Prozessorientiertes Informationssicherheitsmanagement – das ISMS-Tool von Aeneis

Das ISMS-Tool ISMS@aeneis erfüllt u.a. die ISO27001 und die KRITIS-Anforderungen

Mit dem ISMS Tool Aeneis erhalten Sie den einzigartigen prozessorientierten Informationsmanagementansatz zur Definition, Steuerung, Kontrolle, Aufrechterhaltung und kontinuierlichen Verbesserung der Informationssicherheit in Ihrem Unternehmen. Die ISMS Software Aeneis unterstützt Sie als zentraler Baustein u.a. bei der Zertifizierung nach ISO 27001 und erfüllt alle Anforderungen von KRITIS. 

Ermitteln und identifizieren Sie ISMS-Kritikalitäten auf Prozessebene, analysieren Sie Risikofaktoren auf Assetebene (IT-Systeme, Medizin-, Kommunikations- und Versorgungstechnik uvm.) und stufen Sie ISMS-kritische Prozesse anhand der VIVA-Schutzziele (Verfügbarkeit, Integrität, Authentizität, Vertraulichkeit) nach deren Dringlichkeiten ein, um das Risiko einer Bedrohung in und auf Ihre Organisation zu identifizieren, analysieren und behandeln.

Zahlreiche Unternehmen arbeiten mit unseren Lösungen – von KMU bis Konzern

 

Informationssicherheitsmanagement ist keine IT-, sondern eine Managementaufgabe

Das Informationssicherheitsmanagement und ISMS sind keine Aufgaben, die von der IT-Abteilung getragen werden sollten. IT-Systeme decken lediglich einen wichtigen Teilbereich ab, um Daten und Informationen zu schützen. Wichtiger als die Fokussierung auf IT-Systeme und Software sind die Prozesse in der Organisation. Informationssicherheitsmanagement ist ein Zusammenspiel von Management und Informationssicherheitsbeauftragten, denn dort liegt die Verantwortlichkeit. In der Praxis ist jedoch jeder einzelne Mitarbeiter für die Informationssicherheit innerhalb seines Prozesses verantwortlich. Daher ist ISMS eine zentrale Disziplin im Unternehmen, die zentral in jedem Prozess zu platzieren ist.

Das ISMS Tool von Aeneis bietet Ihnen die zentrale Plattform, Ihre Prozesse nach den VIVA Schutzzielen auszurichten. Als Modul der BPM Software Aeneis schaffen Sie Akzeptanz, eine erhöhte Prozessorientierung und Sensibilisierung für die Informationssicherheit in Ihrer Organisation. Sie modellieren Ihre Prozesse in Aeneis, untersuchen sie nach ISMS-kritischen Aspekten und stufen diese anhand der VIVA-Schutzziele im Risikomanagement ein.

Das ISMS Tool Aeneis unterstützt Sie bei zahlreichen Herausforderungen und Zertifizierungen:

ISO/IEC 27001

Zertifizierung eines dokumentierten Informationssicherheitsmanagementsystems in Bezug auf die Spezifizierung und Umsetzung der Anforderungen für Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung.

KRITIS

ISMS@Aeneis erfüllen alle Anforderungen für kritische Infrastrukturen (KRITIS) im medizinischen Bereich.

ISO 9001 (Qualitätsmanagement)

Als Teil der ISO 9001 Zertifizierung wird u.a. die Identifikation von Chancen und Risiken in den Prozessen gefordert, welche mit dem prozessorientierten ISMS-Ansatz umsetzbar ist.

Datenschutz-Grundverordnung (DSGVO)

Identifikation und Behandlung von Risiken in der Verwaltung von personenbezogenen Daten.

Wie das ISMS Tool von Aeneis Sie bei Ihrem Informationssicherheitsmanagement unterstützt

Die ISMS Software Aeneis unterstützt Sie dabei, ISMS-kritische Geschäftsprozesse zu identifizieren, zu analysieren und zu behandeln. Dabei werden Risiken, die auf die Informationssicherheit in Unternehmen wirken, erkannt und deren Eintreten mit Maßnahmen auf ein Minimum reduziert. In folgenden Darstellungen erhalten Sie detaillierte Einblicke in das ISMS-Tool.

Menüführung des ISMS Tools

Das ISMS Tool ist Teil des Lösungskatalogs von Aeneis und nahtlos in das Aeneis-Menü integriert. In dieser Ansicht erreichen Sie alle relevanten Teilbereiche im Informationsmanagement. Im Anwendungsbereich definieren Sie zu Beginn mithilfe der SmartEdit-Funktion Ihre Kernprozesse und binden diese Kernprozesse in den Risikoprozess ein. Unter Assets werden alle Assets wie Kernprozesse, Rollen, IT-Systeme, Gebäude, Anwendungen etc. gepflegt. Die ISMS Leit- und Richtlinien orientieren sich an der Kapitelstruktur der Norm und unterstützen Auditoren bei der Durchführung von Audits. Kataloge umfassen BSI-Sammlungen aus Bedrohungen, Schwachstellen, Gefährdungen und ISO27001 Maßnahmen. Die Risikoidentifikation ist der Start des Risikoprozesses und führt Sie strukturiert durch den Risikoprozess bis zur Risikobehandlung.

