Die brandneue Version des verinice-Risikokatalogs steht ab sofort in Englisch zur Verfügung. Sie berücksichtigt die Ende 2013 veröffentlichte Neufassung der Normen ISO 27001 sowie 27002 mit ihren zahlreichen Neuerungen. Diese überarbeitete Auflage des Risikokatalogs für verinice hilft Neu-Anwendern beim Einstieg und als Update auch erprobten Anwendern der ISO 27001:2005 beim Umstieg. Beiden Gruppen verschafft sie einen großen Vorteil: Zeitersparnis.
Die neue Fassung des verinice-Risikokatalogs enthält alle 14 Control Clauses, 35 Security Categories und 114 Controls des Standards. Außerdem beinhaltet er 109 generische Risikoszenarien, 47 Threats und 90 Vulnerabilities sowie über 1.100 Verknüpfungen. So verbinden sich alle Objekte zu einem sinnhaften Ganzen. Der Aufwand für eine umfassenden High Level Risikoanalysye verkürzt sich dadurch enorm. Statt mehreren Tagen benötigen Anwender nur noch wenige Stunden.
Als Implementierungshilfe sind für alle Controls nun kurze und prägnante Texte hinterlegt. Zu jeder Security Category gibt es außerdem eine kurze, möglichst verständlich gefasste Darstellung zu Sinn und Zweck des jeweiligen Kapitels.
Ebenfalls angepasst und gemäß der Änderungen im Standard reduziert wurde die Liste der Mandatory Documents, die für eine Zertifizierung zwingend erforderlich sind. Nach wie vor enthält der Katalog zusätzliche Empfehlungen für weitere Dokumente, die im eigenen Interesse für den reibungslosen Betrieb des ISMS erstellt werden sollten.
Alle Maßnahmen der neuen ISO 27002:2013 wurden wie für verinice-Anwender gewohnt bereits mit passenden Risikoszenarien verknüpft, um eine beschleunigte Risikobewertung basierend auf ISO 27005 vorzunehmen.
Aktive Risikoreduktion und Zeitersparnis
Der verinice Risikokatalog verbindet zwei arbeitsintensive Tätigkeiten der ISMS-Einführung miteinander: das Erstellen des "Statement of Applicability" (SoA) und die Risikoanalyse. Die Ergebnisse der SoA werden in verinice direkt bei der Risikoanalyse berücksichtigt. So sparen Sie viel Zeit bei der Risikobehandlung und die Controls der ISO 27001 werden zu mehr als nur einer Compliance-Checkliste: sie tragen sofort aktiv zur Risikoreduktion typischer Risiken aus dem IT-Einsatz bei. Das spart Aufwand bei der Formulierung eigener Controls zur Risikobehandlung.
Der Aufwand für die Risikobewertung und Risikoreduktion wird hierdurch erheblich reduziert, so dass mehr Zeit für die Identifikation und Behandlung organisationsspezifischer Risiken bleibt.
Neue Version des Risikokatalogs beziehen
verinice.PRO Subskribenten finden die neue Version des Risikokatalogs im Repository. Der verinice-Risikokatalog steht ihnen kostenfrei zur Verfügung.
Für Anwender der kostenfreien verinice-Version ist der Katalog in unserem Web-Shop erhältlich.
Der Download-Code im Web-Shop ist für ein Jahr gültig. Falls Sie also die 2005er-Version des Risikokatalogs innerhalb der letzten 12 Monate erworben haben, steht das Update nun kostenfrei für Sie zum Download bereit.
Der Katalog steht zur Zeit ebenso wie der Standard ausschließlich in englischer Fassung zur Verfügung. Eine deutsche Version wird ergänzt, sobald die Übersetzung der DIN finalisiert wurde (bislang ist diese nur als Norm-Entwurf verfügbar).
Import-Anleitung:
Anwender des bisherigen Risikokatalogs basierend auf ISO 27001:2005 importieren bitte den Katalog "verinice_Risk_Catalogue_EN_2013_UPDATE".
Der Update-Katalog wird einfach über einen bereits in der Vergangenheit importierten Risikokatalog importiert. Vorher sollte eine Sicherung des gesamten Modells über die Export-Funktion durchgeführt werden.
Für Umsteiger sind dort alle entfallenen Controls und andere Objekte mit "OMITTED" markiert und können nach manueller Überprüfung gelöscht werden.
Veränderte Controls sind mit "REMOVE" markiert und können ebenfalls nach manueller Prüfung gelöscht werden.
Vorher sollten nötige Änderungen berücksichtigt werden, besonders Änderungen an Richtlinien, Nachweisen und anderen Dateianhängen, die Sie in verinice seit dem Import des ursprünglichen Kataloges ergänzt haben.
Neueinsteiger verwenden bitte den Katalog "verinice_Risk_Catalogue_EN_2013", um mit einer neuen Datenbank auf dem aktuellen Stand der Norm zu beginnen.