Aufbau eines ISMS in Atlassian Confluence
Einleitung
Sicherheit ist für jedes Unternehmen ein wichtiges Thema. Ein ISMS (Information Security Management System) hilft dabei, Sicherheitsprozesse und -richtlinien zu verwalten, zu überwachen und vor allem zu verbessern.
Um ein wirksames und zertifizierungsfähiges ISMS nach ISO 27001 zu etablieren, müssen neue Prozesse eingeführt, umfangreiche Dokumentationen erstellt und das Sicherheitsbewusstsein der Mitarbeiter geschärft werden. Eine Herausforderung gerade für kleinere Unternehmen, in denen die Ressourcen oft knapp sind.
Grundsätzlich setzen wir daher beim Aufbau und Betrieb eines ISMS immer auf eine kollaborative und agile Arbeitsweise. Weniger komplexe Tools, weniger individuelle Behelfslösungen in riesigen Excel-Sheets.
In diesem Blogbeitrag schauen wir uns an, wie man ein ISMS mit dem Document Collaboration Tool Confluence von Atlassian aufbaut und welche Schritte dafür notwendig sind. Wir werden auch auf die Vorteile eines ISMS in Confluence eingehen und zeigen, wie es Unternehmen bei der Verwaltung und Überwachung von Sicherheitsprozessen unterstützt.
Welche Vorteile hat ein ISMS in Atlassian Confluence?
Ein ISMS (Information Security Management System) mit Atlassian Confluence bietet viele Vorteile, insbesondere im Bereich der Zusammenarbeit und Transparenz. Confluence ist eine leistungsstarke Kollaborationsplattform, mit der Dokumente und Informationen einfach und schnell geteilt und gemeinsam bearbeitet werden können.
Durch die Integration eines ISMS in Confluence können Unternehmen ihre Sicherheitsprozesse und -richtlinien an einem zentralen Ort verwalten und den Mitarbeitenden einfach und schnell zugänglich machen. Dies erhöht die Transparenz und fördert die Zusammenarbeit im Team, da alle die aktuellen Sicherheitsrichtlinien und -prozesse einsehen und daran arbeiten können.
Darüber hinaus bietet Confluence Funktionen, die das Management und die Überwachung von ISMS-Prozessen erleichtern. So können z.B. Änderungen an Dokumenten und Informationen einfach nachverfolgt und überprüft werden oder Mitarbeiter über Aufgaben an anstehende Dokumentenreviews erinnert werden.
Ein weiterer nicht zu vernachlässigender Vorteil ist, dass häufig bereits ein großer Teil der Unternehmensdokumentation in Confluence abgelegt ist und nun einfach über Links mit dem ISMS verknüpft werden kann.
Insgesamt bietet ein ISMS in Confluence viele Vorteile, die dazu beitragen, dass Unternehmen ihre Sicherheitsprozesse und -richtlinien effektiv verwalten und umsetzen können.
Wie kann ich ein ISMS in Confluence aufbauen?
Erstellung einer groben Seitenstruktur
Um bei der Vielzahl der in der ISO 27001 geforderten “dokumentierten Informationen” nicht den Überblick zu verlieren, sollte zu Beginn eine grobe Struktur geschaffen werden, um die Inhalte sinnvoll zu sortieren. Dabei ist es sinnvoll, sich an den ISMS-Kernprozessen zu orientieren, die von der Norm vorgegeben werden.
Eine mögliche Struktur für ein ISMS nach ISO 27001 könnte in Confluence wie folgt aussehen:
Diese erste grobe Strukturierung hat zudem den Vorteil, dass auf dieser Ebene Berechtigungen nach dem Need-to-Know-Prinzip vergeben werden können. Denn nicht jeder Mitarbeitende muss schliesslich alle Risiken einsehen oder die Richtlinien umschreiben können. Auf den nächsten Ebenen können dann die konkreten Informationen und Dokumente wie Richtlinien, Auditergebnisse, Sicherheitsvorfälle oder die jährliche Managementbewertung angelegt werden. Weitere Informationen dazu, welche Dokumente in einem ISMS nicht fehlen dürfen und was bei der Erstellung zu beachten ist, haben wir in unserem Wissensbereich zusammengestellt.
Vorlagen für wiederkehrende Aufgaben nutzen
Für wiederkehrende Inhalte, wie z.B. die Dokumentation von Sicherheitsvorfällen oder Risiken oder die Erstellung von Auditplänen und Berichten, sind Vorlagen in Confluence besonders hilfreich. Insbesondere dann, wenn sie zusammen mit den Confluence-Makros “Seiteneigenschaften” (engl.: Page Properties) oder “Seiteneigenschaftenbericht” (engl.: Page Properties Report) verwendet werden, um automatische Übersichten zu generieren.
Der einleitende Teil einer Vorlage für einen Auditbericht, der in das Makro “Page Properties” eingebettet ist, könnte z.B. so aussehen:
Und die Übersicht, die mit dem Makro “Seiteneigenschaftenbericht” erzeugt wird, sieht dann so aus:
Das Zusammenspiel der Vorlagen mit den Makros “Seiteneigenschaften” und “Seiteneigenschaftenbericht” ist für ein effizientes ISMS unerlässlich und kann an verschiedenen Stellen, wie z.B. im Risikomanagement eingesetzt werden.
