Wenn Sie hier gelandet sind, dann haben Sie sich bereits mit dem Thema Softwareeinsatz für Ihr ISMS beschäftigt. Vielleicht ergeht es Ihnen ähnlich wie uns, als wir den Entschluss trafen, ein ISMS nach ISO 27001 einzuführen und auch zertifizieren zu lassen.

Die Risikoanalyse, das Herzstück eines ISO 27001-ISMS, besteht aus einer Vielzahl von Excel-Tabellen, die über raffinierte Verknüpfungen miteinander verbunden sind. Ab einem bestimmten Zeitpunkt wird diese Vorgehensweise jedoch unübersichtlich und letztendlich leidet die Qualität. Nicht nur, dass Daten verloren gehen. Es müssen bereits durchgeführte Risikoanalysen mitunter neu erhoben werden und mit vorhandenen Papierdokumenten abgeglichen werden.

Spätestens dann entsteht der Wunsch nach einer professionellen Softwareunterstützung.

Bei der Auswahl einer ISO 27001 Software sollten Sie unbedingt die folgenden Aspekte berücksichtigen:

  • Die Software unterstützt grundsätzlich ein ISMS nach ISO 27001
  • Die Software unterstützt das Risikomanagement nach ISO 27005
  • Die Software unterstützt weitere in Ihrer Branche relevante Standards
  • Innerhalb der Software können Sie eine freie Skaleneinteilung und Beschriftung für Auswirkungen und Eintrittswahrscheinlichkeiten vornehmen
  • Die Risikomatrix wird Ihnen grafisch dargestellt und sie können die Farben der Matrix frei definieren
  • Es sind vordefinierte Kataloge für Bedrohungen, Schwachstellen und Maßnahmen enthalten
  • Es gibt Filtermöglichkeiten, um die Auswahl von Bedrohungen, Schwachstellen und Maßnahme einzuschränken
  • Die Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität) werden in der Risikoanalyse dokumentiert
  • Zu jedem Risiko können vordefinierte Maßnahmen ausgewählt werden
  • Die Umsetzung jeder Maßnahme kann mit Aktivität, Verantwortlichem und Termin hinterlegt werden
  • Für die Umsetzung lassen sich weitere Größen ergänzen wie z.B. Kosten oder Aufwand
  • Sie erhalten einen Überblick über die Risiken vor und nach (Restrisiko) der Risikobehandlung
  • Die Anwendung ist performant (Antwortzeiten unter 1 Sekunde)
  • Die Daten werden regelmäßig und mindestens täglich gesichert
  • Der Betrieb erfolgt bei Cloud-Anwendungen in einem deutschen nach ISO 27001 zertifiziertem Rechenzentrum
  • Es muss keine Software auf den Clients der Endbenutzer installiert werden
  • Die Software funktioniert auch ohne clientseitiges Java, Flash oder Silverlight
  • Es gibt eine lokale Benutzerverwaltung, die LDAP und Active Directory unterstützt
  • Die Software bietet grundsätzlich die Möglichkeit, Schnittstellen zu Drittsystemen herzustellen
  • Die Software wird mindestens jährlich weiterentwickelt
  • Fehlerbereinigungen erfolgen in kürzester Zeit
  • Der Anwender kann auf neue Features Einfluss nehmen
  • Das Unternehmen ist bereits seit vielen Jahren am Markt
  • Das Unternehmen ist selbst nach ISO 27001 zertifiziert
  • Das Unternehmen bietet Schulungen speziell für die Software und Themenschulungen an