Minor Release: i-doit pro 1.10.2

Minor Release: i-doit pro 1.10.2

Heute, 16.04.18, wurde das Minor Release i-doit pro 1.10.2 veröffentlicht.

Der Download der 1.10.2 steht für Sie im Kundenportal zur Verfügung.

Alle Verbesserungen auf einen Blick: 1.10.2 Changelog

Sie haben Fragen? Anregungen? Oder möchten den Artikel einfach in Ihrem Feed speichern?
Nutzen Sie einfach unsere Social Media Bar Links.

Jetzt erhältlich!

Erstellen Sie ISO27001 Norm konforme Dokumentation der Risikobewertung in nur drei einfachen Schritten.

i-doit Help Center

Nutzen Sie unser Help Center für wichtige Produktinformationen wie zum Beispiel FAQs oder die i-doit Knowledge Base.

Das i-doit ISMS Bundle schließt die letzte Lücke zur ISO27001 Normerfüllung

Das i-doit ISMS Bundle schließt die letzte Lücke zur ISO27001 Normerfüllung

Viele Gründe sprechen derzeit für die Umsetzung eines Managementsystems für Informationssicherheit (IS) (engl.: ISMS, Information Security Management System).

Informationen sind schon seit jeher schützenswert, aber neue Gesetze und Richtlinien bringen frischen Wind in den verantwortungsvollen und bewussten Umgang mit Daten.

Beispielsweise das IT-Sicherheitsgesetz oder die ab Mai 2018 verschärfte Datenschutz-Grundverordnung (DSGVO) fordern mehr Dokumentation und stringente Prozesse ein.

In einigen Organisationsformen ist der Betrieb eines ISMS schon seit jeher obligatorisch, aktuell werden es mehr. Prominentes Beispiel sind Betreiber kritischer Infrastrukturen (KRITIS) wie Krankenhäuser und Energieversorger, die aufgrund der europäischen NIS-Richtlinie zum Handeln verpflichtet werden.

Grundsätzlich gibt es mehrere Methoden, um ein ISMS erfolgreich umzusetzen. Der IT-Grundschutz des BSI ist eine bekannte und bewährte Methodik. Allerdings erfreut sich das Vorgehen nach ISO27001 immer größerer Beliebtheit. Dies liegt zum einen daran, dass die Norm den Umsetzungsrahmen in Relation zur Notwendigkeit und den Prozessen der eigenen Organisation definiert. Dadurch ist sowohl die Detaillierung als auch der verbundene Aufwand zielgerichteter. Zum anderen wird die Norm im Zusammenhang mit der EU NIS-Richtlinie explizit erwähnt.

ISO27001 Anforderungen und was i-doit pro bereits erfüllt

Die Norm fordert als Basis, dass sich die Organisation über den Anwendungsbereich, die eingebundenen Personen und interessierten Parteien gewahr wird und diese dokumentiert. Ebenfalls müssen die Führungen und Verpflichtungen in Form von Rollen und Verantwortungen definiert, dokumentiert und veröffentlicht werden. Im Weiteren ist es erforderlich, eine methodische Informationssicherheitsrisiko-Beurteilung und -Behandlung zu etablieren.

Abgerundet werden die Forderungen  durch die Etablierung eines PDCA-Verbesserungszyklus (Plan-Do-Check-Act) sowie eine Dokumentenlenkung, die alle Änderungen nachvollziehbar macht.

Allen Methoden zur Realisierung eines ISMS ist die Kombination aus detaillierter Dokumentation und einem prozessgetriebenem Vorgehen gemein. Bei genauerer Betrachtung wird klar, daß ein modernes ISMS kein Datengrab ist – es ist der zentrale Dreh- und Angelpunkt für IS-relevante Prozesse und deren Dokumentation

Schauen wir uns die Anforderungen im Detail an:.

Um überhaupt einen Anwendungsbereich definieren zu können, muss zunächst eine Dokumentation über die IS-relevanten Assets und Services existieren. Hier kommen die Vorzüge von i-doit pro ins Spiel: Hier gibt es bereits eine aktuelle und genaue Übersicht über technische und administrative IT-Assets sowie IT-Services.

  • Es gibt also keine Notwendigkeit, eine separate (und häufig redundante) Datenpflege aufzubauen und in Folge parallel zu betreuen.

Auf Basis der bereits erfassten Daten kann mit geringem Aufwand definiert werden, welche Services, Assets und Prozesse für das ISMS relevant sind.

Die weiteren Anforderungen:

  • Die Verteilung von Verpflichtungen und Verantwortungen durch eine Rollendefinition ist ebenfalls eine Kerndisziplin in i-doit.

Kontakte und Rollen können nicht nur exakt ausdefiniert werden, sondern auch nachvollziehbar mit Assets, Services oder Prozessen verknüpft werden. Die notwendigen Informationen zur jeweiligen Verantwortung werden einfach direkt in i-doit erfasst und können sogar grafisch dargestellt werden.

