Die Auswahl einer Software für ein Informationssicherheitsmanagement-System (ISMS) ist ein komplexes Vorhaben. Ein wichtiger Baustein dabei ist eine Liste von Kriterien, die für die eigene Organisation wichtig sind. Ein solcher Kriterienkatalog macht die verschiedenen Produkte besser miteinander vergleichbar. Die Basis für einen solchen Anforderungskatalog finden Sie hier als offene Excel-Datei, die Sie für Ihre innerbetrieblichen Zwecke kostenlos nutzen können.

Einleitung

Der Katalog deckt sowohl die fachlichen als auch die technischen Aspekte sowie die Software-Auswahl an sich ab. Sie sollten ihn jedoch nicht unverändert übernehmen, sondern ihn zunächst an Ihre Bedürfnisse anpassen. Dazu gehört, weitere Anforderungen aufzunehmen, die für Sie wichtig sind. Aber auch überflüssige Anforderungen herauszustreichen.

Vorschau

Datei zum kostenlosen Download

v1.0 vom 23.01.2021
PDF-Vorschau
Editierbare Excel-Datei zum Download

Release Notes

Version 1.0 - 23.01.2021 - Kriterienkatalog zur Auswahl einer ISMS-Software Version 1.0
Version 0.1 - 12.02.2020 - Kriterienkatalog zur Auswahl eines ISMS-Tools nach ISO 27001

Hinweise zur Nutzung

Nachfolgend finden Sie die Anforderungen aus dem Excel, ergänzt um Hinweise zur Nutzung und zur Auswertung in blauer Schrift. Passen Sie den Kriterienkatalog entsprechend auf die Bedürfnisse in Ihrer Organisation an.

A Allgemeines

A.1 Anbieter

1: Wie lange gibt es das Unternehmen?
2: Wo hat das Unternehmen seinen Sitz und wo gibt es Niederlassungen?
3: Wieviele Mitarbeiter hat das Unternehmen insgesamt? Wie sind die Mitarbeiter international verteilt?
4: Wieviele Mitarbeiter arbeiten in dem Bereich, der für das angebotene System verantwortlich ist?
5: Wie hoch war der Jahresumsatz des Unternehmens in den vergangenen drei Jahren insgesamt?
6: Wie hoch war der Jahresumsatz des Unternehmens im hier relevanten Geschäftsbereich der vergangenen drei Jahre?

A.2 Kommunikation

7: Gibt es eine Anwenderkonferenz mit der Möglichkeit, sich mit anderen Anwendern auszutauschen?

A.3 Produkt allgemein

8: In welchen Editionen wird das Produkt angeboten und worin unterscheiden sie sich? (z.B. Light, Community, Vollversion, Enterprise)
9: Wie erfolgt die Bereitstellung?
Beispiele:
- SaaS
- on-premises
- Appliance
- andere
10: Beschreiben Sie Ihr Lizenzmodell. Nach welchen Metriken wird das Produkt lizensiert?
Zum Beispiel Anzahl der hinterlegten Nutzer, Anzahl der gleichzeitigen Nutzer, Anzahl der verwalteten Objekte usw.
11: Wenn es ein Open Source-Produkt ist: Welche Lizenz wird genutzt bzw. welche Bedingungen gelten?
12: Wieviele Kunden nutzen das Produkt?
13: Wie verteilen sich die Kunden international?
14: Stellen Sie drei Referenzprojekte vor, die mit diesem Vorhaben im Hinblick auf fachliches Umfeld und Größe vergleichbar sind.
15: Im Hinblick auf welche relevanten Branchenstandards ist das Produkt zertifiziert?
16: Wie sieht die Roadmap des Produkts aus?

