Zur Abbildung eines Informationssicherheitsmanagement-Systems nach ISO 27001 oder IT-Grundschutz gibt es zahlreiche Standard-Produkte (siehe Link zu unserer Marktübersicht weiter unten). Obwohl sie funktional den gleichen Zweck erfüllen, nämlich die Abbildung eines ISMS, können sich die Angebote in anderen Aspekten wesentlich voneinander unterscheiden, z.B. in der Konfigurierbarkeit, in der Art der Bereitstellung oder in Fragen der Zusammenarbeit mit dem Anbieter. Diese Punkte müssen genauso in die Auswahl einfließen wie der Preis, damit Sie sich am Ende für das Tool entscheiden, das am besten Ihre spezifischen Rahmenbedingungen und Anforderungen erfüllt. Diese Seite möchte Sie bei diesem Auswahl-Prozess unterstützen.

Übersicht

Dieser Leitfaden liefert Ihnen eine Schritt-für-Schritt-Anleitung für die Tool-Auswahl. Beschrieben ist ein grundsätzliches Vorgehen mit Projektstart, Projektplanung, Grobkonzeption, Ausschreibung, Auswahl und Entscheidung, das Sie auf Ihre Situation adaptieren können.

Unser Leitfaden umfasst die folgenden Punkte:

  • Projektstart
  • Anforderungen definieren
  • Tool-Auswahl und Vertragsabschluss

Auswahl ISMS Tool

1. Projektstart

Hierzu gehören Punkte wie:

  • Ist-Zustand und Probleme klären
  • Lösungsansatz beschreiben
  • Nutzen für die Organisation erarbeiten
  • Grundsätzliche Bereitschaft und Fähigkeit klären, ein solches Projekt durchzuführen
  • Ziele und Scope klären
  • Erste Marktsichtung durchführen
  • Sollzustand definieren
  • Grobkonzept zusammenstellen
  • Projektplan erstellen
  • Review
  • Entscheidungsvorlage erstellen und zur Genehmigung vorlegen

Ressourcen

2. Anforderungen definieren

Damit Sie die am besten auf Sie passende ISMS-Software finden können, sollten Sie zunächst die Rahmenbedingungen Ihrer Organisation und die allgemeine Anforderungen an ein solches Tool erarbeiten. Das führt Sie zu wichtigen Überlegungen, deren Extrakt in die Kriterien- und Testkataloge einfließt, mit denen Sie die Tool-Auswahl gestalten.

Detaillierte Hinweise zum Vorgehen finden Sie hier:
Auswahl einer Unternehmens-Software - Anforderungen definieren

Die Tools für ein Informationssicherheitsmanagement-System bildet den Umgang mit den Normen ab, häufig die ISO 27001, bei Multi-Norm-fähigen Werkzeugen auch andere. Durch diese Orientierung an den Normen ist die Grundfunktionalität der Produkte sehr ähnlich: Geschäftsprozesse können erfasst und im Hinblick auf die Schutzziele bewertet werden, den Geschäftsprozessen können Assets zugeordnet werden, im Risikomanagement werden über Schwachstellen und Bedrohungen die Risiken identifiziert und eingeschätzt, es werden Maßnahmen zur Risikobehandlung definiert, Verantwortlichkeiten zugewiesen und es wird deren Umsetzung überwacht. Außerdem kann ein Statement of Applicability (SoA) und eine Übersicht der Risiken ausgeben werden. Darüber hinaus gibt es Konfigurationsmöglichkeiten, z.B. für die Methode der Risikobewertung sowie einen Administrationsbereich, in dem Benutzer oder Schnittstellen zu anderen Systemen definiert werden.

Trotz dieser hohen Übereinstimmung in der Grundfunktionalität können sich die ISMS-Tools in anderen Aspekten wesentlich voneinander unterscheiden. Wird die Software im eigenen Rechenzentrum installiert und betrieben oder wird sie in der Cloud genutzt (Software as a Service, SaaS)? Ist es eine Desktop-Anwendung oder wird über den Browser zugegriffen? Wie stark ist die Anwendung anpassbar? Wie ist die Benutzerfreundlichkeit - finde ich mich in der Anwendung gut zurecht? Diese beispielhaft genannten Punkte beziehen sich nicht auf die unmittelbare Funktionalität, sie bestimmen aber in hohem Maße, wie gut eine Software auf die spezielle Situation in Ihrem Unternehmen oder Ihrer Behörde passt. Deshalb sollten Sie bei der Definition Ihrer Anforderungen ein besonderes Augenmerk darauf legen.

Ressourcen

3. Tool-Auswahl und Vertragsabschluss

Dazu gehören Aufgaben wie:

  • Longlist erstellen
  • Verfahren planen
  • Informationen der Produktanbieter einholen
  • Anbieterpräsentationen
  • Shortlist erstellen
  • Proof of concept
  • Testversion
  • Anbieter weiter eingrenzen
  • Angebotspräsentationen
  • Verhandlungen
  • Entscheidungsvorlage zu Beschaffung und Einführung des Tools und Genehmigung
  • Vertragsabschluss

Ressourcen

ISMS-Tool Entscheidung

Das Vorgehen im Detail
Auswahl einer Unternehmens-Software - Tool-Auswahl und Vertragsabschluss

Übersicht zu Produkten im deutschsprachigen Raum
ISMS-Software Vergleich

ISMS Open-Source-Tools
ISMS Open Source-Tools

Andere Ressourcen

Diese Studie aus dem Jahr 2012 ist im Hinblick auf die Produkte größtenteils veraltet. Jedoch enthält sie allgemeine Teile, die für die Tool-Auswahl interessant sein können.
https://www.aisec.fraunhofer.de/content/dam/aisec/...