Das fuentis ISMS Modul als integriertes Informations­sicherheits­managementsystem.

Informations­sicherheits-, Datenschutz- und Notfall­management in der Umsetzung:

 

>Kostenlosen Demo-Zugang anfordern<

Für ein Mindestmaß an IT-Sicherheit sind sowohl technische als auch organisatorische Maßnahmen zu definieren und aufeinander abzustimmen. Das fuentis ISMS Modul bietet hierfür alle wichtigen Bausteine.

Das fuentis ISMS Modul macht es Ihnen einfach, effektive Mechanismen und Verfahrensweisen zu installieren, zu steuern und fortlaufend zu optimieren. So ist nicht nur die Informationssicherheit innerhalb der Organisation dauerhaft gewährleistet, sondern auch die physische Cyber- und Informationssicherheit.

Im Rahmen der fuentis Suite lassen sich zudem spezifische Management-Module für das IT-Notfallmanagement bzw. Business Continuity Management (fuentis BCMS) und Datenschutzmanagement (fuentis DSMS) einfach integrieren.

Sicherheitskataloge managen und nachweisen

Durch das fuentis ISMS Modul lassen sich gesetzliche Standards, Verordnungen und Richtlinien abbilden, Anforderungen verknüpfen und effektive Maßnahmen nachweisen. Übersichtlich, aktuell und frei von Redundanzen – immer in Echtzeit.

Anwendung unterschiedlicher Sicherheitskataloge
Anwendung unterschiedlicher Sicherheitskataloge

Systemseitig ist das fuentis ISMS Modul zur Integration mit der CMDB und weiteren Modulen wie Datenschutzmanagementsystem (DSMS) oder Business Continuity Management System (BCMS) ausgelegt. Ferner ist das fuentis Dokumentenmanagementsystem (DMS) zur Dokumentenlenkung nach ISO 9001, 14001 und 27001 integriert.

Die Sicherung der Betriebsfähigkeit komplett im Fokus

  • Cyber- und Informationssicherheit
  • Personalsicherheit
  • Kryptographie
  • Physische und umgebungsbezogene Sicherheit
  • Betriebssicherheit
  • Kommunikationssicherheit
  • Compliance

Funktionalitäten des fuentis ISMS Moduls

  • GSTOOL Alternative konform zum BSI IT-Grundschutz bzw. ISO/IEC 27001
  • Managementsystem für Informationssicherheit gemäß ISO/IEC 27001
  • Umsetzung von BSI-Standards für KRITIS Sektoren
  • IT-Notfallmanagement nach BSI-Standard 100-4 (seit Q4/2021 auch nach BSI-Standard 200-4)

Aufgaben des fuentis ISMS Moduls

  • Definition verbindlicher Ziele des Informationssicherheitsprozesses
  • Qualifizierung eines internen oder Beauftragung eines externen Informationssicherheitsbeauftragten
  • Definition verbindlicher Sicherheitsrichtlinien innerhalb der IT-Infrastruktur, insbesondere für den Umgang mit Informationen und Daten
  • Verlässliche, strukturierte Informations- und Datensicherung
  • Verwaltung der Zugänge und Zugriffsrechte
  • Berücksichtigung informationssicherheits-spezifischer Anforderungen im Personalmanagement
  • Handhabung von Informationssicherheitsvorfällen
  • Informationssicherheit beim Business Continuity Management
  • Gewährleistung aktueller Kenntnisse rund um die Informationssicherheit
  • Fortlaufende Qualifikation und Sensibilisierung der Verantwortlichen
  • Maßnahmen bei technischen Störungen und Ausfällen in der Datenverarbeitung
  • Kontinuierliche Anpassung der Informationssicherheit an neue Bedürfnisse und Gefährdungslagen

Häufige Fragen zum Thema ISMS

Was bedeutet ISMS? Wofür steht ISMS?

Das Kürzel „ISMS“ steht für „Information Security Management System“ und bezeichnet ein Managementsystem für die Informationssicherheit in Unternehmen, Organisationen und kommunalen Verwaltungen.

Ein ISMS enthält Tools in denen Geltungsbereiche, Objekte, Regeln, etc. definiert werden, um sicherheitsrelevante Informationen und Ereignisse überwachen und optimieren zu können. Risiken für die Informationssicherheit können im ISMS ermittelt und mit konkreten Maßnahmen verknüpft werden.

Gibt es Vorgaben für ein ISMS?

Grundsätzlich steht es Unternehmen und Organisationen frei, in welcher Art und Weise sie ihr ISMS errichten. Maßgaben und Verfahrensweisen zur Zertifizierung eines eigenen ISMS definiert der Informationssicherheitsstandard ISO 27001. Ergänzend dazu bietet ISO 27002 konkrete Handlungsempfehlungen zur Umsetzung eines wirkungsvollen ISMS.

Wie sieht ein PDCA-Zyklus in einem ISMS aus?

