Wenn Sie vorhaben, Ihr Unternehmen nach ISO-27001 oder TISAX zu zertifizieren, kommen Sie am Thema ISMS (Information Security Management System) nicht vorbei. Die erste Frage, die sich dabei stellt, ist wie man das ISMS abbilden möchte. Hier hat man zahlreiche Option, wie beispielsweise Word und Excel. Wir haben uns jedoch für Confluence und Jira entschieden und uns 2022 erfolgreich nach ISO-27001 zertifizieren lassen.
In diesem Beitrag möchten wir Ihnen zeigen, wie wir das Thema Dokumentenlenkung in Confluence umgesetzt haben.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenVorgaben ISO-27001 Norm
Zu Beginn sollten Sie sich die Vorgaben der ISO-27001-Norm in Bezug auf ein ISMS anschauen. Diese können Ihnen dabei helfen, Ihr ISMS Schritt für Schritt systematisch aufzubauen.
Wir gehen nicht auf alle Punkte der ISO-Norm ein, sondern haben nur die – aus unserer Sicht – wichtigsten aufgeführt. Wir empfehlen Ihnen daher, sich die ISO-Norm selbst noch einmal durchzulesen.
- Geforderte Dokumentation der Norm
- Angemessenes Format (Sprache, Grafiken, etc.) und Medium (Papier, digital)
- Angemessene Kennzeichnung (Titel, Datum, Autor, etc.)
- Überprüfung der Genehmigung
- Überwachung von Änderungen (z. B. Versionskontrolle)
- Verfügbarkeit, Zugriff, Auffindbarkeit und angemessener Schutz
Geforderte Dokumentation der Norm
Die ISO-27001 gibt vor, welche Dokumentationen für ein ISMS relevant und erforderlich sind. Im ersten Schritt sollten Sie sich also erkundigen, welche Dokumentationen Ihr ISMS umfassen muss. Die geforderte Dokumentation der Norm ist hierbei von Unternehmen zu Unternehmen unterschiedlich, daher wollen wir hierauf nicht genauer eingehen.
Angemessenes Format und Medium
Nachdem Sie wissen, was Ihr ISMS alles umfassen muss, wird es Zeit, sich Gedanken über das Format und das Medium zu machen. Die Dokumentationen sollten dem Zweck entsprechend gestaltet werden. Konkret heißt das, dass Sprache und visuelle Aufbereitung nicht nur zu Ihrem Unternehmen passen sollten, sondern auch zu dem Inhalt beziehungsweise dem Zweck der Dokumentation.
Wie bereits erwähnt, haben wir uns für die Wiki-Software Confluence von Atlassian entschieden. Natürlich können Sie Ihr ISMS auch analog auf Papier abbilden (dazu später mehr), oder ein anderes digitales Medium wählen. In diesem Beitrag wollen wir jedoch auf die Abbildung in Confluence und die damit einhergehenden Vorteile eingehen.
Ein Vorteil von Confluence sind Vorlagen und Templates. Diese helfen Ihnen bei der schnellen und konsistenten Erstellung von Dokumenten und sorgen so für ein einheitliches Format. Durch die Nutzung von Vorlagen können Sie viel Zeit sparen: Dokumente sind mit einem Klick angelegt, Layout und Struktur sind vorgegeben und Sie müssen nur noch die entsprechenden Inhalte einpflegen. Ein konstanter Aufbau hilft auch den Lesenden dabei, Informationen schneller aufzunehmen. In Confluence können problemlos Grafiken und Dateien eingebaut werden, um die Dokumentation visuell aufzubereiten. Zudem können Übersetzungen hinterlegt werden, wodurch Sie Dokumentationen auch mehrsprachig anbieten können. Ein weiteres Plus von Confluence-Vorlagen: Meta-Daten.
Angemessene Kennzeichnung
Die Dokumente innerhalb des ISMS müssen angemessen gekennzeichnet werden. Dazu gehört neben einem Titel, auch der Autor, das Datum und viele weiter Informationen. Hierfür können Sie in Confluence eine Standard-Funktion nutzen. Dadurch können Sie einige Meta-Daten komplett automatisieren und sparen sich nicht nur Arbeit, sondern stellen auch sicher, dass diese Meta-Informationen nicht vergessen werden. Der Aufbau unserer Confluence-Vorlage sieht also wie folgt aus: Ganz oben befindet sich der Titel des Dokuments, gefolgt von einem Inhaltsverzeichnis und verschiedenen automatisierten und manuellen Meta-Daten. Darunter befindet sich der Hauptbereich, in dem der eigentliche Inhalt der Dokumentation aufgeführt ist.
