Bert Kondruss, KonBriefing Research, Deutschland
Das Angebot an ISMS-Tools am Markt wirkt zunächst unübersichtlich.
- Es gibt sich überlappende Themenbereiche (z.B. Informationssicherheit vs. IT-Risiko, Cyber-Risiko)
- Zahlreiche Standards, die sich teilweise überlappen (z.B. ISO 27001, SOC 2, IT Grundschutz)
- Unterschiedliche Umsetzung der Disziplinen in den Tools.
- Unterschiedliche Breite und Tiefe der Funktionaltäten in den Tools
Damit Sie das besser sortieren können, sollen hier ISMS-Anwendungen in den Gesamtkontext von GRC-Software eingeordnet werden.
ISMS-Software im GRC-Kontext
KonBriefing Research strukturiert Business-Software in drei Ebenen:
- Domänen: Management-Ansätze, die von einer Software grundsätzlich unterstützt werden.
- Disziplinen: Die Management-Systeme zur Umsetzung der Domänen, mit den entsprechenden Anwendungsfällen.
- Funktionen & Inhalte: Die Features, die zur Umsetzung der Disziplinen genutzt werden; außerdem Inhalte wie Standards.
Für GRC-Software (Governance, Risk Management & Compliance) ist das auf dem nachfolgenden Bild dargestellt. Dabei sind Informationssicherheit und ISMS besonders herausgestellt. Die Grafik ist nicht abschließend, weil es keine eindeutige Definition gibt. Je nach gewählter Abgrenzung ließen sich mehr oder weniger Domänen und Disziplinen einbeziehen.
Die am Markt angebotenen ISMS-Produkte unterscheiden sich u.a. darin, wie sie in dieser Hinsicht zugeschnitten sind: Welche weiteren Disziplinen werden neben ISMS noch unterstützt? Und welche Domänen werden demzufolge auch noch adressiert?
ISMS-Tools vs. große GRC-Plattformen
Vor diesem Hintergrund lassen sich zwei wesentliche Gruppen von ISMS-Software unterscheiden.
Spezialisierte ISMS-Tools
Diese Produkte sind speziell auf die Abbildung eines Informationssicherheitsmanagement-Systems nach ISO 27001 oder IT Grundschutz ausgerichtet. Manchmal sind sie aus einer Beratungstätigkeit entstanden, weil man festgestellt hat, dass eine Abbildung in Excel-Tabellen nicht zum Ziel führt und deshalb eine Software notwendig ist. Durch die Ausrichtung auf genau diesen Prozess haben die Produkte oft ein besonders hohes Maß an Benutzerfreundlichkeit und sind funktional sehr ausgereift. Häufig sind später verwandte Disziplinen hinzugekommen, beispielsweise Datenschutz-Management und Business Continuity Management, die die bereits hinterlegten Daten wie Geschäftsprozesse ebenfalls nutzen können.
GRC-Plattformen
Am anderen Ende stehen Plattformen, die ein breites GRC-Spektrum abbilden (Governance, Risk Management & Compliance) und u.a. auch die Abbildung eines ISMS erlauben. Weil ein ISMS hier nur eine Disziplin von vielen ist, ist die Umsetzung in der Software eventuell generischer / allgemeiner, mit Mitteln, die auch für die anderen Disziplinen passen und den Benutzer möglicherweise weniger führen. Die Anbieter kommen in der Regel aus den USA, so dass lokale Erfordernisse weniger stark berücksichtigt sein könnten. Neben der funktionalen Breite besteht oft eine weitere Stärke in der Integrationsfähigkeit und im Quasi-Echtzeit-Test von Controls, z.B. bei der kontinuierlichen Überprüfung der sicheren Konfiguration bei Cloud-Providern.