ISO 27001 Software: Brauchen Sie ein spezielles Tool?

Die kurze Antwort lautet: meistens nein.

Für viele kleine und mittlere Unternehmen reicht es völlig aus, mit vorhandenen Werkzeugen zu arbeiten - solange diese Werkzeuge die wirklich nötigen Funktionen sauber abdecken. Die eigentliche Herausforderung ist selten der fehlende Tool, sondern, dass Regeln, Aufgaben, Nachweise und Reviews sauber gesteuert werden. ISO 27001 selbst beschreibt den Aufbau, Betrieb und die fortlaufende Verbesserung eines ISMS, aber keine verpflichtende Software-Gattung. Das ist eine praktische Umsetzungsentscheidung, keine Tool-Vorschrift der Norm.

Die kurze Antwort

In der Praxis brauchen Sie meist drei Dinge:

• einen Ort für Regeln, Richtlinien und dokumentierte Informationen;
• ein System für Aufgaben, Maßnahmen und wiederkehrende Reviews;
• eine saubere Möglichkeit, Nachweise, Zuständigkeiten und Fristen nachzuhalten.

Ob das mit SharePoint, Confluence, Jira, Planner, Asana, awork, Excel oder mit einer spezialisierten GRC-Lösung passiert, ist erstmal zweitrangig. Entscheidend ist, dass es in Ihrem Unternehmen funktioniert. SharePoint wird von Microsoft ausdrücklich als Plattform zum Erstellen, Teilen und Steuern von Wissen beschrieben; Atlassian beschreibt Jira-Automatisierung ausdrücklich als Werkzeug, um manuelle und wiederkehrende Aufgaben zu automatisieren. Confluence bringt schon Versionierung und Änderungsverfolgung von Dokumenten mit. Genau deshalb können vorhandene Standardtools oft schon sehr weit tragen.

Der häufigste Denkfehler bei "ISO 27001 Software"

Viele Suchanfragen bei Google klingen so, als gäbe es für ISO 27001 eine Art Pflicht-Tool oder magische Komplettlösung.

Genau das ist meistens der falsche Ansatz.

Ein Spezialtool nimmt Ihnen nicht automatisch die eigentliche Arbeit ab. Auch in einer GRC-Software müssen Risiken, Verantwortlichkeiten, Maßnahmen, Freigaben und Nachweise auf Ihr Unternehmen angepasst werden. Der Toolkauf ersetzt also weder Entscheidungen noch Projektführung noch sinnvolle Regelungen. Wenn Hersteller mit "alles passiert automatisch" werben, ist das eben nur dies: Werbung. Die Realität sieht anders aus.

Die wichtigere Frage lautet deshalb nicht:

"Welche ISO 27001-Software ist die beste?"

Sondern:

"Welche Software hilft uns, unser ISMS sauber und ohne unnötigen Overhead zu steuern?"

Welche Software Sie für ISO 27001 wirklich brauchen

1. Dokumentations- und Wissensplattform

Sie brauchen einen Ort, an dem Regeln, Richtlinien, Leitlinien, Prozessbeschreibungen und andere dokumentierte Informationen sauber abgelegt, gepflegt und wiedergefunden werden können.

Das kann zum Beispiel sein:

• SharePoint;
• Confluence;
• ein internes Wiki;
• ein sauber strukturierter Dateiablagebereich.

Wichtig ist nicht das Label. Wichtig ist, dass Informationen auffindbar, aktuell, versioniert und beherrscht sind - sowie dass ersichtlich ist, wer wann was geändert hat.

2. Aufgaben- und Maßnahmensteuerung

Ein ISMS lebt nicht von Dokumenten allein. Es gibt laufend Dinge zu tun:

• Maßnahmen umsetzen;
• Schwachstellen nachverfolgen;
• Reviews einplanen;
• Lieferantenprüfungen anstoßen;
• Korrekturmaßnahmen verfolgen;
• interne Audits vorbereiten.

Dafür brauchen Sie ein System, das Zuständigkeiten, Status und Fristen sauber abbildet. Jira ist dafür naheliegend, weil es Workflows und Automatisierung unterstützt; Atlassian beschreibt genau diese Automatisierung als Mittel, um wiederkehrende manuelle Aufgaben aus Prozessen herauszunehmen.

3. Nachweis- und Fristenlogik

Viele Unternehmen unterschätzen diesen Punkt. Für ein auditfähiges ISMS reicht es nicht, Regeln und Aufgaben irgendwo zu haben. Sie brauchen auch eine Logik dafür, dass Dinge nachweisbar erledigt, geprüft und wiederholt werden.

Dazu gehören zum Beispiel:

• Nachweise für durchgeführte Review-Termine;
• Nachweise dafür, dass Erinnerungen an Aufgaben auch zur Erledigung der Aufgaben geführt haben;
• Nachweise abgeschlossener Prüfungen;
• Verknüpfungen zwischen Risiken, Maßnahmen und Verantwortlichen.