B Fachliche Anforderungen

B.1 Abbildung der Organisation

B.1.1 Organisationsstruktur
17: Bietet das System die grundsätzliche Möglichkeit, die Organisation abzubilden?
18: Wieviele Hierarchiestufen sind bei der Abbildung der Organisationen möglich?
19: Können die verschiedenen Elemente der Organisation wie Gesellschaften, Abteilungen, Standorte usw. abgebildet und klassifiziert werden?
B.1.2 Geschäftsprozesse
20: Bietet das System die Möglichkeit, Geschäftsprozesse zu hinterlegen?
21: Kann der Schutzbedarf für jeden Geschäftsprozess definiert werden?
B.1.3 Assets
22: Kann im System die IT-Infrastruktur abgebildet werden?
23: Können im System die Datenbestände des Unternehmens abgebildet werden?
24: Bietet das System die Möglichkeit, IT-Anwendungen zu hinterlegen?
25: Bietet das System die Möglichkeit, Services zu hinterlegen?
B.1.4 Verknüpfungen der Assets
26: Können Geschäftsprozesse, IT-Anwendungen bzw. IT-Services, IT-Systeme, Standorte, Räume usw miteinander verknüpft werden?
27: Werden bei einer Verknüpfung die Schutzbedarfe weitergegeben? Auf welche Weise?
z.B. Maximum-Prinzip
28: Können einzelne Schutzbedarfe trotz Vererbung manuell überschrieben werden?
B.1.5 Sonstige
29: Bietet das System die Möglichkeit, Geschäftspartner zu hinterlegen (Lieferanten, Dienstleister usw.)?

B.2 Informationssicherheitsmanagement nach ISO 27001

30: Unterstützt das System grundsätzlich den Aufbau eines ISMS nach ISO 27001?
31: Ist das System in der Lage, mehrere Versionen des Standards parallel zu führen?
B.2.1 Risikomanagement
32: Erlaubt das System eine frei wählbare Einteilung der Skalen für Eintrittswahrscheinlichkeit und Auswirkung?
33: Können die Stufen der Skalen textuell erläutert werden?
34: Ermittelt das System aus Eintrittswahrscheinlichkeit und Auswirkung eine Risikozahl?
35: Kann die Formel zur Berechnung der Risikozahl ist aus einer vordefinierten Menge ausgewählt werden bzw. ist sie frei definierbar?
36: Gibt es die grafische Darstellung einer Risikomatrix?
37: Kann für die Risikomatrix definiert werden, welche Kombinationen aus Eintrittwahrscheinlichkeit und Auswirkung bzw. welcher Wert der Risikozahl in welcher Farbe angezeigt werden soll?
38: Bietet das System Hilfsmittel, um eine größere Anzahl gleichartiger Infrastrukturelemente effizient zu bearbeiten?
Zum Beispiel durch gemeinsame Auswahl oder durch Gruppierung
B.2.2 Risikobeurteilung
39: Gibt es vordefinierte Kataloge für mögliche Bedrohungen?
40: Gibt es vordefinierte Kataloge für mögliche Schwachstellen?
41: Können Bedrohungen und Schwachstellen zu vordefinierten Schadensszenarien kombiniert werden?
42: Unterstützt das System die Identifikation von Risiken durch die Möglichkeit, Bedrohungen und Schwachstellen kombiniert auf Assets anzuwenden?
43: Können bei der Risikoidentifikation die betroffenen Schutzziele dokumentiert werden?
44: Kann für jedes identifizierte Risiko Eintrittswahrscheinlichkeit und potenzielle Auswirkungen festgelegt werden?
B.2.3 Risikobehandlung
45: Können einem Risiko die bereits vorhandenen Maßnahmen der Risikobehandlung zugeordnet werden?
46: Können einem Risiko die verschiedenen Arten der Risikobewältigung zugewiesen werden (Akzeptanz, Maßnahmen, Vermeidung, Übergang auf Dritte)?
47: Können dem Risiko neue Maßnahmen zugewiesen werden?
48: Wird die Umsetzung neuer Maßnahmen mit Verantwortlichkeit und Frist verfolgt?
49: Kann jede einem Risiko zugewiesene Maßnahme einzelnen mit Verantwortlichkeit und Frist verfolgt werden?
50: Lassen sich zu Maßnahmen weitere planerische Größen dokumentieren wie notwendige Ressourcen und Kosten?
51: Kann das Risiko im Zustand nach Risikobewältigung bewertet werden? (Restrisiko)
B.2.4 Berichte
52: Kann das System eine Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) generieren?
53: Können auch eigene Maßnahmen definiert und in die SoA einbezogen werden?
54: Kann für jede Maßnahme dokumentiert werden, ob sie umgesetzt wurde?
55: Kann begründet werden, warum eine Maßnahme aus dem Anhang A nicht umgesetzt wurde?
56: Gibt es eine Übersicht über die Maßnahmen aus dem Anhang A, die weder umgesetzt noch begründet wurden?
57: Kann das System einen Risikobehandlungsplan (Risk Treatment Plan, RTP) generieren?
58: Beschreiben Sie weitere Reporting-Möglichkeiten des Systems.

