Zur Abbildung eines Informationssicherheitsmanagement-Systems nach ISO 27001 oder IT-Grundschutz gibt es zahlreiche Standard-Produkte (siehe Link zu unserer Marktübersicht weiter unten). Obwohl sie funktional den gleichen Zweck erfüllen, nämlich die Abbildung eines ISMS, können sich die Angebote in anderen Aspekten wesentlich voneinander unterscheiden, z.B. in der Konfigurierbarkeit, in der Art der Bereitstellung oder in Fragen der Zusammenarbeit mit dem Anbieter. Diese Punkte müssen genauso in die Auswahl einfließen wie der Preis, damit Sie sich am Ende für das Tool entscheiden, das am besten Ihre spezifischen Rahmenbedingungen und Anforderungen erfüllt. Diese Seite möchte Sie bei diesem Auswahl-Prozess unterstützen.

Übersicht

Dieser Leitfaden liefert Ihnen eine Schritt-für-Schritt-Anleitung für die Tool-Auswahl. Beschrieben ist ein grundsätzliches Vorgehen mit Projektstart, Projektplanung, Grobkonzeption, Ausschreibung, Auswahl und Entscheidung, das Sie auf Ihre Situation adaptieren können.

Unser Leitfaden umfasst die folgenden Punkte:

  • Projektstart
  • Anforderungen definieren
  • Tool-Auswahl und Vertragsabschluss

Auswahl ISMS Tool

1. Projektstart

Hierzu gehören Punkte wie:

  • Ist-Zustand und Probleme klären
  • Lösungsansatz beschreiben
  • Nutzen für die Organisation erarbeiten
  • Grundsätzliche Bereitschaft und Fähigkeit klären, ein solches Projekt durchzuführen
  • Ziele und Scope klären
  • Erste Marktsichtung durchführen
  • Sollzustand definieren
  • Grobkonzept zusammenstellen
  • Projektplan erstellen
  • Review
  • Entscheidungsvorlage erstellen und zur Genehmigung vorlegen

Detaillierte Hinweise zum Vorgehen finden Sie hier:
Auswahl einer Unternehmens-Software - Projektstart

2. Anforderungen definieren

Damit Sie die am besten auf Sie passende ISMS-Software finden können, sollten Sie zunächst die Rahmenbedingungen Ihrer Organisation und die allgemeine Anforderungen an ein solches Tool erarbeiten. Das führt Sie zu wichtigen Überlegungen, deren Extrakt in die Kriterien- und Testkataloge einfließt, mit denen Sie die Tool-Auswahl gestalten.

Detaillierte Hinweise zum Vorgehen finden Sie hier:
Auswahl einer Unternehmens-Software - Anforderungen definieren

Hilfestellungen zur Definition der Anforderungen an eine ISMS-Software finden Sie hier:
Anforderungen an ein ISMS-Tool

Vorlage für einen Kriterienkatalog:
Excel-Anforderungskatalog zur Auswahl einer ISMS-Software

Weitere Überlegungen:
ISMS: Excel, Confluence oder spezielle Software?

3. Tool-Auswahl und Vertragsabschluss

Dazu gehören Aufgaben wie:

  • Longlist erstellen
  • Verfahren planen
  • Informationen der Produktanbieter einholen
  • Anbieterpräsentationen
  • Shortlist erstellen
  • Proof of concept
  • Testversion
  • Anbieter weiter eingrenzen
  • Angebotspräsentationen
  • Verhandlungen
  • Entscheidungsvorlage zu Beschaffung und Einführung des Tools und Genehmigung
  • Vertragsabschluss

Detaillierte Hinweise zum Vorgehen finden Sie hier:
Auswahl einer Unternehmens-Software - Tool-Auswahl und Vertragsabschluss

Übersicht zu Produkten im deutschsprachigen Raum:
Marktübersicht ISMS-Software

ISMS Open-Source-Tools:
ISMS Open Source-Tools

Andere Ressourcen

Diese Studie aus dem Jahr 2012 ist im Hinblick auf die Produkte größtenteils veraltet. Jedoch enthält sie allgemeine Teile, die für die Tool-Auswahl interessant sein können.
https://www.aisec.fraunhofer.de/content/dam/aisec/...