ISMS – eine lückenlose Spur vom Schutzbedarf bis zum Management-Review
Modellieren Sie Ihren Informationsverbund, leiten Sie Schutzbedarfe nach dem Maximumprinzip ab, schließen Sie Kontrolllücken gegen ISO 27001 und BSI IT-Grundschutz – und führen Sie jede Bewertung über einen revisionssicheren Freigabe-Lebenszyklus bis zum Quartals-Management-Review. Jede Bewertung wird genau einmal gepflegt und wirkt überall konsistent. On-Premise betrieben.
Drei Gründe für Avalon ISMS
Schutzbedarf wird nach dem Maximumprinzip entlang Ihrer Prozess-Asset-Struktur vererbt – mit dokumentiertem Override statt manueller Pflege.
Jede Bewertung durchläuft denselben Lebenszyklus Entwurf → eingereicht → freigegeben und wird nach Freigabe schreibgeschützt – die Auditspur entsteht im Betrieb, nicht zum Audit.
Die KI schlägt Schutzbedarfe und Kontrolllücken vor – die Entscheidung trifft immer der verantwortliche Mensch; eine technische Schranke stellt das verlässlich sicher.
Eine Bewertung – nach dem Maximumprinzip abgeleitet, überall konsistent
Wählen Sie eine Quell-Konstellation: Vier eingehende Prozesse und Assets bringen eigene CIA-Stufen mit. Das Gate rastet auf der höchsten ein, vererbt diesen Schutzbedarf nach dem Maximumprinzip an die abhängigen Assets und führt ihn über den Freigabe-Lebenszyklus bis zum prüffähigen Beleg.
Maximumprinzip: je Grundwert (C · I · A) bestimmt die höchste eingehende Stufe den Schutzbedarf.
- Entwurf
- Eingereicht
- Freigegeben
Beispieldaten · Illustration
Relevant für: ISO/IEC 27001 · Klausel 9.3 (Management-Review), Annex-A-naher Maßnahmenkatalog, BSI IT-Grundschutz. Avalon unterstützt die Erfüllung; die Nachweisverantwortung verbleibt beim Kunden.
Was das ISMS-Modul im Detail leistet
Informationsverbund modellieren
Erfassen Sie Geschäftsprozesse und die unterstützenden Assets – IT-Systeme, Anwendungen, Dienste – in einer durchgängigen Abhängigkeitsstruktur. Die Verknüpfung Prozess→Asset ist die Grundlage für jede Schutzbedarfsvererbung und macht den Verbund als Netzwerk sichtbar.
Schutzbedarfsanalyse (PNA) mit Maximumprinzip
Die PNA bewertet Vertraulichkeit, Integrität und Verfügbarkeit (CIA) je Prozess aus Ihrer Methodik. Assets erben den maximalen Schutzbedarf aller verknüpften Prozesse; der effektive Schutzbedarf ist das Maximum aus vererbtem Wert und Override – jederzeit überschreibbar, mit Pflichtbegründung.
Gap Assessment gegen Sollmaßnahmen
Bewerten Sie je Asset zuerst die Bedrohungsrelevanz – jede als nicht relevant markierte Bedrohung verlangt eine Begründung – dann die Erfüllung jeder anwendbaren Anforderung gegen den Sollmaßnahmenkatalog (BSI-Grundschutz-/ISO-27001-Linie). Kontrolllücken werden belegbar, nicht geschätzt.
Risiko-Assessment je Asset
Bewerten Sie Eintrittswahrscheinlichkeit und Auswirkung je Bedrohung; das Modul leitet Brutto- und Netto-Risiko sowie den jährlichen Netto-Schadenswert ab und speist damit den Gesamtstatus des Assets. Die Bewertung steht ohne erneute Erfassung im zentralen Risikomanagement zur Verfügung und wird dort einheitlich gesteuert und freigegeben.
Business Continuity: im BCM-Modul geführt
Zeitkritische Prozesse brauchen über die Informationssicherheit hinaus eine Notfallvorsorge. Diese leistet das eigenständige Modul BCM & Notfallmanagement nach BSI 200-4 – Business-Impact-Analyse, BCM-Risikoanalyse und Notfallpläne entstehen dort. Das ISMS liefert dafür die konsistente Schutzbedarfs- und Asset-Basis, auf der die Kontinuitätssicht aufsetzt.
Revisionssicherer Freigabe-Lebenszyklus
Jede Bewertung wird als Entwurf eingereicht und durch einen Approver freigegeben – danach schreibgeschützt. Das Anfragen-Center bündelt offene Anträge, Freigaben und Historie; periodische Reviews fallen automatisch fällig.
Rollenmodell mit RACI-Trennung
Sechs ISMS-Rollen trennen Verantwortung sauber: Prozessowner führen die Prozess-Schutzbedarfsanalyse (PNA) für ihre Prozesse, Assetowner das Gap- und Risiko-Assessment, Local-Assetowner ausschließlich das Risiko-Assessment. Admin und Superuser verantworten Methodik und Freigaben. Das Modul blendet Aktionen rollenabhängig automatisch ein und aus.