Anwendungsbereich

Der Anwendungsbereich ist der Anfang beim Aufbau eines Informationssicherheitsmanagementsystems in Aeneis. Mithilfe der SmartEdit-Funktion können Sie alle ISMS-relevanten Prozesse in Ihrem Unternehmen in das Freitextfeld notieren. Anschließend definieren Sie Ihre ISMS-relevanten Prozesse tabellarisch und fügen weitere Informationen zum Prozess hinzu. Diese Liste füllt sich stetig, abhängig davon, wie viele Prozesse Sie als ISMS-relevant gekennzeichnet haben. So können Sie die Tabelle (Liste) mit den im Freitextfeld definierten Prozessen abgleichen und in der Liste fehlende Prozesse identifizieren. Das selbe Vorgehen ist mit Assets möglich.

Assets

Die ISMS Software Aeneis bietet die Möglichkeit, alle Arten von Assets zu pflegen. Die Darstellung (rechts) zeigt die Standard-Assets. Unter Assets werden alle “Vermögenswerte” im Unternehmen verstanden, die ein potenzielles Risiko für das Informationssicherheitsmanagement darstellen, u.a. IT-Systeme, Anwendungen, Mitarbeiter, Rollen, Gebäude, Anlagen wie Medizingeräte oder Prozesse. Des weiteren können Assets eine Abhängigkeit darstellen, z.B. ein Unternehmen ist abhängig von einer bestimmten Gebäudeinfrastruktur, dann ist das Gebäude in diesem Bereich aufzunehmen. Assets sind von Unternehmen zu Unternehmen variabel abbildbar.

ISMS Leit- und Richtlinien

Die ISMS-Leitlinien spiegeln die Kapitelstruktur der Norm wieder. Die Leitlinien eignen sich speziell für den Auditor. Dabei durchläuft der Auditor alle Punkte in den Leitlinien und gleicht diese mit seiner Audit-Checkliste ab. Im Detail werden Kontext der Organisation, Führung, Organisation, Dokumentation, Risikomanagement Kompetenzmanagement, Betrieb, Bewertung und Verbesserung (KVP) betrachtet und mit einer Zertifizierung abgeschlossen. Immer dann, wenn ein Audit durchgeführt wird, werden die Leitlinien von oben nach unten betrachtet.

Risikomanagement

1. Risikoidentifikation

Der erste Schritt im Risikomanagement betrachtet die Risikoidentifikation, d.h. es werden alle ISMS-relevanten Geschäftsprozesse bezüglich deren Kritikalitäten betrachtet und identifiziert. Dabei werden zahlreiche Informationen zu jedem Prozess gesammelt und in der Tabelle (siehe Schaubild) strukturiert dargestellt. Die Kritikalität wird anhand der VIVA-Schutzziele bestimmt, d.h. es wird jeder Prozess bezüglich der Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität betrachtet. Darüber hinaus werden sämtliche im Prozess relevante Assets wie Anwendungen oder IT-Systeme aufgenommen. Nach der Risikoidentifikation folgt die Risikoanalyse (siehe nachfolgendes Schaubild).

Risikomanagement

2. Risikoanalyse

Nach der Risikoidentifikation folgt die Risikoanalyse. Hier werden die verschiedenen Assets wie IT-Systeme, Anwendungen, Gebäude, Gerätschaften usw. betrachtet, welche potenziell ein Risiko bezüglich der Informationssicherheit darstellen. Ähnlich wie bei der Risikoidentifikation werden die ISMS-Kritikalitäten (VIVA) herangezogen und für jedes Asset das Brutto-Risiko ermittelt. Desweiteren werden Informationen zur IS-Gefährdung, Bedrohung usw. gepflegt. Hier ist der mitgelieferte Katalog des BSI empfehlenswert, der zahlreiche Risiken aufzählt. Nach der Risikoidentifikation folgt die Risikobehandlung. 

Die Nutzeransicht

Im Schaubild sehen sie die Useransicht. Zu jedem Prozess erhält der User detaillierte Informationen zur Informationssicherheit, Risiken und Maßnahmen zur Prävention, sowie eine Gegenüberstellung der Risikomatrix vor und nach den Maßnahmen. Der Vorteil: Der Endnutzer wird bezüglich der Sicherheitsrisiken im jeweiligen Prozess sensibilisiert und wird darüber in Kenntnis gesetzt, was beachtet werden muss, um die Risiken gering zu halten. Darüber hinaus sorgt die Anwenderansicht für eine schnelle Akzeptanz des Informationssicherheitsmanagements im Unternehmen.

