Anpassung des Datenmodells - ein Kraftakt

"Unsere Anforderungen an ein ISMS sind sehr hoch", erläutert Walzer, "immerhin verwaltet die Anstalt einen der größten Datenbestände der Republik Österreich." Die PVA kümmere sich heute um zirka 2,97 Millionen Versicherte und 1,75 Millionen Pensionäre.

Mit der Suche nach einer passenden Lösung beauftragte die PVA damals das Beraterteam von Comparex, das schon bei der Zusammenlegung der Rechenzentren geholfen hatte. Bei der Evaluierung setzte sich die Softwaresuite "HiScout" des Berliner Anbieters DB3 GmbH durch. Dabei handelt es sich um ein Management-System mit einem objektorientierten Datenbankmodell, das als Werkzeug zum Dokumentieren, Analysieren, Abbilden, Steuern und Überwachen der Informationssicherheit eingesetzt werden kann. Ausschlaggebend für die Entscheidung war unter anderem die Tatsache, dass in HiScout die ISO/IEC-27001-Norm hinterlegt ist. Hinzu kam der hohe Detaillierungsgrad, den die Lösung in Bezug auf das Datenmodell und die Abbildung von Prozessen zuließ.

Im Herbst 2006 erwarb die PVA die Module "Risk Management" und "Security Management" sowie 50 Einzelplatzlizenzen. Die Basisinstallation - einschließlich Server-Hardware, Betriebssystem und Datenbank - verlief laut Projektleiter Walzer unkompliziert; sie sei nach einem halben Tag abgeschlossen gewesen: "Aber dann ging die Arbeit erst richtig los." Denn nun musste das Datenmodell ISO-27001-konform abgebildet werden.

Das Team aus PVA- und Comparex-Mitarbeitern erfasste alle relevanten Assets und Prozesse, also Daten, Anwendungen, Standorte, IT-Systeme, Netze, Fachbereich und Rollen, unter Berücksichtigung der vielfältigen Beziehungen und gegenseitigen Abhängigkeiten. Dabei entstanden Tausende von Datensätzen, so dass das Customizing die Aufmerksamkeit des Teams über mehr als eineinhalb Jahre in Anspruch nahm.