ISMS mit i-doit

Mit i-doit pro verfügen Sie über ein gewaltiges Asset-Management Tool, das nahezu keine Wünsche offen lässt. Doch darüber hinaus können Sie i-doit auch mit dem ISMS Add-on für die Risikoanalyse und Betrachtung in Ihrer Organisation einsetzen.

Der Vorteil: Alle Assets befinden sich bereits in der IT-Dokumentation und die Risikobetrachtung findet im selben Tool statt. Ein weiterer Datenbestand ist also nicht notwendig und erspart Ihnen die doppelte Datepflege.

Über das Dokumente Add-on können Sie zudem alle notwendigen Dokumente im Bereich der Informationssicherheit erstellen und mit den jeweiligen Assets verknüpfen. Dies schließt System-, Asset- und Notfallhandbücher mit ein. Selbst Übergaben und Übernahmen von Assets können über vordefinierte Templates erstellt und mit Live-Daten aus der IT-Dokumentation vervollständigt werden.

Anforderungen an ein ISMS

Managementsystem für Informationssicherheit

Mit dem ISMS Add-on können Sie die gesamte Risikoanalyse und Betrachtung für die definierten Geltungsbereiche vornehmen.

Strategische Vorgaben zur Informationssicherheit und Verantwortung der Unternehmensleitung

Zentrale Erstellung und Verknüpfung der Sicherheitsleitlinie und anderer Dokumente direkt in der IT-Dokumentation. Klare Erfassung von Verantwortlichkeiten und dem Informationssicherheits-Team für jeden Geltungsbereich.

Zuständigkeiten und Verantwortungen im Rahmen der Informationssicherheit sowie klare Funktionstrennung

Kontaktpersonen, Verantwortliche Personen und Stellen sowie benötigte Rollen wie IT-Leiter (CIO /CTO), IT-Sicherheitsbeauftragter (CISO), Maßnahmeverantwortliche uvm. können für Organisationen, ABteilungen, Vorgänge, Services, Prozesse, Systeme, Verträge und andere Assets erfasst werden.

Asset Inventrarisierung

Alle Assets können mit allen benötigten Informationen erfasst und dokumentiert werden. Der Zugriff auf diese Assets und Informationsfelder kann granular nach Personen oder Personengruppen gesteuert werden.

Nutzungsanweisungen für Assets

Dokumente, Betriebsanleitungen, Troubleshooting und Wiederanlaufpläne können mit i-doit pro und dem Dokumente Add-on erstellt und hinterlegt werden. Ein Export der erstellten Dokumente ist zu jederzeit manuell oder automatisch möglich.

Aus- und Rückgabe von Assets

Übergaben und Rücknahmen von Geräten können über das Dokumente Add-on über entsprechende Vorlagen gestaltet werden. Dadurch werden stets aktuelle Daten der jeweiligen Assets in den Vordrucken verwendet.

Klassifikation von Informationen

Assets können in Services modelliert oder als Objektgruppen zusammengefasst werden. So können kritische Dienstleistungen / Services definiert und nachgehalten werden.

Kennzeichnung von Informationen und Handhabung von Assets

In i-doit können Arbeitsanweisungen und verknüpfte Prozesse erfasst werden. Durch die Kennzeichnung dieser wird die korrekte Behandlung dieser Assets gewährleistet.

Verwaltung von Datenträgern

Richtlinien können für Datenträger hinterlegt und mit den genutzten Assets verknüpft werden.

Identifikation, Analyse, Beurteilung und Folgeabschätzung von IT-Risiken

Mit dem ISMS Add-on können Sie alle Assets auf mögliche Risiken analysieren, beurteilen und eine Folgenabschätzung vornehmen. Dabei wird automatisch eine Risikomatrix für jedes Asset erstellt.

Planung der Betriebskontinuität

Auf Basis der identifizierten kritischen Services kann die Erstellung von Notfallplänen über das Dokumente Add-on erfolgen. Diese Notfallpläne können extern gelagert und zentral für ausgewählten Personenkreis verfügbar gemacht werden.

Kontinuierliche Verbesserung

Auf Basis der Risikoanalyse kann die kontinuierliche Verbesserung und Härtung von geschäftskritischen Systemen vorgenommen werden. Über regelmäßige Auditierung und automatisches Reporting werden Informationen für Verantwortliche stellen in regelmäßigen Abständen übersendet.

Zugriffskontrolle auf Informationen Vergabe und Änderung von Zugriffsberechtigungen

Über das sehr granulare Berechtigungssystem in i-doit kann der Zugriff auf Informationen detailliert gesteuert werden. Das gilt nicht nur für interne Mitarbeiter, sondern auch für externe Organisationen und Dienstleister.

Administration von Netzen und Verbindungen

Nicht nur Kabelverbindungen und IP-Netze können in i-doit erfasst und dokumentiert werden, sondern auch virtuelle private Netze (VPN) bis hin zu Layer-2 Netzen und einzelnen Port Konfigurationen.

Change- und Incident-Management Systeme, Log-Auswertung

Jede Änderung an Assets wird im Logbuch erfasst und nachhaltig gespeichert. Somit können Änderungen langfristig nachvollzogen und Changes bei Bedarf rückgängig gemacht werden. Zusätzlich kann eine Risikobeurteilung bei geplanten Changes vorgenommen werden.

Über die Anbindung eines Service-Desks können Tickets mit Assets verknüpft werden, um alle Incidents zu den jeweiligen Assets zu identifizieren.

Festlegung notwendiger Kompetenzen (Betrieb und IT-Sicherheit)

Neben Richtlinien können auch Geltungsbereiche definiert und für die Koordination unterschiedlicher Unternehmensbereiche genutzt werden. Dazu zählen auch Maßnahmen zur Einhaltung der Compliance.

Rechenzentrumsversorgung

Erfassung von gesamten Rechenzentren und deren Infrastruktur inklusive Warn- und Brandschutz Equipment. Erfassung von baulichen, technischen und organisatorischen Maßnahmen, Geräten und Richtlinien.

Wartungen

Wartungen können über den angebundenen Service Desk oder das kostenfreie Maintenance Add-on geplant und gesteuert werden.

Bearbeitung von Sicherheitsvorfällen

Sicherheitsvorfälle können erfasst und auditiert werden. Auf Basis dieser Informationen können geeignete Maßnahmen zur Prävention getroffen werden.

Reporting

Alle Informationen in der CMDB können in Berichten zusammengefasst und aufbereitet werden. Dazu zählen auch GAP-Analysen und verschiedene Reportmöglichkeiten im Bereich des ISMS.

Auditieren und Prüfung in vorgegebenen Prüfzyklen

Das erreichte Sicherheitsniveau kann regelmäßiger über das Reporting und den automatischen Versand von Benachrichtigungen und einzelnen Tasks überwacht und geprüft werden.

Erfassung von Lieferanten, Dienstleistern und Dritten

Alle Organisationen, zu denen eine Geschäftsbeziehung besteht, können in der CMDB erfasst werden. Diese können für die Kontrolle der Leistungserbringung und bei der Betrachtung der Sicherheitsanforderungen an Dienstleister und Lieferanten hilfreich sein.