Der Hauptaspekt der Informationslenkung liegt in der Erstellung und Ablage von Dokumenten, einer nachvollziehbaren Erfassung jeglicher Neuerungen und Änderungen sowie einer gezielten öffentlichen  Zugänglichkeit einer Teilmenge dieser Informationen. i-doit pro hat mit dem Dokumente Add-on und dem Logbuch zwei Funktionen, die genau diese Bedürfnisse der Dokumentenlenkung erfüllen.

  • Im Dokumente Add-on können ISMS-relevante Dokumente erstellt und veröffentlicht werden, das revisionssichere Logbuch erfüllt alle Anforderungen an die Nachvollziehbarkeit und Integrität der gelenkten Informationen.

Über das Rechtesystem ist zusätzlich definierbar, welche Informationen für welche Zielgruppe zugänglich sein sollen.

Risikobeurteilung und -Behandlung mit dem ISMS Bundle

Der Kern der ISO27001 Methodik ist die regelmäßige Risikobeurteilung.

Mit dem ISMS Add-on schließt i-doit pro nun auch die letzte Lücke zur Normerfüllung. Es bietet eine native Informationssicherheitsrisiko-Beurteilung und -Behandlung innerhalb der IT-Dokumentation.

Das Add-on erfasst mit i-doit Bordmitteln Maßnahmen, Gefährdungen und Schwachstellen. Anhand benutzerdefinierter Schadensszenarien und Bewertungskriterien können Risiken beurteilt werden. Mitgelieferte Reporte decken die von der Norm geforderten Übersichten ab, zusätzlich können auch individuelle Reporte und Ansichten gestaltet werden.

Um einen schnellen Start zu ermöglichen stehen im i-doit ISMS Bundle drei prominente Kataloge zur Verfügung:

  • Der Anhang A der ISO27001 Norm (Maßnahmenkatalog)
  • Der Gefährdungskatalog der EL 15 des BSI IT-Grundschutzkataloges
  • Der Maßnahmenkatalog der EL 15 des BSI IT-Grundschutzkataloges

Ist die Risikobeurteilung durchgeführt, erfolgt im Anschluss die Risikobehandlung. Meistens müssen Maßnahmen ergriffen werden. Dazu bedarf es der Planung von Zeit und Ressourcen, der Auswahl von Maßnahmen und Verantwortungen für die Umsetzung. Auch diese Aufgaben können im i-doit ISMS Add-on dokumentiert werden.

Hier schließt sich der Kreis: Ein Blick in den Anhang A der ISO27001 Norm lässt auf den ersten Blick erkennen, daß i-doit pro die Umsetzung vieler dort genannter Maßnahmen ideal unterstützen kann.

  • Das Kapitel A.8, “Verwaltung der Werte” beschäftigt sich beispielsweise mit der Inventarisierung, Zuständigkeit und Rückgabe von Assets. Auch das ist eine Kerndisziplin von i-doit pro.
  • Die unter A.8.3 genannte “Handhabung von Datenträgern” ist letztendlich komplett mit dem i-doit pro Lifecyclemanagement abgedeckt.

Und so lassen sich noch zahlreiche andere Anwendungsfälle heranziehen, von der Dokumentation von Lieferentanbeziehungen bis hin zur Dokumentation physischer Sicherheit.

Fazit

Eine IT-Dokumentation mit i-doit pro erfüllt bereits einen großen Teil der Anforderungen der ISO27001 Norm. Die Erfassung aller IS-relevanten Assets und Services sowie Verantwortungen und Rollen ist eine Kerndisziplin von i-doit.

i-doit pro ist mit seiner zentralen Erreichbarkeit und der gelenkten Dokumentation der Dreh- und Angelpunkt aller ISMS-Prozesse in der Organisation.

Da ein modernes ISMS kein Datengrab sein darf, bildet die API Schnittstelle den idealen Ausgangspunkt zur Integration weiterer Tools und Prozesse in der Organisation.

Das ISMS Add-on schließt die letzte Lücke zur ISO27001 Normerfüllung: Die Informationssicherheitsrisiko-Beurteilung und -Behandlung wird innerhalb von i-doit möglich und bedient sich dabei nativer Strukturen, so daß Funktionen wie Reporting oder Templates möglich werden.

Und natürlich steht i-doit für die am Ende der Kette notwendigen Änderungen an IT-Systemen und Services bereit: Mit den bewährten Funktionen für Planung, Organisation und Dokumentation.  

10 Fakten zum ISMS-Bundle

10 Fakten zum ISMS-Bundle

1

Das ISMS Add-on erweitert i-doit um die Kernanforderungen der ISO27001: Informationssicherheitsrisiko-Beurteilung und -behandlung.

2

Es werden neue Objekttypen für Maßnahmen, Gefährdungen und Schwachstellen geliefert. In der neuen Kategorie Risikoeinschätzung können je Objekt Risiken beurteilt und Maßnahmen definiert werden. Dort erfolgt ebenfalls die Risikobehandlung, es werden Zuständigkeiten, Termine und notwendige Ressourcen definiert.