ISO-27001-Management-Review auf Knopfdruck
Der Quartalsbericht nach ISO 27001 Klausel 9.3 entsteht deterministisch aus Ihren Daten – 15 Folien mit CIA-Status, Top-Risiken, Heatmap, Vorfällen und Management-Entscheidungen. Die Erstellung ist mehrstufig sign-off-pflichtig und kommt vollständig ohne KI aus.
Konsistenzprüfung statt Excel-Abgleich
Avalon erkennt regelbasiert offene oder veraltete Bewertungen – etwa eine offene Schutzbedarfsbewertung oder ein nach geändertem Sollmaßnahmenkatalog überholtes Gap-Assessment – und führt direkt in den richtigen Bearbeitungsschritt. Die Hinweise sind reine Lesehinweise; die Korrektur nimmt stets der verantwortliche Mensch vor.
Welche Rahmenwerke das ISMS-Modul abbildet
- ISO 27001
- BSI IT-Grundschutz
- DORA
- ISO/IEC 27001
- Avalon bildet die ISO-27001-Linie methodisch ab: Schutzbedarfsanalyse, Gap Assessment gegen Sollmaßnahmen und der deterministische Management-Review-Bericht nach Klausel 9.3 (15 Folien, mehrstufiger Sign-Off). Avalon unterstützt die Einführung und Aufrechterhaltung eines ISMS; die Konformität bleibt Verantwortung der Organisation.
- BSI IT-Grundschutz
- Der Sollmaßnahmenkatalog und der Bedrohungskatalog folgen der BSI-Grundschutz-Linie (BSI 200-2/200-3); Schutzbedarfsfeststellung und Gap Assessment setzen die Grundschutz-Methodik um.
- DORA (EU) 2022/2554
- Die Schutzbedarfs- und Asset-Struktur des ISMS bildet zugleich die ICT-Risikobasis für das DORA-konforme ICT-Risk-Reporting – ohne getrennte Erfassung. Avalon unterstützt bei der Umsetzung – die regulatorische Verantwortung verbleibt beim Institut.
- EU AI Act 2024/1689
- Avalon stuft die eigenen KI-Funktionen vorsorglich als Hochrisiko-System ein und behandelt sie nach Art. 8–15: jede automatisierte Klassifizierung wird mit Herkunft im Audit-Trail erfasst (Human-in-the-Loop, Art. 13/14), und eine technisch erzwungene Schranke stellt sicher, dass die KI Freigabe-, Workflow- und Risikoklassifizierungs-Entscheidungen nicht selbst trifft.
Avalon unterstützt die Umsetzung dieser Rahmenwerke. Die Konformität bleibt in der Verantwortung Ihrer Organisation.
KI mit Kontrolle im ISMS
- Human-in-the-Loop: jeder KI-Vorschlag wird vom verantwortlichen Menschen angenommen, geändert oder verworfen.
- Technische Absicherung: Ein automatisierter Code-Check stellt bei jeder Auslieferung sicher, dass die KI Freigabe-, Workflow- und Klassifizierungsentscheidungen niemals selbst setzen kann – diese bleiben ausschließlich dem verantwortlichen Menschen vorbehalten.
- Audit-Trail: jede angenommene Empfehlung wird mit Modell, Konfidenz, Begründung und Herkunft protokolliert.
Häufige Fragen zum ISMS-Modul
- Welchen Standards genügt das ISMS-Modul?
- Ausgerichtet auf ISO 27001, BSI IT-Grundschutz, DORA und MaRisk. Eigene Kontrollkataloge sind ergänzbar und können parallel zu Standard-Frameworks gepflegt werden.
- Wie wird der Schutzbedarf vererbt?
- Über das Datenmodell des Informationsverbundes. Schutzbedarfe werden entlang von Asset-Abhängigkeiten konsistent weitergegeben – mit nachvollziehbarer Begründung pro Vererbungsschritt.
- Können wir mit einem reduzierten Scope starten?
- Ja. Sie modellieren zunächst einen Teilbereich – etwa ein kritisches Prozess-Cluster – und erweitern den Informationsverbund schrittweise, ohne Datenbrüche.
- Wie unterstützt die KI das Gap Assessment?
- Falls aktiviert, schlägt sie Bewertungen je Kontrolle vor – mit Quellenbezug, Konfidenzwert und Begründung. Das Fachteam bestätigt, überschreibt oder lehnt ab.
Welches Modul passt zu Ihrem nächsten Schritt?
Wir zeigen Ihnen Avalon entlang Ihrer aktuellen Fragestellung – konkret, in Ihrem Kontext, ohne Standard-Sales-Demo.
- On-Premise
- Human-in-the-Loop
- EU-AI-Act-konform by Design
On-Premise · Ihre Daten verlassen das Haus nicht