Risikomanagement in Atlassian Confluence
Einer der komplexeren Prozesse, der aber in einem ISMS nicht wegzudenken ist, ist das Risikomanagement. Aber auch hier gibt es Möglichkeiten in Confluence, die eine pragmatische und normkonforme Identifikation und Bewertung von Risiken ermöglichen. Um zu den in der Norm geforderten „konsistenten, gültigen und vergleichbaren Ergebnissen” zu kommen, bietet es sich auch hier an, mit Vorlagen zu arbeiten.
Hilfreich für alle an der Risikoidentifikation Beteiligten ist ein vorgefertigter Gefährdungskatalog, an dem man sich orientieren kann und der z.B. so aussehen könnte:
Hinter den einzelnen Risikobuttons (Confluence-Makro “Aus Vorlage erstellen”) sollte dann eine Vorlage verlinkt werden, in der das Risiko beschrieben und bewertet werden kann. Auch hier ist es wichtig, die Tabelle in das Makro “Seiteneigenschaften” einzubinden, um Übersichten zu erzeugen. Eine Vorlage für die Identifizierung, Bewertung und Behandlung von Risiken könnte z.B. so aussehen:
Über Seiteneigenschaftenberichte können dann in Confluence sortierbare Übersichten erzeugt werden.
Tiefergehendes Wissen wie eine pragmatische Risikoanalyse gelingen kann, findest du unter den Lektionen zum Risikomanagement auf byght.io.
Automatisierung der Managementbewertung
Grundsätzlich sind der Automatisierung in Confluence Grenzen gesetzt. Dennoch gibt es einige Möglichkeiten, manuelle Arbeit einzusparen. Einige davon möchten wir am Beispiel der jährlichen Managementbewertung aufzeigen.
Da die Managementbewertung mindestens einmal jährlich erstellt werden muss, ist es auch hier sinnvoll, wie im Kapitel „Vorlagen für wiederkehrende Inhalte nutzen“ beschrieben, zunächst eine Vorlage zu erstellen. Als Gliederung bzw. Kapitel der Managementbewertung bieten sich die in der ISO 27001 geforderten Inhalte an. Wer noch einmal nachschlagen möchte, was genau in einer solchen Managementbewertung enthalten sein sollte, findet sich in unseren Lektionen eine kurze Erläuterung.
Nach der Erstellung der Vorlage gilt es, die einzelnen Kapitel mit Inhalten zu füllen. Da ein Großteil der benötigten Inhalte bereits im ISMS vorhanden ist, kann hier mit verschiedenen Makros gearbeitet werden, um die Inhalte in der Managementbewertung darzustellen. Auch hier bietet sich die Verwendung des Seiteneigenschaftsberichts an, um Übersichten über Maßnahmen, Risiken oder Sicherheitsvorfälle zu generieren. Mit den richtigen Makroeinstellungen kann so die passende Übersicht für den jeweiligen Berichtszeitraum erstellt werden.
Weitere Makros zur Reduzierung des manuellen Aufwands bei der Erstellung der Managementbewertung und zur Integration bereits vorhandener Inhalte in die einzelnen Kapitel sind:
- Auszug / Auszug einbinden
- Untergeordnete Seiten anzeigen
- Seite einbinden
Dokumentenlenkung
Das Schöne ist, dass Confluence vieles mitbringt, um das Thema Dokumentenlenkung im ISMS zu erleichtern. Das Hauptmerkmal hierfür ist sicherlich die automatische Änderungshistorie, über die alle Änderungen detailliert nachvollzogen werden können. Wichtig ist aber auch, über Berechtigungen zu steuern, welcher Mitarbeiterkreis Dokumente überhaupt bearbeiten darf und wer nur lesen darf. Sind die Anforderungen an Dokumentenmanagement und Genehmigungsprozesse höher oder wird mehr Automatisierung gewünscht als von Atlassian Confluence abgedeckt, kann das kostenpflichtige Add-on Comala Document Management weiterhelfen. Hier können Dokumente in anpassbaren Workflows auf Knopfdruck freigegeben oder eine automatische Erinnerung zur Dokumentenreview konfiguriert werden.
Fazit
Der Einsatz von Confluence als Plattform für ein ISMS bietet viele Vorteile, wie z.B. die Möglichkeit, Dokumente und Prozesse zentral zu verwalten und die Zusammenarbeit im Team zu erleichtern. Der initiale Aufwand sollte jedoch nicht unterschätzt werden. Für eine schlüsselfertige Lösung bieten wir das ISMS SmartKit an. Das ISMS SmartKit ist der schnelle Weg zur ISO 27001 Zertifizierung. Mit dem ISMS SmartKit erhältst du alles, was du zum Start brauchst. Du sparst Zeit, Geld und Nerven.
Du hast noch Fragen?
Kontaktiere uns gerne.