Sie suchen eine ISMS-Software? Hier finden Sie einige Hilfestellungen und ein Vorgehensmodell, das Sie direkt nutzen können.

Gehen Sie systematisch vor

Am Markt gibt es eine Fülle von ISMS-Tools, die jedoch unterschiedliche Herangehensweisen, Möglichkeiten und Schwerpunkte haben. Damit sind sie auch unterschiedlich gut für Ihr Unternehmen bzw. Ihre Organisation geeignet, was die Auswahl zu einer Herausforderung macht. Deshalb gilt es, bei der Auswahl systematisch vorzugehen, um das Produkt zu finden, das die Anforderungen Ihrer Organisation am besten erfüllt.
Ausgangspunkt sind damit immer die speziellen Belange Ihrer Organisation. Diese können von den Anforderungen anderer Organisationen erheblich abweichen und damit zu anderen Tools führen. Die Unterschiede sind beispielsweise begründet in Branche und Branchenvorgaben, Größe des Unternehmens bzw. der Organisation, Organisationsform, Eigentümer-Strukturen, IT-Strategie und Unternehmenskultur. Deshalb gibt es nicht das eine beste Tool am Markt. Man sollte sich auch nicht blind für ein Tool entscheiden, nur weil es eine andere Organisation bereits nutzt. Andererseits können Spezialisierungen der Anbieter wichtige Hinweise zur Eignung der Software geben, z.B. Branchenschwerpunkte oder bevorzugte Unternehmensgrößen. Sollten Sie beispielsweise Mittelständler sein und alle Referenzen sind große Konzerne, dann sollten sie genau prüfen, ob Sie die Software wirklich einführen wollen.
Übergreifende Ziele bei der Tool-Auswahl:
  • Akzeptanz: Das Produkt wird von den Beteiligten angenommen und genutzt.
  • Effizienz: Die Software erleichtert tatsächlich die Arbeit im gewünschten Sinn.
  • Geringe Kosten: Bei Einführung und Betrieb. Das verfügbare Budget wird optimal ausgeschöpft.
  • Langfristige Sicht: Die Software kann über lange Zeit genutzt werden, auch unter sich ändernden Rahmenbedingungen.
  • Unternehmensziele: Die richtige ISMS-Software zahlt auch auf die Ziele der Organisation ein.
  • Persönlicher Erfolg: Erfolgreiche Auswahl und Einführung der Software im Lebenslauf.
Bei der Tool-Auswahl vermeiden:
  • Fehlinvestitionen
  • Schaden an der persönlichen Reputation bei Fehlschlag
Um möglichst alle Belange zu berücksichtigen, schlagen wir das folgende Vorgehensmodell von KonBriefing Research vor. Damit haben Sie einen roten Faden durch den gesamten Auswahl-Prozess für eine ISMS-Software.

Vorgehensmodell zur Auswahl eines ISMS-Tools

Übersicht

Ein Prozess zur Auswahl einer ISMS-Software ist auf der Grafik dargestellt. Das Vorgehensmodell unterstützt Sie dabei, das Tool zu finden, das am besten den Anforderungen Ihres Unternehmens bzw. Ihrer Organisation entspricht.
Vorgehensmodell zur Auswahl ISMS-Tool

Leitfragen

Bei der Auswahl soll erkundet werden:

Was wird benötigt?

  • Zielbild
  • Abläufe
  • Funktionale Anforderungen
  • Nichtfunktionale Anforderungen

Ist die jeweilige Software geeignet?

  • Perspektiven: aktuell und zukünftig
  • Erfüllung der funktionalen Anforderungen
  • Erfüllung der nicht-funktionalen Anforderungen
  • Zukunftssicherheit
  • Governance & Compliance

Ist der jeweilige Anbieter geeignet?

  • Wirtschaftliche Leistungsfähigkeit
  • Erfahrungen
  • Kultureller Fit

Einführung

  • Wie verläuft ein typisches Einführungsprojekt?
  • Wie lange dauert es?
  • Welche Aufwände entstehen?

Betrieb und Nutzung

  • Fachliche Prozesse
  • Betreuung

Kosten

  • Nutzungsgebühr bzw. Lizenzkosten und Wartung
  • Exterme Beratung
  • Infrastruktur
  • Interne Kosten

Phasen

Phasen bei der Tool-Auswahl
Zur Orientierung ist der Prozess in fünf grundsätzliche Phasen unterteilt. In der Realität gibt es jedoch keine scharfe Trennung, sondern die Tätigkeiten überschneiden sich. So wird man das Vorhaben nur mit einer gewissen Kenntnis des Tool-Angebots sinnvoll starten können. Oder es kann sein, dass man in einer späteren Phase noch einen neuen Anbieter in die engere Wahl zieht, den man am Anfang noch nicht kannte oder nicht für geeignet hielt

Projektstart

Diese Phase beschreibt den Weg vom Erkennen des Bedarfs bis zum Beginn der Auswahl. Der Bedarf wird präzisiert, ein Zielbild erstellt, die Machbarkeit im Unternehmen bzw. in der Organisation überprüft. Damit wird von den Entscheidungsträgern das Mandat für die Auswahl geholt, mit Budget- und Ressourcen-Zusagen. Wenn diese Bestätigung vorliegt, kann das Projekt formal aufgesetzt und gestartet werden.

