Wie lässt sich ein Informationssicherheitsmanagementsystem (ISMS) mit Hilfe von Werkzeugen unterstützen oder sogar umsetzen?

Varianten

Es wird vom Grundverständnis ausgegangen, dass es sich bei einem ISMS zunächst nicht um eine Software oder eine abgeschlossene Applikation handelt, sondern um ein formfreies Managementsystem. Also einem System aus - abstrakt formuliert - Instrumenten und Methoden um Informationssicherheit zu verwalten.

Der übliche Anfang

Die ersten Werkzeuge, mit denen ein ISMS etabliert und anfänglich betrieben wird, sind in der Regel Dokumente (Leitlinien, Richtlinien, Prozessdokumente, etc.) und Listen (Inventare, etc.). In der heutigen Zeit wird dies nicht mehr handschriftlich erledigt, sondern mit Hilfe von Textverarbeitungsprogrammen und Tabellenkalkulationssoftware.

Vorhandene Office-Anwendungen auf Arbeitsstationen sind in der Folge oftmals die ersten Software-Werkzeuge mit deren Hilfe ein ISMS umgesetzt wird.

Spezialisierte Software

Im Kontext von Informationssicherheit finden sich verschiedene Varianten spezialisierter Anwendungen für die Verwaltung benötigter Informationen um den Ansprüchen an ein ISMS zu genügen. Der Übergang zwischen “automatisierenden” Tabellenkalkulationsvorlagen und eigenständigen Applikationen lässt sich dabei nicht immer eindeutig definieren. In der Regel werden von einer spezialisierten Software ein oder mehrere Normen bzw. Standards der Informationssicherheit unterstützt.

Möglicherweise sind verschiedene, benötigte Funktionen für ein ISMS in diesen Softwarelösungen integriert - denkbar sind eine Dokumentversionsverwaltung oder eine einfache Lösung für ein Risikoinventar. Wie man sich denken kann, sind in gleicher weise bestehende Lösungen (Software für Dokumentmanagementsysteme, Risikomanagementsysteme, Qualitätsmanagementsysteme, Ticketsysteme, etc.) von den Herstellern dahingehend erweitert worden, dass sie auch Informationssicherheitsmanagement unterstützen sollen. Software für ein ISMS ist also nicht immer mit dem Ziel entwickelt worden, zunächst die Informationssicherheit zu fokussieren. Manche Software sollte ursprünglich andere Anforderungen und Zwecke erfüllen und sind erst mit aufkommendem Bedarf in Richtung Informationssicherheit erweitert worden.

Generalisierte Compliance Applikationen

Im Rahmen von übergeordneter “Governance, Risk und Compliance” existieren recht umfangreiche und mächtige Softwarelösungen. Innerhalb dieser Anwendungen lassen sich mehrere Managementsysteme in ein ganzheitliches, integriertes Compliance-System angepasst an eine Organisation bündeln. In der Regel lassen sich verschiedene Rahmenwerke in Form von Managementsystem-Anforderungen hinterlegen. Viele Produkte achten dabei darauf, dass Synergien zwischen verschiedenen Managementsystemen (Informationssicherheit, Datenschutz, Qualität, Arbeitsschutz, Umweltmanagement, etc.) genutzt werden können und Mehrfacheingaben redundanter Daten vermieden werden.

Ein weiterer Aspekt dieser Anwendungssysteme ist die Möglichkeit Informationen von und mit verschiedenen anderen Systemen über Schnittstellen auszutauschen. Somit müssen die Informationen in diesen Compliance-Systemen nicht manuell zusammengetragen werden, sondern können automatisiert aus anderen Systemen übernommen werden. Dies unterstützt die Aktualität der Informationen und erspart redundante Eingaben durch möglicherweise verschiedene Organisationseinheiten eines Unternehmens. Dies ist kein exklusives Merkmal von diesen komplexen Softwareanwendungen aber in diesen ist die Möglichkeit zur flexiblen Einrichtung von Schnittstellen zu anderen Systemen in der Regel sehr ausgeprägt.

In der Regel sind derartige Systems zudem sehr stark an die unternehmenseigenen Anforderungen anpassbar. Moderne Systeme bieten oftmals von sich aus flexible Einstellmöglichkeiten an, so dass nicht für jede Veränderung des Systems aufwändige Programmierungen notwendig werden.

Fazit

Die Übergänge zwischen den verschiedenen, angeführten “Größen” von Softwareanwendungen sind fließend. Je einfacher sich unterstützende Software in die Organisation integrieren lässt, desto einfacher wird es sein, benötigte Informationen aus der Organisation in das werkzeugunterstützte ISMS zusammenzutragen. Die Ausgestaltung einer Software ist dabei nur eine Facette um erfolgreich zu sein. Ein weiterer, wichtiger Aspekt ist die Akzeptanz des Werkzeuges durch die Beschäftigten der Organisation bzw. durch diejenigen Stakeholder, die im Rahmen ihrer Aufgaben Informationen in das ISMS einbringen müssen.

Die Reduktion und Vermeidung von Redundanzen, Nutzung von Synergieeffekten aus bereits bestehenden Informationssammlungen und die Bündelung dieser Informationen in ein oder mehrere ISMS-Werkzeuge reduzieren im Erfolgsfall wiederkehrende Arbeiten und ermöglichen es, die oftmals knapp bemessenen Ressourcen der Informationssicherheit für konzeptionelle Arbeiten, Integration neuer Assets und Reifegradehöhungen des ISMS einzusetzen.