Werbung
Software für ein Information Security Management System nach ISO 27001.
Nutzen Sie diese Liste als Grundlage für Ihre Longlist.
Sofern nicht anders gekennzeichnet beruhen die Angaben auf Informationen der jeweiligen Anbieter. Diese Übersicht soll Ihnen eine erste Orientierung geben. Sie sollten jedoch keine Beschaffungsentscheidung allein auf Basis dieser Daten fällen. Wir raten dazu, zuvor verbindliche Informationen und Angebote bei den jeweiligen Anbietern einzuholen.

ISMS-Tools

Compliance Cloud - Information Security
Akarion AG
SaaS-Tool zur revisionssicheren Dokumentation des ISMS-Betriebs inkl. Business Continuity, Risiko- und Audit-Management. Vorgefertigte Kontroll-Kataloge der wichtigsten Normen und systematische Vorbereitung auf Audits inkl. KRITIS/NIS(2). SSO-Authentifizierung und Rest-API für die automatische Befüllung aus Drittsystemen. Workflow, Webform und aufgabenbasierter Betrieb des ISMS. Synergie mit dem Akarion DSMS-Modul.
Weitere Informationen
ditis InfoSec-Manager
ditis Systeme
Der ditis InfoSec-Manager ist ein Tool für das Informationssicherheitsmanagement auf Basis von Microsoft SharePoint. Es ermöglicht Verantwortlichen für Informationssicherheit den Aufbau und Betrieb eines normkonformen und auf das Unternehmen zugeschnittenen Informationssicherheits-Managementsystems (ISMS). Mit der vordefinierten, adaptierbaren Struktur und mit praxiserprobten Inhalten ist es das passende Werkzeug für eine Zertifizierung nach ISO/IEC 27001, ENX TISAX oder KRITIS.
Weitere Informationen
Intervalid ISMS
Anbieter
Name
Intervalid GmbH
Hauptsitz
Wien (Österreich)
Niederlassungen
Karlsruhe (Deutschland)
Gründung
2017
ISMS
Normen:
ja
ISO 27001
ja
VDA ISA TISAX
ja
VdS 10000
Funktionen:
ja
Abbildung der Organisation
ja
Abbildung der Geschäftsprozesse
ja
Abbildung der Assets
ja
Business Impact-Analyse
ja
Risikoanalyse
ja
Maßnahmen und Aufgaben
ja
Checklisten
ja
Audit
ja
Dokumentenablage
ja
Bearbeitung von Sicherheitsvorfällen
Berichte:
ja
Anwendbarkeitserklärung (SoA)
ja
Risikobehandlungsplan
ja
Asset-Register
ja
Aufgaben
ja
(und weitere)
Inhalte:
ja
Vorlagen für technische und organisatorische Maßnahmen (TOM)
Konzern-Funktionen:
ja
Funktionen zur dezentralen Datenerfassung durch Fachbereiche
ja
Bildung von Gruppen gleichartiger Assets
ja
Automatische Risikobeurteilung
Eigenschaften
Oberflächen-Sprachen:
ja
Deutsch
ja
Englisch
Technik & Betrieb
Installation / Deployment:
ja
Eigene Installation (on-premises)
ja
Software as a Service (SaaS) / Cloud
Client:
ja
Webbrowser
Optionale Module
Datenschutzmanagement
Informationen beim Anbieter
Produkt-Tests
Fazit von KonBriefing aus dem Test: "Von mir eine klare Empfehlung, Intervalid ISMS auf die Longlist zu nehmen. Vor allem wenn man gut geführt und mit klaren Strukturen starten möchte, um dann mit vielen vorkonfigurierten Inhalten schnell Fahrt bei Aufbau und Dokumentation eines ISMS aufzunehmen."
ISMS SmartKit
Anbieter
Name
Byght GmbH
Hauptsitz
Norderstedt (Deutschland)
ISMS
Normen:
ja