7 Eigenschaften und Ziele eines Informationssicherheitsmanagementsystems und deren Lösung mit dem ISMS Tool Aeneis:

1) Das ISMS ist nahtlos in der Organisation verankert

Lösung: Aeneis als Prozessmanagement organisiert alle Geschäftsabläufe, Verantwortlichkeiten und Rollen zentral und bietet damit gute Voraussetzungen für die Akzeptanz innerhalb der Belegschaft. Mit dem prozessorientierten ISMS-Ansatz erreichen Sie alle Mitarbeiter und schärfen somit die Sensibilität bezüglich Informationssicherheitsrisiken.

2) Richtlinien zur Informationssicherheit sind im Sinne der VIVA-Schutzziele

Lösung: Jeder ISMS-relevante Prozess wird nach den ISMS-Kritikalitäten eingestuft, d.h. jeder Prozess und deren Aktivitäten wird in Bezug auf Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität untersucht und im Ampelsystem (grün, gelb, rot) kategorisiert.

3) Informationssicherheit wird in allen Bereichen der Organisation gelebt

Lösung: Aeneis-User kennen das Tool, im Idealfall herrscht in der Organisation eine gelebte Prozessorientierung. Das ISMS-Modul knüpft nahtlos an Aeneis an, d.h. Mitarbeiter arbeiten in ihrer gewohnten Umgebung und erhalten zusätzliche Einblicke in Informationssicherheitsthemen in den Prozessen, in denen sie involviert sind.

4) Stetige Kenntnis über geltende ISMS-Richtlinien

Lösung: In der Useransicht werden stets alle Informationen zu Maßnahmen, Risiken und Risikobehandlungen tabellarisch und grafisch auf Prozessebene aufbereitet. Durch strukturierte Datenaufbereitung können Prozessmanager oder Informationssicherheitsbeauftragte schnell und einfach Ergebnisse beim Top-Management präsentieren.

5) Stetige Schulung, Qualifizierung und Verantwortungsbewusstsein in der Belegschaft

Lösung: In der Useransicht erhalten Mitarbeiter die wichtigsten ISMS-relevanten Informationen zu einem Prozess. Darüber hinaus kann Aeneis durch Prozesse sicherstellen, dass eine kontinuierliche Schulung und Qualifizierung der Belegschaft stattfinden. Dies geschieht durch eine klar dokumentierte Verantwortlichkeit des ISB.

6) Informationsniveau wird stetig an Bedürfnisse und Gefährdungslage angepasst (KVP)

Lösung: Durch den kontinuierlichen Verbesserungsprozess (KVP) können Mitarbeiter Verbesserungen und Feedback aus der Praxis mit dem ISB strukturiert teilen und Nachbesserungen veranlassen. Dadurch bleibt das Informationsniveau auf hohem Niveau und wird stetig an neue Bedingungen angepasst.

7) Auf Störungen, Ausfälle und Sicherheitsvorfälle in der Datenverarbeitung vorbereitet sein

Lösung: Kommt es zu einem genannten Zustand, bspw. durch Störungen in der IT-Infrastruktur, weiß jeder Mitarbeiter auf Prozessebene, an wen er sich wenden muss. Aeneis liefert zudem Informationen rund um zusammenhängende Systeme, Rollen und involvierte Bereiche im Unternehmen. So können Probleme frühzeitig erkannt und behoben, ggfs. weitere Schäden vermieden werden.

Informationssicherheitsmanagement (ISMS)

Der prozessorientierte ISMS-Ansatz ist die ideale Lösung für Organisationen, die prozessorientiert strukturiert sind oder künftig dahingehend umstrukturieren wollen.

Risikomanagement

Mit dem prozessorientierten Risikomanagement identifizieren, analysieren und behandeln Sie Risiken direkt dort, wo sie entstehen können.

Kontinuierlicher Verbesserungsprozess (KVP)

Aeneis bietet die Möglichkeit den Risikoprozess kontinuierlich zu verbessern. Hierfür stehen zahlreiche KVP-Funktionen zur Verfügung.

Treten Sie mit uns in Kontakt:

Jetzt ISMS@aeneis Webinar anfordern!

Im Webinar zeigen wir, gemeinsam mit unserem Technologiepartner SHD System-Haus-Dresden GmbH, im Rahmen einer Live-Demo grundlegende Funktionen des ISMS-Tools Aeneis und beantworten Ihnen alle relevante Fragestellungen bezüglich Informationssicherheitsmanagement, Risikomanagement, ISO27001 und weitere ISMS-Themen.

Expertengespräch vereinbaren

Sie wünschen ein kostenfreies und unverbindliches Gespräch mit unseren Experten? Wir beraten Sie gerne rund um die Themen Prozessmanagement und Informationssicherheitsmanagement und bieten Best-Practice Lösungsansätze aus über 25 Jahren Branchenerfahrung.

Aeneis 30 Tage lang testen

Testen Sie die mehrfach ausgezeichnete BPM-Software Aeneis für den Zeitraum von 30 Tagen kostenfrei.

Lernen Sie ISMS@Aeneis kennen. Wir beraten Sie gerne!

Unsere ISMS-Experten stehen Ihnen jederzeit zur Verfügung. Gerne beraten wir Sie telefonisch oder in einer persönlichen Live-Demo. Schicken Sie uns hierfür einfach eine Anfrage!