{"id":3402,"date":"2023-01-18T10:07:07","date_gmt":"2023-01-18T09:07:07","guid":{"rendered":"https:\/\/byght.io\/?p=3402"},"modified":"2023-11-15T20:44:57","modified_gmt":"2023-11-15T19:44:57","slug":"isms-in-atlassian-confluence","status":"publish","type":"post","link":"https:\/\/byght.io\/isms-in-atlassian-confluence\/","title":{"rendered":"ISMS in Atlassian Confluence"},"content":{"rendered":"
Startseite<\/a><\/span> \u00bb ISMS in Atlassian Confluence<\/span><\/span><\/div>\n\n\n

Aufbau eines ISMS in Atlassian Confluence<\/h2>\n\n\n\n

Einleitung<\/h3>\n\n\n\n

Sicherheit ist f\u00fcr jedes Unternehmen ein wichtiges Thema. Ein ISMS (Information Security Management System) hilft dabei, Sicherheitsprozesse und -richtlinien zu verwalten, zu \u00fcberwachen und vor allem zu verbessern.<\/p>\n\n\n\n

Um ein wirksames und zertifizierungsf\u00e4higes ISMS nach ISO 27001 zu etablieren, m\u00fcssen neue Prozesse eingef\u00fchrt, umfangreiche Dokumentationen erstellt und das Sicherheitsbewusstsein der Mitarbeiter gesch\u00e4rft werden. Eine Herausforderung gerade f\u00fcr kleinere Unternehmen, in denen die Ressourcen oft knapp sind.<\/p>\n\n\n\n

Grunds\u00e4tzlich setzen wir daher beim Aufbau und Betrieb eines ISMS immer auf eine kollaborative und agile Arbeitsweise. Weniger komplexe Tools, weniger individuelle Behelfsl\u00f6sungen in riesigen Excel-Sheets.<\/p>\n\n\n\n

In diesem Blogbeitrag schauen wir uns an, wie man ein ISMS mit dem Document Collaboration Tool Confluence von Atlassian aufbaut und welche Schritte daf\u00fcr notwendig sind. Wir werden auch auf die Vorteile eines ISMS in Confluence eingehen und zeigen, wie es Unternehmen bei der Verwaltung und \u00dcberwachung von Sicherheitsprozessen unterst\u00fctzt.<\/p>\n\n\n\n

Welche Vorteile hat ein ISMS in Atlassian Confluence?<\/h3>\n\n\n\n

Ein ISMS (Information Security Management System) mit Atlassian Confluence bietet viele Vorteile, insbesondere im Bereich der Zusammenarbeit und Transparenz. Confluence ist eine leistungsstarke Kollaborationsplattform, mit der Dokumente und Informationen einfach und schnell geteilt und gemeinsam bearbeitet werden k\u00f6nnen.<\/p>\n\n\n\n

Durch die Integration eines ISMS in Confluence k\u00f6nnen Unternehmen ihre Sicherheitsprozesse und -richtlinien an einem zentralen Ort verwalten und den Mitarbeitenden einfach und schnell zug\u00e4nglich machen. Dies erh\u00f6ht die Transparenz und f\u00f6rdert die Zusammenarbeit im Team, da alle die aktuellen Sicherheitsrichtlinien und -prozesse einsehen und daran arbeiten k\u00f6nnen.<\/p>\n\n\n\n

Dar\u00fcber hinaus bietet Confluence Funktionen, die das Management und die \u00dcberwachung von ISMS-Prozessen erleichtern. So k\u00f6nnen z.B. \u00c4nderungen an Dokumenten und Informationen einfach nachverfolgt und \u00fcberpr\u00fcft werden oder Mitarbeiter \u00fcber Aufgaben an anstehende Dokumentenreviews erinnert werden. <\/p>\n\n\n\n

Ein weiterer nicht zu vernachl\u00e4ssigender Vorteil ist, dass h\u00e4ufig bereits ein gro\u00dfer Teil der Unternehmensdokumentation in Confluence abgelegt ist und nun einfach \u00fcber Links mit dem ISMS verkn\u00fcpft werden kann.<\/p>\n\n\n\n

Insgesamt bietet ein ISMS in Confluence viele Vorteile, die dazu beitragen, dass Unternehmen ihre Sicherheitsprozesse und -richtlinien effektiv verwalten und umsetzen k\u00f6nnen.<\/p>\n\n\n\n

Wie kann ich ein ISMS in Confluence aufbauen?<\/h3>\n\n\n\n

Erstellung einer groben Seitenstruktur<\/h4>\n\n\n\n

Um bei der Vielzahl der in der ISO 27001 geforderten \u201cdokumentierten Informationen\u201d nicht den \u00dcberblick zu verlieren, sollte zu Beginn eine grobe Struktur geschaffen werden, um die Inhalte sinnvoll zu sortieren. Dabei ist es sinnvoll, sich an den ISMS-Kernprozessen zu orientieren, die von der Norm vorgegeben werden.<\/p>\n\n\n\n

Eine m\u00f6gliche Struktur f\u00fcr ein ISMS nach ISO 27001 k\u00f6nnte in Confluence wie folgt aussehen:<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

Diese erste grobe Strukturierung hat zudem den Vorteil, dass auf dieser Ebene Berechtigungen nach dem Need-to-Know-Prinzip vergeben werden k\u00f6nnen. Denn nicht jeder Mitarbeitende muss schliesslich alle Risiken einsehen oder die Richtlinien umschreiben k\u00f6nnen. Auf den n\u00e4chsten Ebenen k\u00f6nnen dann die konkreten Informationen und Dokumente wie Richtlinien, Auditergebnisse, Sicherheitsvorf\u00e4lle oder die j\u00e4hrliche Managementbewertung angelegt werden. Weitere Informationen dazu, welche Dokumente in einem ISMS nicht fehlen d\u00fcrfen und was bei der Erstellung zu beachten ist, haben wir in unserem Wissensbereich<\/a> zusammengestellt.<\/p>\n\n\n\n

