LinkedIn Logo YouTube Logo
Prozessorientiertes Informationssicherheits-Managementsystem nach ISO/IEC27001

Risikoanalyse und -bewertung

Der deutsche Softwarehersteller Contechnet veröffentlichte kürzlich die neue Version seiner Softwarelösung Inditor ISO. Das zentrale Risikomanagement vereinfacht die Risikoanalyse und -bewertung und bildet den Kern der ISMS-Software. Mit einem erweiterten Funktionsumfang sowie einer transparenten und praxisorientierten Vorgehensweise soll den Verantwortlichen die Einführung eines prozessorientierten Informationssicherheits-Managementsystems (ISMS) gemäß der ISO/IEC27001 erleichtert werden.
Bild: CONTECHNET Ltd.

Die Software führt den Anwender in wenigen Schritten zu einem ganzheitlichen ISMS. Die neue Version Inditor ISO3 beinhaltet die Norm-Texte der ISO27001 und gibt Umsetzungsempfehlungen sowie Hilfestellungen für die Dokumentation. Zudem zeigt die Lösung die SOA (Statement of Applicability) an, also die Information, welche Maßnahmen im Rahmen des ISMS angewandt werden. Hierzu kann auf Knopfdruck ein Bericht generiert werden. Daraus lässt sich dann der aktuelle Umsetzungsstatus der Maßnahmen ableiten.

Risikomanagement als Grundlage für ein ISMS

Das integrierte Risikomanagement der Software führt den Anwender durch den Prozess der Risikoanalyse, -bewertung und -behandlung, ohne die Anforderungen eines Risikomanagementexperten erfüllen zu müssen. Die mitgelieferte Risikomethodik lässt sich in Inditor ISO3 auf die individuellen Bedürfnisse anpassen. Die Lösung beinhaltet Risikoszenarien aus den IT-Grundschutz-Katalogen des BSI, sogenannte G0/elementare Gefährdungen, die der Anwender um eigene Gefährdungen in den Stammdaten ergänzen kann. Hier wird außerdem das Risikoakzeptanzlevel des Scope (Geltungsbereich) für die Organisation definiert. Zur Vereinfachung der Risikoanalyse lassen sich sämtliche Assets (Unternehmenswerte) wie Prozesse, Personal oder Infrastruktur in Gruppen zusammenfassen, um so die Anzahl der Analysen und Maßnahmen zu reduzieren. Der Anwender legt für jede dieser Gruppen die Eintrittswahrscheinlichkeit sowie die möglichen Auswirkungen fest. Auf dieser Grundlage findet die Risikoanalyse bzw. -bewertung statt. Dabei ermittelt die Software automatisch den Risikowert. Der Anwender kann sich die Ergebnisse der Risikowertermittlung in einer speziell für ihn konzipierten Risikomatrix anzeigen lassen. Darin wird das Risikoakzeptanzlevel mit einer blauen Linie dargestellt. Alle von der Organisation akzeptierten Risikowerte befinden sich unter dieser Linie und bedürfen keiner weiteren Betrachtung. Alle Risikowerte oberhalb der Linie müssen hingegen durch entsprechende Maßnahmen behandelt werden.

Aufgaben und Maßnahmen zur Risikobehandlung

Im nächsten Schritt definiert der Anwender Aufgaben und Maßnahmen zur Risikobehandlung sowie deren Wichtigkeit und ordnet diese den Assets zu. Vordefinierte Kriterien zur Risikoakzeptanz erleichtern die Priorisierung der Risikobehandlung. Über das Aufgabenmanagement lassen sich die aktuellen Aufgaben und Maßnahmen im Kalender auf einen Blick einsehen und bearbeiten. Inditor ISO unterstützt den Anwender beim Aufbau eines ISMS in wenigen Schritten. „Die Bedürfnisse unserer Kunden nehmen wir ernst, und wir sind stets bestrebt, unsere Softwarelösungen kontinuierlich zu verbessern. Dabei stehen wir im ständigen Austausch mit unseren Partnern und Kunden, um die Erfahrungen aus der Praxis in unseren Lösungen zu berücksichtigen“, sagt Jens Heidland, Leiter Consulting bei Contechnet. „Kunden, die bereits unsere Softwarelösung Indart Professional zur IT-Notfallplanung im Einsatz haben, profitieren bei der Einführung eines ISMS mit Inditor ISO3. Aufgrund der gemeinsamen Datenbasis für IT-Notfallplanung und ISMS sind einmal angelegte Daten für alle Bereiche nutzbar. Somit werden die erfassten Informationen aus der IT-Notfallplanung automatisch übernommen.“

Das könnte Sie auch Interessieren

Weitere Beiträge

Bild: NexCobot Co.,Ltd.
Bild: NexCobot Co.,Ltd.
Vorzertifzierte Safety für Roboter

Vorzertifzierte Safety für Roboter

Roboter mit integrierten Sensoren und Safety Features, so genannte Cobots, sollen möglichst eng mit dem Werker in der Fabrik zusammenarbeiten. Auch bei autonomen Transportfahrzeugen, die in der Fertigung immer häufiger eingesetzt werden, ist die funktionale Sicherheit ganz oben aufgehängt. Um solche Lösungen möglichst schnell zur Marktreife zu führen, bietet sich der Einsatz von vorzertifizierten Embedded Boards an.

mehr lesen
Bild: Bernstein AG
Bild: Bernstein AG
Mit smarter TechnIK zur Sicherheit

Mit smarter TechnIK zur Sicherheit

Die Reihenschaltung von Sicherheitskomponenten wie Verriegelungseinrichtungen oder Nothalt-Geräten wird nach wie vor gerne genutzt, um die Sicherheitseingänge an den Auswertegeräten sowie den Verdrahtungsaufwand zu reduzieren. Normalerweise lässt sich die höchste Steuerungskategorie laut ISO/TR24119 damit nur erreichen, wenn die Komponenten jeweils mit einer Sicherheitsauswertung überwacht werden. Es gibt aber auch Alternativen.

mehr lesen