Integriertes Managementsystem für ISMS und BCM
DocSetMinder - ein Integriertes Managementsystem für IT-Sicherheit und Notfallmanagement - Bericht von Wirt.-Inf. (BA) Krzysztof M. Paschke
Eine zertifizierungsreife Implementierung der IT-Sicherheit und des Notfallmanagements ist eine aufwendige und nicht zu unterschätzende Aufgabe. Die Lösung DocSetMinder der GRC Partner GmbH ist ein Integriertes Managementsystem und berücksichtigt die Gemeinsamkeiten und Schnittstellen der umzusetzenden Sicherheitsstandards in ihrem gesamten Lebenszyklus (PDCA).
Bei der Vielzahl der gesetzlichen Auflagen und Normanforderungen ist es empfehlenswert, einen organisationsweiten ganzheitlichen Planungs- und Dokumentationsansatz in Form eines Integrierten Managementsystems (IMS) zu etablieren. Wie eine effiziente und effektive Umsetzung der technischen und organisatorischen Maßnahmen funktioniert, kann aus der ISO-Welt abgeleitet werden. Anstatt jede Norm, Standard oder gesetzliche Anforderung einzeln zu planen und wohl möglich mit unterschiedlichen Tools zu realisieren, ist eine globale Betrachtung von enormem Vorteil. Die Gemeinsamkeiten bei der Planung, Umsetzung und Aufrechterhaltung der Sicherheitsstandards sind vor allem in folgenden Bereichen deutlich: Projektmanagement, Strukturanalyse, Risikoanalyse, Überwachung und Audits.
Da das Notfallmanagement ein fester Bestandteil eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO 27001 und BSI Standard 100-2 ist, kann die Synergie bei der Bildung der Projektteams sowie bei der Planung und Umsetzung der Maßnahmen im Rahmen des gleichen Projektes berücksichtigt werden.
Eine gemeinsame, gut geplante Strukturanalyse wird in der Regel nur einmal durchgeführt. Sie liefert für die Erstellung des Sicherheitskonzeptes, einer Business Impact Analyse und einer Risikoanalyse notwendige Informationen über organisatorische Einheiten, Verantwortlichkeiten, Prozesse und deren Abhängigkeiten von Anwendungen, IT-Systemen, Räumen, Leitungen etc.
Eine schlüssige Risikolandkarte aller IT-Sicherheitsrisiken liefert eine gleichzeitig für ISMS und Notfallmanagement durchgeführte Risikoanalyse. Die erreichte Effizienz hier: die Wiederverwendbarkeit der Risikoanalyse für die gleichen Unternehmenswerte und des Schutzziels „Verfügbarkeit“.