Vorlagen f\u00fcr wiederkehrende Aufgaben nutzen<\/h4>\n\n\n\n

F\u00fcr wiederkehrende Inhalte, wie z.B. die Dokumentation von Sicherheitsvorf\u00e4llen oder Risiken oder die Erstellung von Auditpl\u00e4nen und Berichten, sind Vorlagen in Confluence besonders hilfreich. Insbesondere dann, wenn sie zusammen mit den Confluence-Makros \u201cSeiteneigenschaften\u201d (engl.: Page Properties) oder \u201cSeiteneigenschaftenbericht\u201d (engl.: Page Properties Report) verwendet werden, um automatische \u00dcbersichten zu generieren.<\/p>\n\n\n\n

Der einleitende Teil einer Vorlage f\u00fcr einen Auditbericht, der in das Makro \u201cPage Properties\u201d eingebettet ist, k\u00f6nnte z.B. so aussehen:<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

Und die \u00dcbersicht, die mit dem Makro \u201cSeiteneigenschaftenbericht\u201d erzeugt wird, sieht dann so aus:<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

Das Zusammenspiel der Vorlagen mit den Makros \u201cSeiteneigenschaften\u201d und \u201cSeiteneigenschaftenbericht\u201d ist f\u00fcr ein effizientes ISMS unerl\u00e4sslich und kann an verschiedenen Stellen, wie z.B. im Risikomanagement eingesetzt werden.<\/p>\n\n\n\n

Risikomanagement in Atlassian Confluence<\/h4>\n\n\n\n

Einer der komplexeren Prozesse, der aber in einem ISMS nicht wegzudenken ist, ist das Risikomanagement. Aber auch hier gibt es M\u00f6glichkeiten in Confluence, die eine pragmatische und normkonforme Identifikation und Bewertung von Risiken erm\u00f6glichen. Um zu den in der Norm geforderten \u201ekonsistenten, g\u00fcltigen und vergleichbaren Ergebnissen\u201d zu kommen, bietet es sich auch hier an, mit Vorlagen zu arbeiten. <\/p>\n\n\n\n

Hilfreich f\u00fcr alle an der Risikoidentifikation Beteiligten ist ein vorgefertigter Gef\u00e4hrdungskatalog, an dem man sich orientieren kann und der z.B. so aussehen k\u00f6nnte:<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

Hinter den einzelnen Risikobuttons (Confluence-Makro \u201cAus Vorlage erstellen\u201d) sollte dann eine Vorlage verlinkt werden, in der das Risiko beschrieben und bewertet werden kann. Auch hier ist es wichtig, die Tabelle in das Makro \u201cSeiteneigenschaften\u201d einzubinden, um \u00dcbersichten zu erzeugen. Eine Vorlage f\u00fcr die Identifizierung, Bewertung und Behandlung von Risiken k\u00f6nnte z.B. so aussehen:<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

\u00dcber Seiteneigenschaftenberichte k\u00f6nnen dann in Confluence sortierbare \u00dcbersichten erzeugt werden.<\/p>\n\n\n\n

\"\"\/<\/figure>\n\n\n\n

Tiefergehendes Wissen wie eine pragmatische Risikoanalyse gelingen kann, findest du unter den Lektionen<\/a> zum Risikomanagement auf byght.io.<\/p>\n\n\n\n

Automatisierung der Managementbewertung<\/h4>\n\n\n\n

Grunds\u00e4tzlich sind der Automatisierung in Confluence Grenzen gesetzt. Dennoch gibt es einige M\u00f6glichkeiten, manuelle Arbeit einzusparen. Einige davon m\u00f6chten wir am Beispiel der j\u00e4hrlichen Managementbewertung aufzeigen.<\/p>\n\n\n\n

Da die Managementbewertung mindestens einmal j\u00e4hrlich erstellt werden muss, ist es auch hier sinnvoll, wie im Kapitel „Vorlagen f\u00fcr wiederkehrende Inhalte nutzen“\u00a0beschrieben, zun\u00e4chst eine Vorlage zu erstellen. Als Gliederung bzw. Kapitel der Managementbewertung bieten sich die in der ISO 27001 geforderten Inhalte an. Wer noch einmal nachschlagen m\u00f6chte, was genau in einer solchen Managementbewertung enthalten sein sollte, findet sich in unseren Lektionen<\/a> eine kurze Erl\u00e4uterung.<\/p>\n\n\n\n

Nach der Erstellung der Vorlage gilt es, die einzelnen Kapitel mit Inhalten zu f\u00fcllen. Da ein Gro\u00dfteil der ben\u00f6tigten Inhalte bereits im ISMS vorhanden ist, kann hier mit verschiedenen Makros gearbeitet werden, um die Inhalte in der Managementbewertung darzustellen. Auch hier bietet sich die Verwendung des Seiteneigenschaftsberichts an, um \u00dcbersichten \u00fcber Ma\u00dfnahmen, Risiken oder Sicherheitsvorf\u00e4lle zu generieren. Mit den richtigen Makroeinstellungen kann so die passende \u00dcbersicht f\u00fcr den jeweiligen Berichtszeitraum erstellt werden.<\/p>\n\n\n\n

Weitere Makros zur Reduzierung des manuellen Aufwands bei der Erstellung der Managementbewertung und zur Integration bereits vorhandener Inhalte in die einzelnen Kapitel sind: <\/p>\n\n\n\n