spezialsoftware otris privacy realisieren Unternehmen ein ganzheitliches Datenschutz-Management. Die Produktentwicklung arbeitet zurzeit an einem umfangreichen Systemausbau: Künftig wird die Datenschutz-Software um ein ISMS (Information Security Management System) erweitert. Die beiden Funktionsbereiche ergänzen sich, können jedoch auch unabhängig voneinander eingesetzt werden. Hauptnutzen der ISMS-Erweiterung ist die Unterstützung bei einer Zertifizierung nach ISO/IEC 27001 bzw. ISO 27001 auf Basis IT-Grundschutz.

Information als Vermögenswert

Ein Geschäftsprozess ist die Abfolge von Aktivitäten, die dem Betriebszweck eines Unternehmens oder einer Organisation dienen. Grundlage vieler Geschäftsprozesse sind wiederum Informationen. Ein Mitarbeiter benötigt beispielsweise Informationen zu Lagerbestand oder vertraglichen Rahmenvereinbarungen, um die Anfrage eines Kunden optimal zu bearbeiten. Aus dieser Perspektive betrachtet sind Geschäftsprozesse und die zugehörigen Informationen bedeutende immaterielle Vermögenswerte. Diese Vermögenswerte durch Vertraulichkeit, Verfügbarkeit und Integrität der Informationen zu schützen, ist Ziel eines ISMS.

ISMS-Grafik_V4

Assets erfassen – Assets bewerten

Nicht jede Information hat den gleichen Wert. Der Verlust des Know-hows zur Programmierung einer Maschine wiegt schwerer als der Verlust einer Kunden-Telefonnummer. Um ein praktikables Sicherheitskonzept zu implementieren, müssen daher zunächst die Prozesse und Informationen identifiziert werden, die im hohen Maße schützenswert sind. Generell gilt: Je größer der potenzielle Schaden, den ein Informationsverlust verursachen würde, desto höher der Informationswert. In Kombination mit einer Abschätzung der Eintrittswahrscheinlichkeit entsteht eine Risikobeurteilung für die ausgewählten Assets. Die Risikobeurteilung ist wiederum Grundlage für die Festlegung des adäquaten Schutzniveaus.

Die ISMS-Erweiterung in otris privacy unterstützt Unternehmen bei der strukturierten Asset-Erfassung und ihrer Bewertung. Zur Asset-Erfassung integriert die Software ein leicht bedienbares Dokumentationsmodul: Nach vordefinierten Kriterien beschreiben verantwortliche Mitarbeiter ausgewählte Assets. Die einheitliche Struktur der Dokumentation vereinfacht die Gruppierung in Asset-Klassen. Die Asset-Dokumentation als Informationsverbund ist Grundlage für die Risikobewertung: Das System unterstützt den Anwender mit Fragebogen-basierten Risk-Assessment-Tools bei der Einordnung.

Sicherheitskonzept ausarbeiten und implementieren

Auf Basis der Risikobewertung leiten Unternehmen Maßnahmen zur Risikobehandlung ab. Vor der Implementierung neuer Maßnahmenkonzepte hilft eine Gap-Analyse bei der Bestandsaufnahme aller bereits etablierter Sicherheitsmaßnahmen. Die ISMS-Erweiterung in otris privacy enthält ein Gap-Analyse-Tool für einen Checklisten-basierten Soll-Ist-Vergleich. Die im Abgleich festgestellten Lücken im Sicherheitskonzept müssen durch neu entwickelte Maßnahmen geschlossen werden. Bei der Übersetzung der Maßnahmen bzw. des Sicherheitskonzepts in Prozesse und wiederkehrende Abläufe sind zwei Dinge von vorrangiger Bedeutung: Die volle Unterstützung der Geschäftsführung und ein System, das die ausgearbeiteten Prozesse steuert ihre Einhaltung kontrolliert und eine kontinuierliche Verbesserung ermöglicht.

Die ISMS-Erweiterung in otris privacy setzt diese Anforderung mit einem Management Cockpit um. Das Cockpit zeigt übersichtlich welche Mitarbeiter welche Rolle und Verantwortung innerhalb des Sicherheitskonzepts einnehmen und ob die ihnen zugeteilten Aufgaben bearbeitet wurden. Das Cockpit zeigt zusätzlich Audit-Resultate, den Status im Risikomanagement und gibt einen Überblick über Sicherheitsvorfälle. Management-Reviews zeigen den Ist-Zustand des Systems sowie Abweichungen zum Soll-Zustand und helfen so, das System fortlaufend weiterzuentwickeln und an neu identifizierte Risiken anzupassen.

Zertifizierung

Als Leitlinie bei der Einführung eines ISMS aber auch als Zertifizierungs-Grundlage hat sich die internationale Norm ISO/IEC 27001 bzw. die deutsche ISO 27001 auf Basis IT-Grundschutz (BSI-Grundschutz) etabliert. Nach welchem Standard ein Unternehmen sein Sicherheitskonzept aufbaut, ist auch abhängig vom Geschäftsfeld und damit verbundenen externen Anforderungen. Vorschrift für Behörden oder KRITIS-Betreiber ist beispielsweise eine Zertifizierung nach BSI-Standard. Ein Zulieferunternehmen könnte hingegen die ISO-Methodik wählen, falls der Auftraggeber dies verlangt. Die ISMS-Erweiterung in otris privacy unterstützt beide Vorgehensweisen. Die Anwendung integriert sowohl die BSI-Inhalte als auch die Controls aus Anhang A der ISO 27001.

Unabhängig davon, ob ein Unternehmen eine Zertifizierung anstrebt oder das ISMS ausschließlich zum Schutz wertvoller Assets einsetzt: otris privacy unterstützt bei einer strukturierten Umsetzung Ihres unternehmensweiten Sicherheits-Systems und ist mit einfach zu bedienenden Dokumentations-, Schulungs- und Steuerungswerkzeugen die technische Basis für eine erfolgreiche operative Arbeit im Tagesgeschäft.

zum Fachbeitrag

Wie fangen wir an?

otris software vereinfacht Verantwortung - Box Datenschutz einführen

Das Ziel: Aufbau einer funktionierenden Datenschutz-Organisation ...

zur Pressemitteilung

DSGVO im Fokus

otris software vereinfacht Verantwortung - Box MT.DERM optimiert Datenschutz mit otris privacy

MT.DERM setzt beim Schutz personenbezogener Daten auf otris ...

zum Fachbeitrag

otris in der Cloud

otris CLOUD - otris software vereinfacht Verantwortung

In der Cloud oder On-Premises - Sie haben die Wahl ...