ISO 27001
Original Norminhalte (ISO 27001 Anhang A)
ja
VDA ISA TISAX
(Add-On)
Funktionen:
ja
ISMS
ja
Aufgabenmanagement
ja
Audit-Management
Berichte:
ja
Anwendbarkeitserklärung (SoA)
ja
Sicherheitsziele & Kennzahlen
ja
Managementbewertung
Inhalte:
ja
Alle erforderliche Richtlinien
ja
Vorlagen für alle normspezifischen Dokumente
ja
Hilfen und Tipps zur Einführung eines ISMS
ja
Awareness-Materialien
Eigenschaften
Oberflächen-Sprachen:
ja
Deutsch
ja
Englisch
Technik / Betrieb
Basissystem:
Atlassian Confluence
Vollständig integriert in Atlassian Confluence (Confluence Cloud, Confluence Server, Confluence Data Center)
Schnittstellen:
API: Standard Confluence REST API
Jira: Optional integrierbar
Lizensierung / Nutzung
ja
Kauf
ja
Miete
Informationen beim Anbieter
ISMS@aeneis
intellior AG / SHD System-Haus-Dresden GmbH
ISMS@Aeneis ist ein prozessorientierter Informationsmanagementansatz zur Definition, Steuerung, Kontrolle, Aufrechterhaltung und kontinuierlichen Verbesserung der Informationssicherheit im Unternehmen. Es ermöglicht das Ermitteln und Identifizieren von ISMS-Kritikalitäten auf Prozessebene sowie das Analysieren von Risikofaktoren auf Assetebene. ISMS-kritische Prozesse können anhand der VIVA-Schutzziele (Verfügbarkeit, Integrität, Authentizität, Vertraulichkeit) nach Dringlichkeit eingestuft werden, um das Risiko einer Bedrohung zu identifizieren, analysieren und zu behandeln. Das Tool eignet sich für die Abbildung der ISO/IEC 27001 sowie deren Zertifizierung. Es wurden bereits branchenspezifische Standards (B3S) für Krankenhäuser und den Energiesektor in Kundenprojekten umgesetzt.
Weitere Informationen
TTS trax
Anbieter
Name
TTS Trusted Technologies and Solutions GmbH
Hauptsitz
Essen (Deutschland)
Niederlassungen
Berlin, Hannover
Gründung
2002
Anzahl der MitarbeiterInnen
23 (2020)
ISMS
Normen:
ja
ISO 27001
Funktionen:
ja
Abbildung der Organisation
ja
Abbildung der Geschäftsprozesse
ja
Abbildung der Assets
ja
Business Impact-Analyse
ja
Risikoanalyse
ja
Maßnahmen und Aufgaben
ja
Kontinuierlicher Verbesserungsprozess
Berichte:
ja
Anwendbarkeitserklärung (SoA)
ja
Risikobehandlungsplan
Inhalte:
ja
Bedrohungskatalog
ja
Maßnahmenkatalog (Annex A)
Konzern-Funktionen:
ja
Funktionen zur dezentralen Datenerfassung durch Fachbereiche
ja
Bildung von Gruppen gleichartiger Assets
ja
Automatische Risikobeurteilung
Eigenschaften
Oberflächen-Sprachen:
ja
Deutsch
ja
Englisch
Technik & Betrieb
Installation / Deployment:
ja
Eigene Installation (on-premises)
ja
Software as a Service (SaaS)
Client:
ja
Webbrowser
Support & Community
ja
TTS Anwenderforum
Optionale Module
Business Continuity Management
Datenschutzmanagement
Informationen beim Anbieter
Produkt-Tests
Fazit von KonBriefing aus dem Test: "Meine Empfehlung: TTS trax auf jeden Fall auf die Longlist nehmen. Ich schätze, dass es dann in vielen Fällen einer der Favoriten wird, gerade in anspruchsvollen Umfeldern."
Fehlt eine Software oder fehlen Angaben?
Produkt eintragen - KonBriefing Research für Anbieter