3

Benutzerdefinierbare Bewertungskriterien und Schadensszenarien erlauben eine organisationsindividuelle Beurteilung. Die Berechnung der Risikohöhe erfolgt nach einem einstellbaren Algorithmus und wird mit Hilfe  einer Ampeldarstellung visualisiert.

4

Viele mitgelieferte Reporte erfüllen den Informationsbedarf der ISO27001 Norm – es können aber selbstverständlich auch eigene Reporte erstellt werden.

5

Das ISMS-Bundle besteht aus dem ISMS-Add-on sowie den zum Import bereitgestellten Katalogen:

  • Anhang A der ISO27001 Norm (Maßnahmenkatalog)
  • Gefährdungskatalog der EL 15 des BSI IT-Grundschutzkataloges
  • Maßnahmenkatalog der EL 15 des BSI IT-Grundschutzkataloges

6

Weitere Normanforderungen wie die Informationslenkung, Definition des Anwendungsbereiches und die Verteilung von Rollen und Verpflichtungen sind bereits mit den Kernfunktionen von i-doit abbildbar.

7

Das ISMS Bundle ist ab 189,00 € erhältlich.

8

Alle importierten oder selbst angelegten Maßnahmen, Gefährdungen oder Schwachstellen zählen als lizenzpflichtige Objekte.

9

Unterstützung  bei den Vorbereitungen, des Imports der Kataloge oder der Risikobeurteilung bekommen Sie in unserer Knowledge Base.

10

Sie möchten persönliche Unterstützung? Unsere Partner helfen Ihnen gerne weiter!

Das ISMS Add-on im Überblick

Minor Release: i-doit pro 1.10.1

Minor Release: i-doit pro 1.10.1

Heute, 26.02.18, wurde das Minor Release i-doit pro 1.10.1 veröffentlicht.

Der Download der 1.10.1 steht für Sie im Kundenportal zur Verfügung.

Alle Verbesserungen auf einen Blick: 1.10.1 Changelog

Sie haben Fragen? Anregungen? Oder möchten den Artikel einfach in Ihrem Feed speichern?
Nutzen Sie einfach unsere Social Media Bar Links.

Neue Funktionen in
i-doit pro ab Version 1.10

Variable Reports i-doit-pro-1.10

Variable Reports

Variable Reporte erlauben es, Platzhalter für Objekt-IDs im Abfrage Editor zu verwenden. Die variablen Reporte können als benutzerdefinierte Kategorien oder im Dokumente Add-on benutzt werden.

i-doit Help Center

Nutzen Sie unser Help Center für wichtige Produktinformationen wie zum Beispiel FAQs oder die i-doit Knowledge Base.

i-doit Add-ons

Erweitern Sie die Funktionalitäten von i-doit pro mit i-doit Add-ons.
Mit dem neuen kostenlosen Data Privacy Add-on erweitern Sie Ihre Dokumentation für Datenschutz nach der EU Datenschutz Grundverordnung (EU DSGVO).

VIVA und die neuen IT-Grundschutz Standards 200-x

VIVA und die neuen IT-Grundschutz Standards 200-x

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat Ende 2017 die neuen IT-Grundschutz Standards 200-1 bis 200-4 veröffentlicht.

Sie bilden die neue Basis für die neue, erweiterte Vorgehensweise zur Sicherstellung der IT-Sicherheit. Diese neue Methodik soll vor allem flexibler und modularer sein als sein Vorgänger.

BSI-Präsident Arne Schönbohm hat dazu erklärt: „Der IT-Grundschutz des BSI ist eine seit Jahren etablierte erfolgreiche Marke. Mit der Modernisierung haben wir den IT-Grundschutz flexibler und zukunftsfähig gemacht. Wenn wir es mit der Digitalisierung ernst meinen, dann ist Informationssicherheit eine wesentliche Voraussetzung für deren Erfolg. Der IT-Grundschutz ist der Weg in eine sichere Digitalisierung für Unternehmen und Behörden aller Größen.“

Ursprünglich entwickelt vor fünf Jahren wurde das VIVA Add-on in Bezug auf die nun veralteten BSI-Standards 100-2 und 100-3. Um die neue Methodik vollständig zu unterstützen, muss VIVA analog zur neuen Methodik ebenfalls flexibler und modularer werden. Deshalb arbeiten wir priorisiert daran, das VIVA Add-on zu erneuern.

Konkret bedeutet dies, dass wir bis Mitte 2018 ein modernisiertes, Grundschutz 200-x unterstützendes VIVA Add-on veröffentlichen werden. Selbstverständlich wird dies kompatibel zu den bereits bestehenden VIVA-Datenbeständen sein.

Das neue Add-on wird nicht nur inhaltlich, sondern auch vor allem auch technisch modernisiert. Es soll auf viele native i-doit Funktionen (wie Listeneditierungen, Templates, API) aufsetzen und somit eine noch komfortablere Nutzung ermöglichen.

IT-Grundschutz nach BSI mit i-doit

viva-add-on-header