Wer ein ISMS 27001 einführen will, der sollte sich auch mit der digitalen Arbeitsweise im Team auseinandersetzenJOWECON GmbH

ISMS 27001 implementieren mit Jira und Confluence

/in , /von
Wer ein ISMS 27001 einführen will, der sollte sich auch mit der digitalen Arbeitsweise im Team auseinandersetzen
ISO 27001: Gute Tools helfen ein ISMS erfolgreich zu implementieren

Der Einsatz von Confluence und Jira an einem Beispiel

In einem unserer aktuellen Projekte setzen wir in einem weltweit tätigen Softwareunternehmen mit über 800 Mitarbeitern ein Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001 auf. An diesem Beispiel zeigen wir, wie ein solch komplexes Projekt mit unserem Kunden auf einer gemeinsamen digitalen Arbeitsgrundlage in Confluence und Jira realisiert wird.

ISMS nach ISO/IEC 27001: diese Tools helfen

Bei vielen unserer Kunden nutzen wir unser eigenes Softwaresystem DocuPro, in dem Sie Projekte und Workflows abbilden, Risikoanalysen fahren, Tickets erstellen und die Dokumentierung versionssicher vornehmen können. Größere Unternehmen arbeiten jedoch oft mit Confluence und Jira. Die Software eignet sich sehr gut in der Zusammenarbeit mit vielen Personen über mehrere Standorte in komplexen Projekten. Wir haben insbesondere im Risikoprozess eigene Konfigurationen vorgenommen, die den Aufbau und/oder die Steuerung eines ISMS nach ISO/IEC 27001wesentlich unterstützen.

Herausforderung IT-Sicherheit und Cyber-Security

In Deutschland rüstet unser Kunde Betriebe aus dem Bereich Transport/Verkehrswesen aus, die unter die BSI-Kritisverordnung ( BSI-KritisV) fallen. Die Kunden erwarten zunehmend die strukturierte Erfüllung von Mindeststandards an die IT-Sicherheit. Das Management hat sich daher zu einer Zertifizierung nach ISO/IEC 27001 entschlossen. Diese Entscheidung für eine Zertifizierung bringt die entschlossene Weiterentwicklung des Informationsmanagements zum Ausdruck, um die ansteigenden Herausforderungen im Bereich IT-Sicherheit und Cyber-Security bewältigen zu können.

Analyse der Ausgangslage und bestehender Prozesse

In der Organisation sind bereits Tools vorhanden, deren Nutzung erweitert werden soll. Im Fokus stehen dabei Jira und Confluence. Diese Softwareprodukte von Atlassian bieten mit einer modernen Benutzeroberfläche und vielseitigen Konfigurationsmöglichkeiten die Grundlage für weitere Aktivitäten zum Aufbau der ISMS-Dokumentation und eines Risikomanagements nach ISO/IEC 27001.

In die bestehenden Prozesse sind zumeist unterschiedliche Fachabteilungen involviert. Die Prozesse, IT- und Netzwerkstrukturen sind aufgrund ihrer organisatorischen Zusammenhänge komplex. Die Verfügbarkeit, Vertraulichkeit und Integrität von Kundendaten und Projektinformationen muss zu jeder Zeit abteilungs- und standortübergreifend gewährleistet werden.

Smarte Workflows in Jira zur operativen Durchführung des ISMS

Jira bietet eine Workflow-Engine mit der sich nahezu beliebig Prozesse abbilden lassen. Beispielhaft werden hier der Risikomanagementprozess und die Behandlung von Informationssicherheitsereignissen erläutert.

Als eines der wesentlichen Elemente beim Aufbau des ISMS (vgl. Blogartikel) wird der Prozess zur Verwaltung von Informationssicherheitsrisiken in Jira abgebildet. Der implementierte Prozess führt den Risikomanager bzw. Risikoeigentümer durch die Analyse, Bewertung und Behandlung von IS-Risiken. Die Prozessbeschreibung zum IS-Risikomanagement in Confluence wird in Jira durch eine kundenspezifische Konfiguration operativ umgesetzt. Die Nutzung und daraus resultierende Dokumentation in Jira stellen die normkonforme Erfüllung aus Kapitel 6 und 8 ISO/IEC 27001 sicher. In Confluence werden die Ergebnisse des Risikomanagementprozesses übersichtlich dargestellt.