Genau an dieser Stelle helfen Standardtools oft schon gut weiter - sofern sie in Ihrem Unternehmen wirklich genutzt werden.

Wann vorhandene Standardtools völlig ausreichen

Für viele kleine und mittlere Unternehmen reicht es, mit vorhandenen Werkzeugen zu arbeiten, wenn diese Bedingungen erfüllt sind:

• die Mitarbeiter nutzen die Tools ohnehin schon;
• Informationen lassen sich sauber strukturieren;
• Aufgaben und Fristen können nachvollziehbar gesteuert werden;
• Verantwortlichkeiten sind sichtbar;
• Reviews und Nachweise gehen nicht im Alltag unter.

Gerade wenn Sie ohnehin mit SharePoint oder Confluence dokumentieren und mit Jira, Planner, Trello oder Asana arbeiten, ist das oft der vernünftigste Start. Dann bauen Sie auf Gewohntem auf, statt noch ein weiteres System einzuführen, vor dem es Berührungsängste gibt oder das zusätzliche Lizenzkosten verursacht. SharePoint, Confluence und Jira sind genau für Wissenssteuerung beziehungsweise Aufgaben- und Prozessautomatisierung gebaut - und in fast jedem Unternehmen in der ein oder anderen Form im Einsatz.

Wenn Sie Jira einsetzen, dann haben wird Sie dieser Artikel hier besonders interessieren.

Wann eine GRC-Software sinnvoll werden kann

Spezialisierte GRC-Software ist nicht automatisch schlecht. Sie ist nur nicht automatisch nötig.

Sinnvoll kann sie werden, wenn Sie zum Beispiel:

• sehr viele Standorte oder Gesellschaften haben;
• sehr viele Risiken, Maßnahmen und Nachweise parallel steuern;
• mehrere Standards gleichzeitig abbilden;
• besonders viele regulatorische Anforderungen bündeln;
• sehr komplexe Freigabe-, Review- oder Reporting-Prozesse haben;
• das Unternehmen sowieso noch keine feste Ablage- und Aufgabenmanagement-Struktur hat.

Dann kann ein zentrales Spezialtool helfen, Komplexität sauberer zu beherrschen.

Für viele kleinere Unternehmen ist so ein Tool am Anfang aber eher ein Zusatzprojekt als eine Erleichterung.

Zur Frage "GRC-Software - ja oder nein?" haben wir hier noch einmal einen separaten Artikel.

Die eigentliche Gretchenfrage: Softwarewechsel oder vorhandene Tools nutzen?

Erstens: prüfen Sie, was Sie schon haben

Oft existieren die nötigen Bausteine längst im Unternehmen.

Zweitens: prüfen Sie, was wirklich fehlt

Fehlt Struktur? Fehlt Automatisierung? Fehlt Nachweisbarkeit? Oder fehlt eigentlich nur Disziplin? (Spoiler: Die wird eine GRC-Software auch nicht durchsetzen.)

Drittens: erst danach über Spezialsoftware nachdenken

Genau das ist in der Praxis meist wirtschaftlicher und nervenschonender als ein vorschneller Toolwechsel.

Welche Auswahlkriterien bei ISO-27001-Software wirklich zählen

Wenn Sie Software für Ihr ISMS auswählen oder neu bewerten, stellen Sie diese Fragen in den Vordergrund:

Wird das Tool im Alltag wirklich genutzt?

Ein neues Tool nützt wenig, wenn es nur für das Audit eingeführt wird und "neben Ihrem Unternehmen steht wie ein Fremdkörper". Ihre Mitarbeiter werden dann sagen: "Da drüben, in dem Tool, da ist unser ISMS." Und denken: "Mit uns hat das ja nichts zu tun." Das wird man Ihrem ISMS dann im Audit auch ansehen.

Lassen sich Verantwortlichkeiten und Fristen sauber steuern?

Ohne klare Zuständigkeiten und Termine wird das ISMS schnell träge.

Kann man Nachweise und Entscheidungen nachvollziehen?

Im Audit zählt nicht nur, dass etwas behauptet wird, sondern dass es nachvollziehbar ist.

Passt das Tool zur vorhandenen Arbeitsweise?

Ein Tool, das gegen Ihre Arbeitsweise arbeitet oder Redundanzen dazu erzeugt, erntet schnell Widerstand.

Führt das Tool zu weniger oder zu mehr Overhead?

Das ist oft der entscheidende Punkt. Wenn Sie anfangen, Dinge doppelt zu machen, nur "weil das Tool das so möchte", haben Sie aufs falsche Pferd gesetzt.

FAQ

Interesse geweckt?

Wenn Sie einschätzen wollen, ob Ihre vorhandenen Tools für ISO 27001 ausreichen oder ob ein Spezialtool in Ihrem Fall wirklich sinnvoll wäre, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!