Zur Abbildung eines Informationssicherheitsmanagement-Systems nach ISO 27001 oder IT-Grundschutz gibt es zahlreiche Standard-Produkte (siehe Link zu unserer Marktübersicht weiter unten). Obwohl sie funktional den gleichen Zweck erfüllen, nämlich die Abbildung eines ISMS, können sich die Angebote in anderen Aspekten wesentlich voneinander unterscheiden, z.B. in der Konfigurierbarkeit, in der Art der Bereitstellung oder in Fragen der Zusammenarbeit mit dem Anbieter. Diese Punkte müssen genauso in die Auswahl einfließen wie der Preis, damit Sie sich am Ende für das Tool entscheiden, das am besten Ihre spezifischen Rahmenbedingungen und Anforderungen erfüllt. Diese Seite möchte Sie bei diesem Auswahl-Prozess unterstützen.
Übersicht
Dieser Leitfaden liefert Ihnen eine Schritt-für-Schritt-Anleitung für die Tool-Auswahl. Beschrieben ist ein grundsätzliches Vorgehen mit Projektstart, Projektplanung, Grobkonzeption, Ausschreibung, Auswahl und Entscheidung, das Sie auf Ihre Situation adaptieren können.
Unser Leitfaden umfasst die folgenden Punkte:
- Projektstart
- Anforderungen definieren
- Tool-Auswahl und Vertragsabschluss
1. Projektstart
Hierzu gehören Punkte wie:
- Ist-Zustand und Probleme klären
- Lösungsansatz beschreiben
- Nutzen für die Organisation erarbeiten
- Grundsätzliche Bereitschaft und Fähigkeit klären, ein solches Projekt durchzuführen
- Ziele und Scope klären
- Erste Marktsichtung durchführen
- Sollzustand definieren
- Grobkonzept zusammenstellen
- Projektplan erstellen
- Review
- Entscheidungsvorlage erstellen und zur Genehmigung vorlegen
Ressourcen
Das Vorgehen
Auswahl einer Unternehmens-Software - Projektstart
2. Anforderungen definieren
Damit Sie die am besten auf Sie passende ISMS-Software finden können, sollten Sie zunächst die Rahmenbedingungen Ihrer Organisation und die allgemeine Anforderungen an ein solches Tool erarbeiten. Das führt Sie zu wichtigen Überlegungen, deren Extrakt in die Kriterien- und Testkataloge einfließt, mit denen Sie die Tool-Auswahl gestalten.
Detaillierte Hinweise zum Vorgehen finden Sie hier:
Auswahl einer Unternehmens-Software - Anforderungen definieren
Die Tools für ein Informationssicherheitsmanagement-System bildet den Umgang mit den Normen ab, häufig die ISO 27001, bei Multi-Norm-fähigen Werkzeugen auch andere. Durch diese Orientierung an den Normen ist die Grundfunktionalität der Produkte sehr ähnlich: Geschäftsprozesse können erfasst und im Hinblick auf die Schutzziele bewertet werden, den Geschäftsprozessen können Assets zugeordnet werden, im Risikomanagement werden über Schwachstellen und Bedrohungen die Risiken identifiziert und eingeschätzt, es werden Maßnahmen zur Risikobehandlung definiert, Verantwortlichkeiten zugewiesen und es wird deren Umsetzung überwacht. Außerdem kann ein Statement of Applicability (SoA) und eine Übersicht der Risiken ausgeben werden. Darüber hinaus gibt es Konfigurationsmöglichkeiten, z.B. für die Methode der Risikobewertung sowie einen Administrationsbereich, in dem Benutzer oder Schnittstellen zu anderen Systemen definiert werden.
Trotz dieser hohen Übereinstimmung in der Grundfunktionalität können sich die ISMS-Tools in anderen Aspekten wesentlich voneinander unterscheiden. Wird die Software im eigenen Rechenzentrum installiert und betrieben oder wird sie in der Cloud genutzt (Software as a Service, SaaS)? Ist es eine Desktop-Anwendung oder wird über den Browser zugegriffen? Wie stark ist die Anwendung anpassbar? Wie ist die Benutzerfreundlichkeit - finde ich mich in der Anwendung gut zurecht? Diese beispielhaft genannten Punkte beziehen sich nicht auf die unmittelbare Funktionalität, sie bestimmen aber in hohem Maße, wie gut eine Software auf die spezielle Situation in Ihrem Unternehmen oder Ihrer Behörde passt. Deshalb sollten Sie bei der Definition Ihrer Anforderungen ein besonderes Augenmerk darauf legen.
Ressourcen
Das Vorgehen
Auswahl einer Unternehmens-Software - Anforderungen definieren
Definition der Anforderungen an eine ISMS-Software
Anforderungen an ein ISMS-Tool
Vorlage für einen Kriterienkatalog:
Excel-Anforderungskatalog zur Auswahl einer ISMS-Software
Weitere Überlegungen:
ISMS: Excel, Confluence oder spezielle Software?
3. Tool-Auswahl und Vertragsabschluss
Dazu gehören Aufgaben wie:
- Longlist erstellen
- Verfahren planen
- Informationen der Produktanbieter einholen
- Anbieterpräsentationen
- Shortlist erstellen
- Proof of concept
- Testversion
- Anbieter weiter eingrenzen
- Angebotspräsentationen
- Verhandlungen
- Entscheidungsvorlage zu Beschaffung und Einführung des Tools und Genehmigung
- Vertragsabschluss
Ressourcen
Das Vorgehen im Detail
Auswahl einer Unternehmens-Software - Tool-Auswahl und Vertragsabschluss
Übersicht zu Produkten im deutschsprachigen Raum
ISMS-Software Vergleich
ISMS Open-Source-Tools
ISMS Open Source-Tools