B.3 Dokumentenverwaltung (für Richtlinien u.ä.)

59: Können Dokumente direkt in der Anwendung erstellt werden?
60: Steht ein Rich Text-Editor zur Verfügung, der die Formatierung von Texten ermöglicht?
61: Können in den Text auch Bilder eingebunden werden?
62: Können extern erstellte Dokumente als Anhang angehängt und gespeichert werden?
63: Können Dokumente, die anderen Systemen abgelegt sind, verlinkt werden?
64: Können die Dokumente mit einem Gültigkeitsdatum versehen werden?
65: Können Dokumente auf Wiedervorlage gesetzt werden?
66: Gibt es eine Versionierung der Dokumente?
67: Können die Dokumente mit Assets, den ISMS-Anforderungen usw. verknüpft werden?

B.4 Aufgabensteuerung

68: Gibt es eine Aufgabensteuerung, um die Erledigung von Aufgaben nachvollziehbar zu machen? Beschreiben Sie die Funktionen.
69: Wie erfolgt die Information der Mitarbeiter über anstehende Aufgaben?
70: Gibt es Eskalationsmöglichkeiten, wenn Fristen nicht eingehalten werden?
71: Gibt es Übersichten, die den Status der Aufgaben darstellen?

C Qualitätsanforderungen

C.1 Benutzerfreundlichkeit

C.1.1 Bedienung
72: Gibt es Kopierfunktionen für Daten, um größere Bestände effizient erfassen zu können?
73: Gibt es Assistenten, die den Anwender durch komplexe Bearbeitungsschritte führen?
74: Ist die Anwendung vollständig über die Tastatur bedienbar?
75: Gibt es Shortcuts für häufig genutzte Operationen?
76: Kann die Anwendung mehrfach im Browser geöffnet werden?
C.1.2 Dashboard
77: Gibt es ein Dashboard, auf dem wichtige Informationen und KPIs aggregiert dargestellt werden?
78: Können Benutzer ihr Dashboard individuell anpassen?
C.1.3 Listen
79: Beschreiben Sie die Möglichkeiten, in Listen die Spalten anzupassen.
Beispiele:
- Breite der Spalten kann verändert werden.
- Die gewählte Spaltenbreite wird gespeichert und wird beim nächsten Aufruf wieder angewendet
- Spalten können ein- und ausgeblendet werden.
- Eine Spalte kann in ihrer horizontalen Position eingefroren werden.
80: Beschreiben Sie die Sortiermöglichkeiten in Listen.
Beispiele:
- Sortieren nach beliebigen Spalten
- Auf- und Abwärtssortierung
- Sortierung nach mehreren Ebenen
81: Beschreiben Sie die Such- und Filtermöglichkeiten in Listen.
Beispiele:
- Es gibt ein Suchfeld, das eine Suche über alle Inhalte erlaubt
- Es können komplexe Suchen mit Operatoren und Klammern gebildet werden.
82: Können Abfragen gespeichert und später wieder aufgerufen werden?
Beispiele:
- Können Suchen anderen Benutzern zur Verfügung gestellt werden?
83: Können Einträge abhängig von Daten formatiert werden? (z.B. negative Werte rot) Beschreiben Sie die Möglichkeiten.
84: Können Werte direkt in der Liste bearbeitet werden?

C.2 Suche

85: Gibt es eine übergeordnete Suche bzw. Volltextsuche?

