Mit opus i von kronsoft ist dies ohne tiefgehende IT-Sicherheitskenntnisse möglich

Schritt 1: Die ISO-Controls generieren
Schritt 2: Werte einbeziehen (Assets)
Schritt 3: empfohlene Maßnahmen generieren
Schritt 4: Risikobehandlung
Schritt 5: Statement of Applicability (SOA)
Schritt 6: Policies

Schritt 1: Die ISO-Controls generieren

Für jeden Scope, den wir betrachten, können wir uns einen separaten "ISO-Baum" in opus i anlegen. Wir sehen dann die einzelnen ISO-Kapitel und die enthaltenen Controls so, wie sie im Inhaltsverzeichnis des Normtextes der ISO 27001 dargestellt sind. Im Bearbeitungsdialog jeder Control wird dokumentiert, wie die Forderungen der Control im Scope realisiert sind. Falls wir nach “VDA Information Security Assessment” (VDA-ISA) vorgehen müssen, werden die Fragen der VDA-ISA im selben Dialogfenster beantwortet und gespeichert.

Schritt 2: Werte einbeziehen (Assets)

opus i kann die Gefährdungen, die im Scope zu berücksichtigen sind, automatisch ermitteln. Dazu bilden wir mit unseren Werten (Objekte im Scope) einen Werteverbund (IT-Verbund, http://px.vc/zljwf). Unsere Werte sind die Daten! Kundenstammdaten, Vertriebsdaten, Personaldaten, Entwicklungsdaten, Programmcodes, usw. Damit die Daten verarbeitet werden können, sind die hier beispielhaft gezeigten Objekte zu erfassen: Gebäude, Firewall, Netzwerk, Räume, PCs, Server, usw. Auch diese Objekte zählen zu den Werten.
Mit Mausdoppelklick öffnen wir den Bearbeitungsdialog zu jedem Objekt und generieren die empfohlenen Maßnahmen.

Schritt 3: empfohlene IT-Sicherheitsmaßnahmen generieren

opus i generiert die empfohlenen IT-Sicherheitsmaßnahmen über die Eigenschaften das gerade geöffnete Objektes. Wir müssen lediglich die Eigenschaften des Objektes in einer Auswahlliste mit der Maus markieren (ein Häkchen setzen). opus i ermittelt welche Risiken wirken und zeigt die empfohlenen Maßnahmen auf.

Schritt 4: Risikobehandlung

opus i generiert die Risikobehandlung automatisch. Damit dies geschehen kann, erstellen wir in opus i die Risikoanalyse. Dabei werden wir geführt und können eigentlich nichts falsch machen. Zentraler Punkt der Risikoanalyse ist eine Risikomatrix, die wir selbst mit der Maus und den Farben rot, gelb, grün aufbauen.
Die Risikomatrix verwenden wir zum Einschätzen der Risiken. Das Vorgehen entspricht den Forderungen der ISO 27005! (http://px.vc/ipzkb)

Schritt 5: Statement of Applicability (SOA)

Die "Aussage zur Anwendbarkeit" ist eine der wesentlichen und zentralen Forderung der ISO 27001. Auch diese Aufgabe übernimmt opus i für uns, denn opus i kennt die Eigenschaften der Verbundobjekte und alle Risiken, die auftreten können! Aus diesen Informationen wird die SOA gebildet.

Schritt 6: Policies

Beim Realisieren der Forderungen der ISO 27001 müssen einige Richtlinien erstellt werden. Es sind mehr als 30 Dokumente, "Policies" genannt. Die zentrale Frage ist: Welche Policies benötigt man und welche Inhalte werden erwartet? Auch zu diesem Thema kann opus i helfen und erstellt die notwendigen Policies dynamisch aus den Eigenschaften der Verbundobjekte. In den Policies befinden sich dann "grundlegende Texte zu den Forderungen der Controls". Diese Texte müssen wir noch manuell durchsehen und unnötige Textzeilen entfernen, umformulieren, wie gewünscht formatieren - aber die wichtigen Fragen: welche Dokumente brauchen wir und welche Inhalte müssen diese enthalten, ist grundsätzlich geklärt!

Zusammenfassung:

Wir können ein ISMS ohne tiefgehende IT-Sicherheitskenntnisse aufbauen und eine Zertifizierung anstreben. opus i kann wesentlich dazu beitragen.
Hier ist alles etwas ausführlicher beschrieben: http://px.vc/xtxgx
Und hier steht der Video-Clip für Sie bereit: http://px.vc/uj4vj

Ottweiler, den 5.8.2015
Gerhard Kron