Anforderungen

Um das für das Unternehmen bzw. die Organisation am besten passende Produkt auszuwählen, müssen die speziellen Anforderungen des Unternehmens erhoben werden. Dazu wird eine Ist-Analyse durchgeführt und der Sollzustand definiert, der mit Hilfe von Use Cases präzisiert wird. Daraus werden die Anforderungen an das zukünftige Tool abgeleitet.

Marktanalyse

Es wird gesichtet, welche potenzielle Anbieter, Produkte und Lösungen es am Markt gibt. Dazu gehören Recherchen im Internet, Gespräche mit Experten sowie unverbindliche Anfragen an die Anbieter (RFI = Request for Information). Mit den Informationen wird die Longlist der grundsätzlich möglichen Anbieter gefüllt.

Bewertung

Anhand der Anforderungen wird das Feld der Anbieter eingegrenzt. Es werden verbindliche Angebote der Anbieter eingeholt (RFP = Request for Proposal) und bewertet. Das Feld der in Frage kommenden Anbieter wird damit auf die Shortlist reduziert. Mit den verbleibenden Anbietern werden Präsentationen abgehalten und Teststellungen durchgeführt.

Entscheidung

Mit ein bis zwei verbleibenden Anbietern werden Verhandlungen geführt und schließlich wird die Entscheidung für einen Anbieter getroffen und der Zuschlag erteilt.

Aktivitäten

Aufgaben bei der Tool-Auswahl
Die Aktivitäten führen systematisch durch die Auswahl eines ISMS-Tools. Abhängig von der konkreten Situation der suchenden Organisation kann deren Reihenfolge variiert werden und es können auch einzelne Aktivitäten ausgelassen werden. Zur besseren Übersicht sind die Aktivitäten hier den Phasen zugeordnet. In der Realität sind die Grenzen aber fließend.
Das ist nur eine Übersicht zu den Aktivitäten. Eine ausführliche Beschreibung mit allen Teilaufgaben finden Sie im KonBriefing-Vorgehensmodell zur Tool-Auswahl, das wir Ihnen gerne kostenlos zusenden.

Phase Projektstart

  • Vorüberlegungen: Erster Einstieg in das Thema nach Erkennen eines Bedarfs
  • Zielbild: Gewünschten Endzustand skizzieren; ggf. mögliche Varianten beschreiben
  • Definition: Das Vorhaben zur Tool-Einführung aus den Vorarbeiten konkretisieren; Umfang, grobe Aufwände, erster Zeitplan
  • Mandat holen: Bestätigung des Managements für die weiteren Schritte zur Tool-Auswahl einholen
  • Projekt aufsetzen: Das Auswahl-Projekt formal in der Organisation aufsetzen

Phase Anforderungen

  • Ist-Analyse: Die aktuelle Situation erheben und dokumentieren. Stärken und Schwächen herausarbeiten.
  • Soll-Zustand: Den künftig gewünschten Zustand mit beteiligten OrgEinheiten, Systemen, Informationsflüssen usw. beschreiben.
  • Prozesse: Für den Sollzustand wichtige Prozesse und Anwendungsfälle definieren.
  • Anforderungen definieren: Die Kriterien beschreiben, die die zukünftige Software erfüllen muss.

Phase Marktanalyse

  • Longlist: Liste der grundsätzlich in Frage kommenden Anbieter erstellen.
  • RFI: Mit einem Request for Information (RFI) unverbindliche Angebote einholen.
  • Infos aus RFI: Die aus dem RFI neu gewonnenen Informationen einarbeiten.
  • Bieter eingrenzen: Auf Basis des RFI den Kreis der Bieter und Tools eingrenzen.
  • Budget sichern: Mit dem RFI wurde das notwendige Budget klarer. Dieses intern bestätigen lassen.

Phase Bewertung

  • RFP: Mit einem Request for Proposal (RFP) verbindliche Angebote einholen.
  • Infos aus RFP: Die aus dem RFP neu gewonnenen Informationen einarbeiten.
  • Präsentationen: Die Anbieter präsentieren sich und ihr Angebot.
  • Testzugänge: Eigener Test der angebotenen Tools.
  • Bieterfeld eingrenzen: Auf Basis des RFP und der Testzugänge den Kreis der Bieter und Tools eingrenzen.

Phase Entscheidung

  • PoC: Mit einem Proof of Concept (PoC) zeigen die Anbieter, dass sie die Anforderungen der suchenden Organisation gut erfüllen können, insbesondere spezieller Eigenarten.
  • Referenzgespräche: Gespräche mit Kunden des jeweiligen Anbieters, bei denen ein vergleichbares Projekt schon erfolgreich durchgeführt wurde.
  • Bieterfeld eingrenzen: Auf Basis des PoC und der Referenzgespräche den Kreis der Bieter und Tools eingrenzen.
  • Verhandlungen: Mit dem nun präferierten Anbieter und ggf. bis zu 2 weiteren Anbietern einen Vertrag verhandeln.
  • Zuschlag: Dem bevorzugten Anbieter den Auftrag erteilen.