C.3 Barrierefreiheit

Dieser Teil ist nur relevant, wenn das System zur Nutzung durch entsprechend behinderte Menschen vorgesehen ist oder wenn Regeln der Organisation vorschreiben, dass Barrierefreiheit gewährleistet sein muss.
Eine pauschale Forderung nach Erfüllung der einschlägigen Richtlinien BITV und WCAG wäre unangemessen, da sich diese primär auf Web-Präsenzen im Internet beziehen. Für (Web-)Anwendungen sind nur ein Teil der Anforderungen relevant und sinnvoll.
86: Unterstützt das System die barrierefreie Nutzung durch Blinde, Sehbehinderte und motorisch eingeschränkte Menschen?
87: In welchem Maße entspricht das System den Standards Barrierefreie-Informationstechnik-Verordnung BITV 2.0 und Web Content Accessibility Guidelines WCAG 2.1?
88: Erläutern Sie, welche Tools (Screenreader, Lupensoftware usw.) unterstützt werden.

C.4 Lokalisierung

89: Welche Oberflächensprachen stehen zur Verfügung?

C.5 Berechtigungssystem

90: Ist das System mandantenfähig? Beschreiben Sie die Möglichkeiten.
91: Beschreiben Sie das Berechtigungssystem.

C.6 Datenhaltung

92: Beschreiben Sie die Mechanismen zum sicheren Umgang mit konkurrierenden Änderungen an den Daten (optimistisches oder pessimistisches Locking).
93: Werden Änderungen an Daten historisiert, so dass sie zu einem späteren Zeitpunkt nachvollziehbar sind?
94: Können die Inhalte archiviert und dort unveränderbar aufbewahrt werden?

C.7 Performance

95: Bitte bestätigen Sie: Das System ist in der Lage, mit den im Konzept genannten Datenmengen umzugehen
96: Bitte bestätigen Sie: Das System hat bei den im Konzept genannten Datenmengen und parallelen Benutzerzahlen das folgenden Antwortzeiten: - Listen und Bearbeitungsmasken öffnen sich in 90% der Fälle innerhalb von 2 Sekunden - Berichte öffnen sich in 90% der Fälle innerhalb von 10 Sekunden
Passen Sie die Zahlen entsprechend Ihres Bedarf an, bleiben Sie dabei jedoch realistisch. Dazu gehört, dass es immer Masken gibt, die etwas länger brauchen. Das sollten aber nicht die Masken sein, die permanent genutzt werden - grenzen Sie es also sinnvoll ein.

C.8 IT-Sicherheit

97: Beschreiben Sie die Maßnahmen und Prozesse, mit denen Sie Sicherheitslücken in der Anwendung erkennen und bereinigen.

C.9 Datenschutz

98: Beschreiben Sie, wie das System bei der Umsetzung der DSGVO unterstützt.
Wie werden Anfragen von Betroffenen umgesetzt? Gibt es ein Konzept zum Löschen von Daten bei Ablauf der Löschfristen?

C.10 Anforderungen an den technischen Betrieb

Dieser Abschnitt ist nur bei einer on-premise-Installation relevant
99: Welche laufenden Tätigkeiten sind für den Systembetrieb notwendig? Mit welchen Aufwände ist zu rechnen?
100: Beschreiben Sie die Möglichkeiten, den Systembetrieb zu überwachen.
Logdateien, Warnungen bei kritischen Zuständen usw.
101: Beschreiben Sie das Konzept der Datensicherung für das System.

C.11 Anforderungen an den SaaS-Betrieb

Dieser Abschnitt ist nur bei einem SaaS-Betrieb (Cloud-Nutzung) relevant
102: Liegen die Daten in einem Rechenzentrum in D/A/CH bzw. in der EU?
103: Bestätigen Sie, dass auf die Daten im Rechenzentrum nicht nach dem Patriot-Act zugegriffen werden kann.
104: Ist das Rechenzentrum im Hinblick auf die Informationssicherheit zertifiziert bzw. geprüft? (z.B. ISO 27001, ISAE 3402)

C.12 Support

105: Beschreiben Sie die verschiedenen Support-Stufen, die Sie anbieten. Nennen Sie dazu jeweils die Servicezeiten sowie die Reaktions- und Lösungszeiten.
106: Gibt es für das System einen Helpdesk in ... ?
Sprachen einsetzen
107: Gibt es ein Ticket-System, um Probleme und Fragen einzustellen?
108: Gibt es eine Wissensdatenbank zu häufigen Fragen und Problemen?
109: Gibt es ein Online-Forum, um sich mit anderen Anwendern auszutauschen und Lösungen zu finden?