Überprüfung und Genehmigung
Es ist wichtig, dass die Dokumentationen bei der Erstellung geprüft, genehmigt und freigegeben werden. Ein Mal jährlich müssen alle Seiten auf Aktualität überprüft werden. Ebenso ist es sinnvoll, alle neu erstellten oder geänderten Seite zu überprüfen und zu genehmigen, um sicherzugehen, dass alle Inhalte stets richtig und vollständig sind. Hierzu können Sie ein Plugin nutzen, um für jede Seite Ihres ISMS einen Workflow beziehungsweise Prozess zu hinterlegen. Dadurch kann jeder Seite ein Status zugewiesen werden. Anhand dieses Status können Sie auf einen Blick erkennen, ob eine Seite genehmigt werden muss, bereits genehmigt ist oder bereits veraltet ist.
In der Praxis nutzen wir das Plugin wie folgt:
Wird eine Seite erstellt, erhält sie den Status “requires approval”. Gleichzeitig erhält die Person, die für die Genehmigung zuständig ist, eine Benachrichtigung und einen Task. Nun kann die zuständige Person die Seite genehmigen oder ablehnen und die Entscheidung mit einem Kommentar begründen. Der gleiche Prozess wird auch bei einer Änderung angestoßen. Hier nutzen wir zusätzlich eine weitere Standard-Funktion von Confluence: Änderungshistorie (Page History) oder auch Seiten-Versionierung (mehr dazu in Überwachung von Änderungen). Um sicherzustellen, das unsere Dokumentationen stets aktuell sind, haben wir einen weiteren Automatismus im Einsatz: Wir können einen Zeitraum (beispielsweise ein Jahr) definieren, nach welchem eine Dokumentation automatisch auf den Status “for review” gesetzt wird. Dadurch stellen wir sicher, dass jedes Dokument mindestens ein Mal jährlich überprüft wird.
Ein weiterer großer Vorteil ist die Möglichkeit, eine Dokumentenansicht in Confluence zu erstellen. Hier sehen wir wann Änderungen und Updates vorgenommen wurden und welchen Status das Dokument aktuell hat. In der Dokumentenübersicht können die Seiten sortiert werden. So haben wir stets im Blick, welche Seiten genehmigt oder überprüft werden müssen.
Verfügbarkeit und Auffindbarkeit
Das ISMS sollte jederzeit verfügbar sein. Daher empfiehlt es sich, sowohl weitere digitale als auch analoge Kopien des ISMS zu haben. Zudem muss gewährleistet werden, dass alle Mitarbeitenden bei Bedarf auf das ISMS zugreifen und relevante Informationen auffinden kann. Auch hierfür bietet Confluence viele Vorteile: Neben einer sehr guten Suchfunktion, können Sie in Confluence innerhalb von Dokumentationen andere Inhalte verlinken. Dies spart Zeit und verhindert redundante Inhalte. Ebenso können Sie Seiten mit Labels versehen und kategorisieren.
Damit alle Mitarbeitenden up-to-date bleiben, verfügen bei uns alle über eine Leseberechtigung des ISMS-Bereichs in Confluence. Sollten Sie allerdings einschränken wollen, wer welche Informationen sehen kann, können Sie das über die Berechtigungen innerhalb von Confluence einstellen. Dadurch kann sichergestellt werden, dass keine Informationen missbräuchlich genutzt werden. Gleichzeitig können Sie über Berechtigungen einschränken, wer die Seiten bearbeiten darf. Dies schützt davor, das Informationen verfälscht oder gelöscht werden. Sollte es jedoch doch zu einer falschen oder versehentlichen Änderung kommen, bietet Confluence eine eingebaute Versionskontrolle.
Überwachung und Änderung
Das ISMS sollte über eine eindeutige Versionskontrolle verfügen. Änderungen müssen transparent und nachvollziehbar sein.
Wie bereits weiter oben erwähnt, nutzen wir dafür einen Automatismus. Sobald eine Änderung vorgenommen wird, ändert sich der Status auf “requires approval”. Um besagte Änderung nun nachvollziehen zu können, bietet Confluence eine Seiten-Versionierung oder auch Änderungshistorie. Außerdem können bei Bedarf vorherige Versionen wieder hergestellt werden und es gibt die Möglichkeit, Änderungen zu kommentieren.
Hier werden Version, Änderungsdatum und die Person, die die Änderung vorgenommen hat, aufgelistet. Eine weitere hilfreiche Funktion von Confluence: Versionen können miteinander verglichen werden. Bei einem Vergleich zweier Seiten werden alle Änderungen farblich hervorgehoben. Dies ist eine native Funktion von Confluence und benötigt keinerlei Plugins oder Erweiterungen. Sie sehen also auf einen Blick, was gelöscht, geändert oder umformatiert wurde.
Falls Sie weitere Fragen zu diesem Thema haben, freuen wir uns auf Ihre Nachricht! Gerne können Sie unser Kontaktformular nutzen oder Sie rufen uns einfach an 0791 20417098