Werkzeuge

Das ist nur eine Übersicht zu den Werkzeugen. Eine ausführliche Beschreibung mit allen Teilaufgaben finden Sie im KonBriefing-Vorgehensmodell zur Tool-Auswahl, das wir Ihnen gerne kostenlos zusenden.

Vorbereitungen

  • Vorstudie: Hier fließen alle Vorüberlegungen ein, bis zur Entscheidung, in die Tool-Auswahl zu gehen.
  • Entscheidungsvorlage zur Auswahl: Vorschlag an das Management, in die Tool-Auswahl zu gehen.
  • Vorhaben-Beschreibung (intern): Eine interne Beschreibung des Vorhabens zur Software-Auswahl und -Einführung.
  • Vorhaben-Beschreibung (extern): Eine extern nutzbare Beschreibung des Vorhabens zur Software-Auswahl und -Einführung. Diese wird an potenzielle Anbieter geschickt, damit sie ihre Angebote darauf ausrichten können.
  • Anforderungskatalog: Liste der Anforderungen, die vom Tool zu erfüllen sind.
  • Entscheidungsvorlage zur Beschaffung: Sobald Preis- und Aufwandsrahmen konkretisiert sind, soll das Management der Tool-Beschaffung grundsätzlich zustimmen und Budget dafür bereitstellen.
  • Projektplan: Ablauf der Tool-Auswahl. Mit Zeitplan, Aufwänden, Ressourcen und Risikomanagement.

RFI & RFP

  • Liste der Anbieter: Liste, in der alle Anbieter bzw. ihre Lösungen geführt und bewertet werden. Sie startet als Longlist mit allen sinnvoll erscheinenden Anbietern. Diese werden anhand der Anforderungen und anderer Kriterien so lange reduziert, bis man sich für ein Angebot entschieden hat.
  • RFI - Anschreiben: Das Anschreiben mit der Aufforderung an Anbieter, am Request for Information (RFI) teilzunehmen und unverbindliche Angebote einzusenden.
  • RFI - Verfahrensbeschreibung: Beschreibung der Modalitäten des Request for Information (RFI), z.B. was ist von den Anbietern einzusenden, bis wann, wie sind Rückfragen zu stellen u.a.
  • RFP - Anschreiben: Das Anschreiben mit der Aufforderung an Anbieter, am Request for Proposal (RFP) teilzunehmen und verbindliche Angebote einzusenden.
  • RFP - Verfahrensbeschreibung: Beschreibung der Modalitäten des Request for Proposal (RFP), z.B. was ist von den Anbietern einzusenden, bis wann, wie sind Rückfragen zu stellen u.a.
  • Liste der Bieterfragen: Sammlung der Fragen von Bietern und die Antworten darauf.
  • Absage an ungeeignete Anbieter: Text mit der Absage an Anbieter, die selbst oder deren Lösung für das Vorhaben als ungeeignet erscheint.

Präsentation und Testzugang

  • Präsentation - Anschreiben: Einladung an Anbieter, ihr Angebot zu präsentieren.
  • Präsentation - Agenda: Agenda, mit der eine Bieterpräsentation durchgeführt wird.
  • Präsentation - Bewertung: Schema, nach dem die Teilnehmer die Präsentation eines Anbieters bewerten sollen.
  • Testzugang - Testinhalte: Aspekte, die bei einer Teststellung einer Software begutachtet werden sollen.
  • Testzugang - Bewertung: Schema, nach dem die Teilnehmer die zum Test bereitgestellte Software bewerten sollen.

PoC: Proof of Concept

  • Anschreiben: Einladung an Anbieter, ihr Angebot in einem PoC zu präsentieren.
  • Agenda mit Szenarien: Ablauf und Beschreibung der Szenarien, die im PoC gezeigt werden sollen.
  • Bewertung: Schema zur Bewertung der von den Anbietern vorgestellten Umsetzung der Szenarien.

Referenzgespräch

  • Sprechzettel: Die in einem Referenzgespräch angestrebten Themen.
  • Bewertung: Schema zur Bewertung eines Referenzgesprächs.

Verhandlungen und Vertrag

  • Einladung: Einladung an einen Anbieter zu Vertragsverhandlungen.
  • Zu klärende Themen: Interne Liste der mit dem Anbieter zu klärenden Themen sowie Verhandlungspositionen.
  • Vertrag

Ihr Ansprechpartner

Bert Kondruss
Gründer und Geschäftsführer von KonBriefing Research
VitaKontakt

Über KonBriefing Research

KonBriefing ist ein unabhängiger Researcher und Analyst im Bereich IT-Sicherheit, Informationssicherheit, Risikomanagement und Compliance. Das Unternehmen wurde 2019 gegründet hat seinen Sitz in Möglingen bei Stuttgart.
Bekannt aus ...