C.13 Updates und Releasesicherheit

110: Beschreiben Sie Ihren Produktlebenszyklus: In welchem Zyklus bringen Sie neue Versionen (Major / Minor Releases) und Fehlerbereinigungen heraus?
111: Beschreiben Sie, welche Arten von Anpassungen am System vorgenommen werden können (z.B. Konfiguration, Customizing) und wie release-sicher diese Änderungen jeweils sind. Nennen Sie insbesondere die Änderungen, die bei einem Update manuellen Zusatzaufwand verursachen.
112: Mit welchem Aufwand muss ein Kunde beim Einspielen eines Update (Major/Minor Release, Fehlerbereinigung) rechnen?
113: Wie werden Kunden über neue Updates informiert?
114: Können bei einer späteren Außerbetriebnahme des Systems die Daten in ein gängiges maschinenlesbares Format exportiert werden, um sie in ein Nachfolgesystem zu übernehmen?

C.14 Dokumentation

115: Welche Dokumentation wird zum System bereitgestellt?
116: In welchen Sprachen steht die Produktdokumentation zur Verfügung?
Deutsch, Englisch, ...
117: Gibt es eine kontextsensitive Hilfe?

C.15 Training

118: Beschreiben Sie, welche Schulungsangebote es zu dem System gibt.

C.16 Testdaten

119: Gibt ein Testsystem bzw. einen Testmandanten, um das System zu erlernen?
120: Gibt es Testdaten, um die typische Nutzung an Beispielen zu erlernen?

D Technische Anforderungen

D.1 Systemarchitektur

121: Beschreiben Sie die grundsätzliche Systemarchitektur Ihrer Anwendung. Gehen Sie dabei auf Komponenten wie Client, Server, Datenbank, Schnittstellen usw. ein
122: Gibt es Lösungen für die Hochverfügbarkeit?

D.2 On-Premise-Installation

D.2.1 Anwendungsserver
123: Falls die Anwendung einen Server erfordert: Beschreiben Sie die Systemvoraussetzungen für den Server mit unterstützten Betriebssystemen, erforderlichen Laufzeitumgebungen usw.
124: Falls die Anwendung ein proprietäres Basissystem wie z.B. MS Sharepoint voraussetzt: Beschreiben Sie die Voraussetzungen.
Wenn die Anwendung auf einem proprietären System beruht und ein dieses System ist bei Ihnen bereits im Einsatz, dann kann es die technischen Aufwände erheblich reduzieren. Sollte dieses System jedoch bei Ihnen nicht genutzt werden, so können spürbare Mehrkosten und Zusatzaufwände entstehen.
125: Geben Sie eine Sizing-Empfehlung für die im Konzept genannten Datenmengen und Nutzerzahlen (CPUs, Hauptspeicher, Plattenplatz usw).
Verweisen Sie auf das Mengengerüst an Benutzern und Daten, mit denen Sie in der Anwendung rechnest.
126: Wie kann der Server bei Bedarf skaliert werden?
Vertikal: Die Leistung des Server erhöhen. Oder horizontal: mehr Server einsetzen
127: Gibt es Container-Images?
D.2.2 Datenbank
128: Ist eine Datenbank erforderlich?
Manche Anwendungen bringen eine eigene Datenbank mit, andere Anwendungen setzen das Vorhandensein einer Datenbank voraus.
129: Welche Datenbanken (einschließlich Versionen) werden von der Anwendung unterstützt? Wird auch eine lizenzfreie Datenbank unterstützt?
Setzen Sie die Datenbank(en) ein, die in Ihrer Organisation unterstützt werden, z.B. Oracle 19c, MS SQL Server 2019, MariaDB 10
130: Geben Sie eine Sizing-Empfehlung für die im Konzept genannten Datenmengen und Nutzerzahlen.

