Eine Lösung, die Themen wie Informationssicherheit, Business Continuity und Datenschutz vereint, wird schnell als Governance-Risk-Compliance Lösung (kurz: GRC-Tool) eingeordnet.
Unsere Sicht auf Informationssicherheitsmanagement ist stark durch Bernd’s Erfahrung aus dem IT/OT KRITIS-Umfeld geprägt.
Als Verantwortlicher für den Systembetrieb in der Energieversorgung erwartet er mehr als Checklisten und stapelweise Dokumente, die vielleicht den Auditor zufrieden stellen, aber nicht im Betrieb helfen.
Deshalb war ihm von Anfang an wichtig, dass ein Tool auch bei der täglichen Arbeit unterstützt.
Weil Bernd’s Sicht weder zu einem GRC- noch zu einem ISMS-Tool passt, haben wir bei ihm nachgefragt.
Nachgefragt
Warum sind wir kein GRC-Tool, obwohl es die meisten von uns denken?
Seine Antwort in kapp 1,5 Minuten kannst Du Dir hier anschauen:
Die Antwort von Bernd
Da muss ich erst mal was klarstellen.
Ja, wir bieten einen großen Funktionsumfang.
Und ja, manche ordnen uns auch als GRC oder ISMS-Tool ein.
Doch werden nur die Features sieht, verpasst eigentlich den entscheidenden Punkt.
GRC-Tools sind breit aufgestellt und decken Governance Risk-Compliance ab. Doch wenn es um die praktische Umsetzung eines ISMS geht, fehlen ihnen oft die operativen Werkzeuge. Sie bleiben oft an der Oberfläche. Dokumentation. Ja, aber die operative Sicherheit passiert in einer Parallelwelt.
Klassische ISMS-Tools gehen zwar tiefer, bieten im ISMS die geforderten Management-Funktionen, doch auch diese konzentrieren sich meist auf Standardprozesse und Compliance-Nachweise.
Was aus unserer Sicht fehlt, ist die Verbindung zu Deinem täglichen Betrieb, zu den Assets, die Du schützen musst, den Changes, die Risiken bergen oder in den Vorfällen, die schnelles Handeln erfordern.
Das ist uns wichtig, denn Sicherheit muss dort verankert werden, wo sie wirklich wirkt. Das ist in den täglichen Prozessen und in der Zusammenarbeit der Teams.
Wir selber ordnen uns deshalb als hybride ISMS-Plattform ein, die zum einen ISMS-Tiefe mit ausgewählten GRC-Funktionen vereint und konkret die operative Umsetzung unterstützt.
Willst Du mehr über das Dilemma erfahren, lese unseren Beitrag „Warum GRC-Tools zu breit und ISMS-Tools zu eng sind„.
Bernd Hampe
ISMS-Praktiker
Bernd ist OT-Verantwortlicher in einem KRITIS Unternehmen, Informationssicherheitsbeauftragter, Risikoverantwortlicher, Administrator und Anwender. Durch diese vielen Rollen konnte er das ISMS in vielen Facetten erleben. Seine Erfahrungen teilt er gern – in Gesprächen und in der ISMS-Softwareentwicklung.