Der Betrieb eines ISMS ist als Regelbetrieb zu verstehen, in dem ein Monitoring und Reporting zu implementieren sind. In Form eines Plan-Do-Check-Act (PDCA) Zyklus sollte neben internen/externen Audits ein kontinuierlicher Verbesserungsprozess etabliert werden. Entscheidend im PDCA Zyklus sind die Rückschlüsse überprüfter Maßnahmen für das weitere Vorgehen. Das fuentis ISMS generiert auch bei komplexen zu steuernden Systemen wertvolle Erkenntnisse.

Wie wird ein ISMS aufgebaut?

Für den Aufbau eines ISMS ist zunächst der Geltungsbereich zu definieren, in dem das Informationssicherheitsmanagement betrieben werden soll. Anschließend werden die schutzbedürftigen Geschäftsprozesse, Assets und Informationen im Rahmen einer Strukturanalyse identifiziert. Zu den Assets in einem ISMS zählen Software, Hardware, Netz, Räume, Gebäude, physische Anlagen sowie Schnittstellen zu Kunden und Dienstleistern.

Am besten lässt sich die Struktur des ISMS anhand eines Infrastrukturnetzplanes gemeinschaftlich mit beteiligten Fachbereichen erarbeiten.

Wie werden Sicherheitsrisiken in einem ISMS behandelt?

Risiken für die Informationssicherheit, in Form von Schwachstellen und möglichen Bedrohungen für schützenswerte Assets, werden in einem Risikoanalyseverfahren des ISMS strukturiert ermittelt und identifiziert.

In Abhängigkeit der Risikobehandlungen von Risiken (z.B. Reduktion der Eintrittswahrscheinlichkeit oder Senkung der Schadensauswirkung), können den Assets definierte Maßnahmen im ISMS zugeordnet werden. Diese werden in einem Risikobehandlungsplan zusammenfassend priorisiert und angewendet.

Kann das Update des BSI IT-Grundschutz Kompendiums je Sicherheitskonzept erfolgen?

Ein Update einer neuen Edition des BSI IT-Grundschutz Kompendiums (GSK) je einzelner Sicherheitskonzepte bzw. Informationsverbünde ist möglich, beispielweise wenn unterschiedliche Zertifizierungszeitpläne vorgesehen sind.

Werden Prüffragen des BSI IT-Grundschutz Kompendiums (GSK) zur Verfügung gestellt?

Die Prüffragen des BSI IT-Grundschutz Kompendiums (GSK) können inkl. jährlicher Updates mit Kompendium bereitgestellt werden, um anschließend den Status von Anforderungen automatisch aus den Antworten zu den Prüffragen ableiten zu können.

Bietet das fuentis ISMS Modul eine Referenzierungsfunktion?

Die Referenzierungsfunktion im Rahmen der Modellierung kann nicht nur auf gesamte Bausteine sondern auch auf einzelne Anforderungen oder Maßnahmen erfolgen. Zudem kann auf Bausteine, Anforderungen oder Maßnahmen aus anderen Geltungsbereichen referenziert werden.

Bietet das Tool die Möglichkeit eines revisionssicheren Vier-Augen-Prinzips?

Es kann ein Vier-Augen-Prinzip (Workflowschritte: Erfassung, Genehmigung, Wiederöffnen, Ablehnung) für die Phasen Schutzbedarfsfeststellung, Modellierung/IT-GS-Check und Risikoanalyse eingesetzt werden. Im Rollenkonzept kann festgelegt werden, welche Benutzer welche Workflowschritte ausüben dürfen. Eine revisionssichere Dokumentation der einzelnen Schritte erfolgt über die Historisierung in Tabellenform als auch Berichtsform.

Gibt es Hilfestellungen für die Schutzbedarfsfeststellung (SBF)?

Die Schutzbedarfsfeststellung (SBF) kann mithilfe eines individuellen SBF-Fragebogenkatalog ermittelt werden. Zu dem Schutzziel (Vertraulichkeit, Integrität, Verfügbarkeit und weitere) können mehrere Fragen eingestellt werden, um den Schutzbedarf festzustellen.

Welche IT-Sicherheitskataloge können in der fuentis Suite abgebildet werden?

Es besteht ein flexibler, umfangreicher Katalog Manager, um neben den Standards u.a. wie BSI IT-GS, ISO 2700x, C5, KRITIS (B3S), TISAX, BAIT, VAIT, KAIT, etc. auch verschiedene eigene Kataloge bestehend aus Bausteinen, Anforderungen, Maßnahmen, Schwachstellen, Schadensszenarien, Fragebogen zur SBF in den IT-Sicherheitskonzepten anzuwenden.

Können im Dashboard Bausteine, Anforderungen, Maßnahmen und Risiken angezeigt werden?

Im Dashboard werden zur Analyse der Umsetzung von Bausteine, Aufgaben, Maßnahmen und Gefährdungen (bzw. Risiken) u.a. je Geltungsbereich, Objekt, Verantwortliche, Priorität, Klassifizierungsstufe, Budget und Sicherheitsstufe berichtet.