D.3 Netzwerk

131: Welche Anforderungen an die Übertragungsgeschwindigkeit bzw. Bandbreite werden gestellt?
Diese Frage ist vor allem für Standorte relevant, die über eine schlechte Netzwerk-Anbindung verfügen.

D.4 Client

Im Idealfall ist die Anwendung für Endbenutzer komplett über den Browser bedienbar, so dass auf dem Arbeitsplatzrechner keine Installation erforderlich ist. Alternativ kann die Software auch lokal installiert werden, insbesondere bei einer überschaubaren Anzahl von Benutzern.
132: Muss zur Nutzung des Systems durch Endbenutzer auf dem Arbeitsplatzrechner eine Software installiert werden?
133: Muss zur Administration des Systems auf dem Arbeitsplatzrechner eine Software installiert werden?
D.4.1 Lokal installierter Client
134: Welche Betriebssysteme werden bei einer Client-Installation unterstützt?
135: Ist auf dem Arbeitsplatzrechner eine Laufzeitumgebung erforderlich, um den Client auszuführen?
136: Welche Anforderungen in Bezug auf CPU-Leistung, Hauptspeicher und Plattenplatz muss der Arbeitsplatzrechner erfüllen?
D.4.2 Browser
137: Welche Browser werden unterstützt? (mit Versionen)
Die Frage zielt darauf, ob die in Ihrer Organisation erlaubten bzw. notwendigen Browser unterstützt werden.
138: Sind im Browser veraltete Laufzeitumgebungen wie clientseitiges Java, Flash oder Silverlight erforderlich?
Es sollen keine Anwendungen mehr neu eingeführt werden, die die genannten Laufzeitumgebungen benötigen.

D.5 Mobile Nutzung

139: Ist die Oberfläche responsive?
140: Welche Arten von Mobilgeräten werden unterstützt (Smartphone, Tablet)?
141: Ist die Anwendung auf dem Browser von mobilen Endgeräten nutzbar?
142: Gibt es für die Anwendung eine App? Beschreiben Sie den Funktionsumfang, im Vergleich zur Desktop- bzw- Browser-Variante.
143: Welche Mobil-Betriebssysteme werden unterstützt?
Sollte ggf. auf die vorhandenen Mobil-Betriebssysteme eingegrenzt werden.
144: Kann die App mit einem Mobile Device Management administriert werden?
Ggf. sollte konkret nach den vorhandenen MDM-Systemen gefragt werden.

D.6 Benutzerverwaltung

Häufig gibt es zwei Arten von Benutzern:
- Lokal in der Anwendung verwaltete Benutzer: Diese werden beispielsweise genutzt, wenn es nur wenige Benutzer gibt und die lokale Pflege einfacher ist als die Erstellung und Wartung einer LDAP-Schnittstelle. Oder wenn externe Benutzer eingebunden werden sollen, die man nicht im eigenen LDAP pflegen möchte.
- In einem Verzeichnisdienst verwaltete Benutzer: In der Regel wird die Pflege von Benutzern zentral in Systemen wie Active Directory vorgenommen. Die Informationen werden dann über eine Schnittstelle mit der Anwendung synchronisiert und stehen dort zur Verfügung. Dies vereinfacht die Administration der Benutzer, erfordert jedoch eine entsprechende LDAP-Schnittstelle.
Je nach Komplexität der Organisation und abhängig von den Anforderungen kann auch ein Mischbetrieb sinnvoll sein oder muss möglich sein, Benutzerinformationen aus mehreren Verzeichnis-Systemen einzulesen.
145: Gibt es eine lokale Benutzerverwaltung im System?
146: Gibt es eine LDAP-Schnittstelle, um Benutzer aus einem Verzeichnis zu synchronisieren? Wird eine Anbindung an ... unterstützt?
Setzen Sie die Verzeichnisdienste ein, die für Ihre Organisation relevant sind, z.B. Active Directory

D.7 Authentifizierung

147: Wird Single Sign-On (SSO) unterstützt? Beschreiben Sie die Möglichkeiten.

D.8 Schnittstellen

148: Erläutern Sie Ihre Methodik, um Schnittstellen zu Drittsystemen herzustellen.
149: Zu welchen Drittsystemen gibt es Standard-Konnektoren?