Exklu­siv für unse­re ISMS Kun­den: Das SEC4YOU ISMS-Tools

Dash­board
Eine Über­sicht aller Arbeits­blät­ter und ob es Pfle­ge­be­darf in den jewei­li­gen Berei­chen gibt. Die Schalt­flä­chen der Teil­be­rei­che wer­den oran­ge und rot, wenn die­se über­fäl­lig sind.

Auf­ga­ben­lis­te
Eine ein­fa­che Task­ver­wal­tung für ein­ma­li­ge oder wie­der­keh­ren­de Auf­ga­ben des CIS­Os. Beim Ein­satz eines inner­be­trieb­li­chen Ticket­sys­tems soll­ten Sie die­ses Blatt nicht benut­zen, son­dern Ihr Ticketsystem.

Doku­men­tier­te Informationen
im ISMS-Tool sind rd. 40 Doku­men­te und Nach­wei­se gelis­tet die Sie für den Betrieb eines ISMS nach ISO 27001:2022 benö­ti­gen. Arbei­ten Sie die­se Lis­te der Rei­he nach ab und erfül­len Sie so die Anfor­de­run­gen der Norm.

Chan­cen & Risiken
Dient zum Erfas­sen der Chan­cen und Risi­ken des ISMS-Pro­jek­tes und deren Gegen­maß­nah­men. Die Chan­cen haben einen posi­ti­ven Ein­fluss auf das Unter­neh­men und sol­len die Auf­wän­de für den ISMS-Betrieb recht­fer­ti­gen. Die Risi­ken hin­ge­gen müs­sen ver­mie­den wer­den, um die Wirk­sam­keit des ISMS nicht zu gefährden.

Inter­es­sier­te Parteien
Dabei han­delt es sich um Per­so­nen, Per­so­nen­grup­pen und/oder Orga­ni­sa­tio­nen, die Anfor­de­run­gen bezüg­lich der Infor­ma­ti­ons­si­cher­heit an das Unter­neh­men stellen.

… mit dem SEC4YOU ISMS Tool fin­den Sie Ihre ISMS Dokumente!

Risi­ko-Assess­ment
in Excel ist ein voll­stän­di­ger Ablauf abge­bil­det, inklu­si­ve Risi­ko-Iden­ti­fi­ka­ti­on, die Risi­ko-Ana­ly­se (Brut­to), die Risi­ko-Bewer­tung unter Berück­sich­ti­gung der imple­men­tier­ten Maß­nah­men und die Risi­ko­be­hand­lung in der zusätz­lich erfor­der­li­che Maß­nah­men iden­ti­fi­ziert werden.

Maß­nah­men
Eine inte­grier­te Maß­nah­men­ver­fol­gung für Info­Sec rele­van­te Maß­nah­men basie­rend aus der Risi­ko-Bewer­tung, aus Sicher­heits­über­prü­fun­gen, als inter­nen und exter­nen Audits sowie aus Not­fall­übun­gen und dem ISMS KVP Prozess.

Infor­ma­ti­ons­as­sets
Eine struk­tu­rier­te Erfas­sung der Pri­mär­as­sets des Unter­neh­men, die­se wer­den in Infor­ma­ti­ons­grup­pen z.B. Finanz­da­ten, Mit­ar­bei­te­rIn­nen-Daten, BewerberInnen-Daten.

Sekun­där­as­sets
dient der Erfas­sung der wesent­li­chen Sekun­där­as­sets z.B. Lauf­wer­ke, Teams-Shares, PC/Notebooks, Smart­phones, Cloud-Diens­te. Hier sol­len aber nicht die ein­zel­nen IT-Sys­te­me erfasst wer­den, son­dern die Grup­pen, also die Grup­pe der Note­books die eine ein­heit­li­che Sicher­heits­kon­fi­gu­ra­ti­on haben.

nicht nur Cyber­an­grif­fe sind schwe­re Sicherheitsvorfälle

Pro­jek­te
müs­sen ent­spre­chend der Infor­ma­ti­ons­si­cher­heit bewer­tet wer­den. Hier­zu sind die pri­mä­ren Schutz­zie­le Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit zu bewer­ten  und Pro­jek­te sind vom Manage­ment freizugeben.

Pro­jekt-Bewer­tung
Ein For­mu­lar zur Ermitt­lung der Kri­ti­k­ali­tät von Pro­jek­ten unter Berück­sich­ti­gung der Infor­ma­ti­ons­si­cher­heits­zie­le Ver­trau­lich­keit, Inte­gri­tät und Verfügbarkeit.

Kryp­to­gra­phie
Dient der Erfas­sung von Kryp­to­gra­phie im Unter­neh­men, wobei es nicht dar­um geht die Sys­te­me zu erhe­ben, son­dern wel­che Anwen­dun­gen wel­che kryp­to­gra­phi­schen Methoden/Algorithmen nut­zen und ob die­se den Vor­ga­ben der Info­Sec- / Kryp­to­gra­phie-Richt­li­nie entsprechen.

Kapa­zi­tä­ten
Pla­nen Sie mit dem Arbeits­blatt die Kapa­zi­tä­ten die einen Ein­fluss auf Ihre IKT-Sys­te­me haben. Kapa­zi­tä­ten mit einer Aus­las­tung von 70% wer­den in Oran­ge dar­ge­stellt, jene mit über 90% Aus­las­tung in Rot.

Cloud-Diens­te
In dem Arbeits­blatt erfas­sen die die Cloud-Diens­te des unter­neh­men wobei es sich um eine Kom­bi­na­ti­on aus White­lis­te — Gray­lis­te — Black­lis­te han­delt, die im im Tool als “Frei­ge­ge­be­ne Diens­te”, “Ein­ge­schränkt frei­ge­ge­be­ne Diens­te” und “Ver­bo­te­ne Diens­te” bezeich­net werden.

Audit­pro­gramm
Eine kalen­der­ar­ti­ge Dar­stel­lung der Audit­hand­lun­gen über die kom­men­den 3 Jahre.

Schu­lungs­ka­len­der
Eben­falls eine kalen­der­ar­ti­ge Dar­stel­lung, jedoch aller Info­Sec Schu­lungs­maß­nah­men bzw. Secu­ri­ty Awa­re­ness Kam­pa­gnen. Hier bit­te nicht ver­ges­sen auch die Wei­ter­bil­dun­gen für den CISO und ggfls. die Secu­re Coding Schu­lun­gen für Ent­wick­le­rIn­nen einzuplanen.

Secu­ri­ty Inci­dent Liste
Auch wenn man sich wünscht die­se Lis­te nicht zu benö­ti­gen, kön­nen hier Sicher­heits­vor­fäl­le erfasst, klas­si­fi­ziert und nach deren Erle­di­gung die Les­sons-Lear­ned doku­men­tiert werden.

Lie­fe­ran­ten-Manage­ment
Dient zur Erfas­sung und Bewer­tung der Lie­fe­ran­ten in Bezug auf die Infor­ma­ti­ons­si­cher­heit. Über fünf ein­fa­che Fra­gen kön­nen wesent­li­che Lie­fe­ran­ten iden­ti­fi­ziert wer­den und anhand einer Matrix die Anfor­de­run­gen an die­se Lie­fe­ran­ten fest­ge­legt werden.

Key Per­for­mance Indi­ca­tor / KPI-Messung
Hilft bei der Erfas­sung der Infor­ma­ti­ons­si­cher­heits­zie­le und deren Mess­bar­keit über KPIs. Die Wer­te kön­nen ein­fach im einem quar­tals­wei­sen Manage­ment-Report and die Geschäfts­lei­tung kom­mu­ni­ziert werden.