Erläuterungen

Basissystem

Einige Tools nutzen ein proprietäres Systemen als Basis, zum Beispiel Confluence oder MS Sharepoint. Im Fall der Installation im eigenen Rechenzentrum (on-premises) kann das von Vorteil sein, wenn die entsprechende Basis-Software in der Organisation bereits genutzt wird. Dann kann es sich positiv auf Schulungs- und Betriebsaufwände auswirken, außerdem sind Schnittstellen möglicherweise leichter zu realisieren. Im Falle eines SaaS-Angebots sind die Auswirkungen geringer, da Installation und Betrieb beim Anbieter liegen.

Konzern-Funktionen

In diesem Abschnitt sind Funktionen aufgelistet, die die Arbeit in großen Organisationen unterstützen. Gibt es viele Abteilungen, viele Geschäftsprozesse und viele Assets, so kann die Erfassung in der Regel nicht mehr vom Informationssicherheitsbeauftragten (ISB) alleine geleistet werden. Stattdessen ist es notwendig, die Verantwortlichen der Abteilungen einzubeziehen, was im Idealfall vom Tool unterstützt wird. Weiterhin sind hiermit Funktionen gemeint, um vielfach vorhandene gleichartige Assets (z.B. alle Vertriebs-Notebooks) effizient bearbeiten zu können.

Optionale Module

In einem ISMS-Tool werden Daten gehalten und bearbeitet, die auch in verwandten Disziplinen Verwendung finden - und umgekehrt. Daher liegt es nahe, dass die Anbieter neben dem ISMS weitere Module für Business Continuity Management, Datenschutz-Management und IT Risk Management haben. Damit müssen zahlreiche Informationen nur einmal gepflegt werden, beispielsweise Geschäftsprozesse, Business Impact-Analyse (BIA) und die Assets. Hat die Organisation einen aktuellen oder zukünftigen Bedarf, der über ein reines ISMS hinausgeht, so kann die Verfügbarkeit solcher Module ein Entscheidungskriterium sein.

SaaS - Software as a Service

Bei SaaS wird die Software nicht im eigenen Rechenzentrum installiert, sondern läuft im Rechenzentrum des Anbieters. Der Anbieter kümmert sich um den technischen Betrieb, beispielsweise überwacht er den Systemzustand und die Performance und spielt Updates und neue Versionen ein. Der Anwender zahlt dafür eine Nutzungsgebühr.
Die Daten der nutzenden Organisation liegen dabei ebenfalls im Rechenzentrum des Anbieters, was bei einer Entscheidung für oder gegen SaaS regelmäßig zur Frage führt, ob die Daten dort sicher sind. Dies wird von den Anbietern oft durch entsprechende Nachweise adressiert, z.B. mit einem zertifizierten Managementsystem für Informationssicherheit nach ISO/IEC 27001 oder mit einer Auditierung nach ISAE 3402.

Schnittstellen

Schnittstellen erlauben eine Kommunikation zwischen dem ISMS-Tool und anderen Systemen. Die häufigste technische Schnittstelle ist die Anbindung an ein Email-System, um Bearbeiter über Statusänderungen, Aufgaben und Wiedervorlagen u.ä. zu informieren. Sie ist bei praktischen allen Tools gegeben und ist in der Regel nicht extra aufgeführt. Weitere technische Schnittstellen können sein: Benutzerimport über LDAP bzw. Active Directory und Single-sign on (SSO),
Beispiele für fachliche Schnittstellen sind die Anbindung an eine CMDB (Configuration Management Database), um dort gepflegte Assets zu importieren. Oder die Anbindung an Drittsysteme, die bestimmte Zustandsinformationen in das ISMS-Tool einspeisen, um auf diese Weise Maßnahmen zu überwachen.