ISMS: Excel, Confluence oder spezielle Software?

Muss es tatsächlich eine spezielle Software zum Aufbau eines ISMS sein oder genügen auch Werkzeuge wie MS Excel oder Confluence? Kommt auf Ihre Anforderungen und Rahmenbedingungen an.

Ein ISMS hat viel mit strukturierten Daten und Dokumenten zu tun, daher scheint sich die Nutzung von Office-Werkzeugen mit Tabellenkalkulationen und Textprogrammen wie Microsoft Excel und Word für eine schnelle Lösung anzubieten. Das ist sicher auch für einfache Strukturen und einen geringen Datenumfang möglich. Wesentliches Element eines ISMS ist jedoch auch eine vielfältige Verknüpfung von Daten, Dokumenten und Aufgaben – und diese Verknüpfungen muss man im Fall von Office manuell erstellen und auf dem Laufenden halten. Das kann schnell zu einer großen und nervigen Fleißarbeit werden, um alles konsistent zu halten. Daher: Ja, Office-Software ist möglich, wenn es auf einfache Strukturen beschränkt bleibt und man eine gewisse Leidensfähigkeit mitbringt.

Systeme wie Confluence ermöglichen mehr Strukturen, die beim Management des ISMS hilfreich sind. Mit dem Basis-System hat man bereits einen Ablageort für Dokumente mit Kategoriesierung, Versionierung und Berechtigungssystem, kann Vorlagen für verschiedene Dokumententypen definieren, hat ein Aufgaben-Management uvm. Es ist damit einfacher, die Inhalte konsistent zu halten. Noch einfacher wird es, wenn ein Drittanbieter ein solches System bereits vorbereitet hat, passende Templates mitliefert usw. Bei mittleren Anforderungen kann sich ein solches System anbieten, insbesondere wenn die Kollaborationsplattform ohnehin schon in der Organisation genutzt wird.

Da solche Systeme stark dokumentenzentriert arbeiten, können sie jedoch an ihre Grenzen kommen, wenn der strukturierte Anteil umfangreich oder komplex ist. Wenn es beispielsweise darum geht, umfangreiche Asset-Strukturen abzubilden, komplexe Organisationshierarchien zu berechtigen, Massenänderungen möglich sein müssen, komplexe Schnittstellen zu implementieren sind oder ein bereits bestehendes Dokumentenmanagement-System zur Verwaltung von Richtlinien zu integrieren ist. Außerdem sollte darauf geachtet werden, dass man nicht in einer „Add-On-Hölle“ landet, d.h. zur Nutzung die Add-Ons verschiedener Anbieter benötigt werden, die unterschiedliche Aktualisierungszyklen haben, immer wieder auf Kompatibilität geprüft werden müssen usw.

Tools, die speziell auf den Aufbau eines ISMS ausgelegt sind, haben ihre Stärken oft im strukturierten Teil. Damit eignen sie sich ganz besonders zur Abbildung komplexer Organisations- und Asset-Strukturen, zur Umsetzung von Schnittstellen und zur Integration anderer Tools. Ein weiterer Vorteil ist es, dass oft nicht nur ein Standard wie ISO 27001 unterstützt wird, sondern dass sich auch weitere Standards wie PCI-DSS oder HIPAA abbilden lassen.