Mit Hilfe eines weiteren Workflows können Informationssicherheitsereignisse (Ereignisse) in Jira entsprechend den Anforderungen aus Normkapitel A.16 ISO/IEC 27001 gemeldet und eine Reaktion der Organisation dokumentiert werden. Der Benutzer wird in Jira im Rahmen der Beurteilung des Ereignisses feststellen, ob es sich um einen Informationssicherheitsvorfall (Vorfall) handelt. Falls ja, führt der Prozess den Benutzer durch die Sicherung von Beweismaterial und die forensische Analyse. Damit wird die Reaktion der Organisation auf den Vorfall sichergestellt. Weiterhin unterstützt der Workflow in Jira bei der Vorbereitung einer notwendigen internen und ggf. weiterführenden externen Berichterstattung über den Vorfall. Die dynamischen Inhalte zu den in Jira dokumentierten Vorfällen können aufgrund der Integration dieser Tools in Confluence übernommen werden. Ist ein entsprechendes Template konfiguriert, können die Inhalte in Word- oder pdf-Format exportiert und für die Berichterstattung weiterverwendet werden. Maßnahmen zur Reduzierung von Eintrittswahrscheinlichkeit und/oder Auswirkungen können ebenfalls in Jira dokumentiert werden.

Vorgabedokumente in Confluence erstellen und verwalten

Nach ISO/IEC 27001 geforderte Vorgabedokumente wie Richtlinien und Prozessbeschreibungen können in Confluence erstellt und verwaltet werden. Durch die Versionierung der Seiten in Confluence kann die Dokumentation des ISMS revisionssicher verwaltet werden. Bis ein passendes E-Learning-Tool ausgewählt und implementiert ist, werden auch Schulungen über Confluence an die Mitarbeiter verteilt.

Dokumentation der Inventarisierung von Werten in Confluence

Ein weiteres wesentliches Element eines ISMS laut A.8.1.1 ISO/IEC 27001 ist der Aufbau eines Asset-Inventars. Die Verwaltung der Werte und notwendige Anforderungen hinsichtlich der Definition von Zuständigkeiten (A.8.1.2), des zulässigen Gebrauchs (A.8.1.3) und deren Rückgabe (A.8.1.4) können in Confluence dokumentiert werden. Ergänzende Vorgabedokumente wie beispielsweise die Klassifizierung von Information (A.8.2.1), die Handhabung (A.8.3.1), Entsorgung (A.8.3.2) und Transport von Werten (A.8.3.3) sind ebenfalls in Confluence dokumentiert und durch Verlinkungen werden die Zusammenhänge dargestellt.

Skalierbarkeit der Tools und Prozesse

Das System wird zunächst auf die Kerneinheit mit ca. 450 Mitarbeitern ausgerollt. Bereits in Planung ist die Integration weiterer Gesellschaften. Die Ausrollung kann im Wesentlichen durch Schulung der Mitarbeiter in der Nutzung von Jira und Confluence bzw. der Freigabe von Berechtigungen auf die Richtlinien und Prozessbeschreibungen erfolgen. Vorgabedokumente können für alle Mitarbeiter oder anhand definierter Benutzergruppen für einzelne Fachabteilungen freigegeben werden. Jira und Confluence lassen sich mit dem AD des Unternehmens verknüpfen und dadurch können Berechtigungen zentral verwaltet werden.

JOWECON: Über uns

Wir können auf jahrelange Erfahrung in der Administration von Jira und Confluence zurückgreifen. Mit unserem Knowhow unterstützen wir unseren Kunden beim Aufbau eines smarten, integrierten Managementsystem und zeigen dabei auf, wie Jira und Confluence zum Aufbau eines ISMS integriert werden. Das System ist so konzeptioniert, dass sämtliche Anforderungen an die Dokumentation aus ISO/IEC 27001 erfüllt werden können.

Sprechen Sie uns über unser Kontaktformular an oder unter 040-41 35 66 74.

Autoren: Christian Zepp, Oliver Zeh

Das könnte Dich auch interessieren
JOWECON GmbHFragen und Antworten zur Zwei-Faktor-Authentifizierung
Checkliste: Flexible Sicherheitsstrategie gegen CyberangriffeJOWECONCheckliste: Flexible Sicherheitsstrategie gegen Cyberangriffe
Leitfaden zur ISO 27000 ZertifizierungJOWECON GmbHISO 27000: Worauf kommt es an?
Datenschutzkonformer Umgang mit KI8-Punkte-Roadmap zum datenschutzkonformen Umgang mit KI
Um ein Audit nach 27001 erfolgreich zu bestehen, sollte man wissen was auf die Organisation zukommt. Wir erläutern Ihnen in diesem Blogbeitrag worauf es ankommt.JOWECON GmbHErfahrungsbericht zu einem Erst-Zertifizierungsaudit nach ISO / IEC 27001