ISMSCentral

ISMSCentral ist ein kostenfreies ISMS-Tool (Information Security Management System), das auf Basis von Microsofts .NET-Technologie entwickelt wurde. Es unterstützt den Aufbau und Betrieb eines Informationssicherheits-Managementsystems nach ISO/IEC 27001. Der Schwerpunkt liegt auf der Unterstützung eines ISO/IEC 27005-konformen IT-Risikomanagements. ISMSCentral steht auf der Homepage in der jeweils aktuellen Version zum Download bereit. Daneben findet sich dort auch eine wachsende Anzahl von Dokumentationen und Fallbeispielen.

Zentraler Punkt und erster Schritt im Umgang mit der Software ist die Erfassung sicherheitsrelevanter Assets. Dazu werden Assets wie z.B. Computer, Netzwerkgeräte oder auch Softwareprodukte zusammen mit ihren wichtigsten Attributen erfasst und in einer Baumstruktur geordnet abgelegt. Um den direkten Zusammenhang mit Geschäftsprozessen herstellen zu können ist es möglich, Prozesse anzulegen und bereits existierende Assets diesen Prozessen zuzuordnen.

Im nächsten Schritt wird ein Risikomanagement, wie in ISO/IEC 27001 Kapitel 4.2.1 ff beschrieben, durchgeführt, das sich auf die zuvor erfassten Assets bezieht. Dafür werden Risiken erfasst und im Zuge der Risikoanalyse bewertet. Grundlegende Attribute eines Risikos, wie Eintrittswahrscheinlichkeit, Kosten im Eintrittsfall oder eine Festlegung wie das Risiko behandelt werden muss, können in diesem Zug festgelegt werden. Im Falle, dass eventuelle Folgen des Eintritts eines Risikos nicht von der verantwortlichen Stelle getragen werden sollen, sondern dass das Risiko verringert oder ganz ausgeschaltet werden soll, können Maßnahmen definiert werden. Maßnahmen beschreiben Aufgaben, die umgesetzt werden müssen, um ein Risiko zu verkleinern. Maßnahmen können sich in ISMSCentral direkt auf eine vorgebene Maßnahme aus einem Maßnahmenkatalog beziehen.

Alle erfassten Informationen können zur Analyse über die Berichtsfunktionen ausgegeben oder aber direkt aus der Datenbank ausgelesen werden. Da es sich um eine Client/Server-Anwendung handelt können mehrere Benutzer auf der gleichen Datenbasis arbeiten.

Funktionsumfang[Bearbeiten]

• Erfassung und Kategorisierung von sicherheitsrelevanten Assets.
• Abbildung von Prozessen und Zuweisung von Assets mittels Drag and Drop.
• Umsetzung der IT-Risikomanagement-Prozesse nach ISO/IEC 27001.
• Definition von Risiken und Zuweisung von entsprechenden Maßnahmen.
• Verlinkung auf eigene Maßnahmenkataloge oder auf Maßnahmenkataloge, die von der Online-Community bereitgestellt werden.
• Integriertes Dokumentenmanagement, das z.B. zur Festlegung und Verlinkung von Richtlinien genutzt werden kann.
• Externe Dokumente und Web-URLs können mit Assets verknüpft werden.
• Erstellung von Reports unter anderem zum Nachweis von IT-Compliance.
• Integrierte Rollen, die Funktionen von Mitarbeitern der Organisation der Informationssicherheit abbilden.
• Workflowfunktionalitäten, um Vorgänge, wie z.B. zur Genehmigung sicherheitsrelevanter Änderungen, abzubilden.
• Vielfältige Möglichkeiten, Vorgänge und Verfahren zu dokumentieren.

Geschichte[Bearbeiten]

ISMSCentral wurde in 2009 als Kundenauftrag entwickelt und wird seit Anfang 2011 in einer neu aufgesetzen Version als frei verfügbare und kostenlos einsetzbare Version angeboten. Firmen, die ISMSCentral einsetzen kommen im Wesentlichen aus dem Automobilzuliefererbereich. Die Software ist komplett zweisprachig gehalten und neben der deutschen Sprache kann jederzeit auch auf englisch umgeschaltet werden.

Alternativen[Bearbeiten]

Alternative Produkte sind unter anderen:

• risk2value von avedos
• Real ISMS von enisa
• BIS.Risk von evidanza
• HITGuard von TogetherSecure

Dieser Wikipedia-Artikel wurde, gemäß GFDL, CC-by-sa mit der kompletten History importiert.