Für eine erfolgreiche Zertifizierung der Informationssicherheit ist ein Informationssicherheitsmanagementsystem (ISMS) unerlässlich. Für viele Entscheidungsträger ist dies jedoch Neuland. Wir erläutern, was ein ISMS ist, wie sein Aufbau aussieht und worin die Vorteile bestehen.

Was Informationssicherheit bedeutet und weshalb sie wichtig ist

Informationssicherheit dient dem Schutz von Informationen. Die Ausrichtung erfolgt ganzheitlich, d.h. nicht nur elektronische Dateien oder personenbezogene Daten werden berücksichtigt, sondern jegliche Information.

Während die IT-Sicherheit elektronische Systeme und Daten schützt, reicht die Informationssicherheit deutlich weiter, da sie außerdem Daten und Informationen an physischen Orten (z.B. Aktenordner im Home-Office) berücksichtigt.

Zentraler Bestandteil der Informationssicherheit ist die Gewährleistung der sogenannten Schutzziele:

  • Vertraulichkeit
    Nur ausgewählten Personen ist der Zugriff auf Informationen gestattet.
  • Integrität
    Änderungen an Daten sind zu protokollieren, damit nachvollziehbar ist, wer sie vorgenommen hat.
  • Verfügbarkeit
    Informationen sollen jederzeit abrufbar sein.

Ein ISMS ist das Grundgerüst für systematisch umgesetzte Informationssicherheit

Ein nachhaltig hohes Niveau in der Informationssicherheit ist nur per systematischer Umsetzung realisierbar. Die Grundlage hierfür bildet ein ISMS, das unter anderem folgende Aufgaben übernimmt:

  • Festlegen von Rollen und Verantwortlichkeiten
  • Definieren von Sicherheitsstandards
  • Sicherstellen der Einhaltung der Sicherheitsstandards
  • Identifizieren und Analysieren von Risiken
  • Festlegen geeigneter Schutzmaßnahmen

Wie für moderne Management-Systeme üblich, sieht auch ein ISMS eine kontinuierliche Überwachung und Optimierung vor, damit das erreichte Sicherheitsniveau nachhaltig gesichert ist. Zu diesem Zweck wird auf ein geeignetes Management-Tool zurückgegriffen, wie z.B. den PDCA-Zyklus.

Vorteile eines ISMS

Mit der Entscheidung, Informationssicherheit auf Basis eines ISMS umzusetzen, gehen mehrere Vorteile einher:

  • Schutz von Informationen
    Daten der Organisation werden vor verschiedensten Bedrohungen geschützt.
  • Nachweis über die Informationssicherheit
    Eine Zertifizierung bestätigt das erreichte Niveau in der Informationssicherheit. Dies steigert die Reputation und das Vertrauen verschiedenster Stakeholder, wie z.B. Kunden, Geschäftspartner und Mitarbeiter.
  • Einhaltung gesetzlicher Vorgaben
    Organisationen aus regulierten Bereichen, wie z.B. der kritischen Infrastruktur, müssen strenge Rechtsvorgaben einhalten. Zertifizierte Informationssicherheit kann als Nachweis der Einhaltung bestimmter Compliance-Vorgaben dienen.
  • Steigerung der Wirtschaftlichkeit
    Ein ISMS hilft, Ressourcen effizient zu nutzen und Kosten langfristig zu senken. Gleichzeitig schafft es Potenzial für Synergieeffekte, wie z.B. mit dem Datenschutz.
  • Beitrag zur Geschäftskontinuität
    Ein ISMS unterstützt das Business Continuity Management (BCM), indem es bestimmten Gefahren, wie z.B. Systemausfällen bedingt durch Hacker-Angriffe, vorbeugt.

Aufbau und Implementierung

Wie ein ISMS im Detail zu gestalten und zu implementieren ist, gibt das zugrundeliegende Regelwerk vor. Während Behörden sich nach BSI-Standards richten, ist für Unternehmen zumeist die Standardreihe ISO/IEC 2700x von Bedeutung. In der ISO 27003 werden Entwicklung und Implementierung des ISMS geregelt.

Übrigens muss ein ISMS nicht zwangsläufig für die gesamte Organisation entwickelt werden. Je nach Zielsetzung kann es genügen, nur Teile einer Organisation oder sogar nur ausgewählte Prozesse zu berücksichtigen und letztlich zu zertifizieren.

Die eigentliche Implementierung erfolgt prozessorientiert. Das Regelwerk gibt die einzelnen Prozessschritte vor, sich wie folgt unterteilen lassen:

  • Festlegen der Ziele
  • Analysieren der Risiken
  • Festlegen und Umsetzen von Maßnahmen
  • Kontrolle und Verbesserung des ISMS

Bedeutung für die IT-Sicherheit

Ein Information Security Management System betrachtet IT-Systeme aus allen Perspektiven (von Anwendungen über Prozesse bis einschließlich der IT-Infrastruktur) und hält jeweils geeignete Lösungsansätze bereit.

  • Definition von Prozessen
    Es werden Abläufe entwickelt, die die Erreichung eines festgelegten Niveaus an IT-Sicherheit versprechen. Darüber hinaus sind die Prozesse so ausgelegt, dass das erreichte Niveau nicht nur heute, sondern auch in Zukunft eingehalten wird.
  • Aufbau und Ausbau der IT
    ISMS berücksichtigt nicht nur vorhandene IT-Systeme, sondern ebenso deren Erweiterung und Anpassung. Es leistet Unterstützung bei der Auswahl neuer Komponenten (Hardware und Software), damit bereits in dieser frühen Stufe die richtigen Entscheidungen getroffen werden.
  • Laufender Betrieb
    Eine der wichtigsten Maßnahmen im Feld der Informationssicherheit ist die Wartung der Unternehmens-IT. Es werden interne Prozesse geschaffen, die u.a. ein zeitnahes Einspielen von Patches und Software-Updates gewährleisten.
  • Berücksichtigung der Mitarbeiter
    Sobald es um Daten und IT-Systeme geht, stellen Mitarbeiter eine der größten Gefahrenquellen dar. Cyberkriminelle haben dies längst erkannt und setzen lieber auf Social Engineering als auf klassisches Hacking. Ebenso sind Mitarbeiter, die das Unternehmen verlassen, zu berücksichtigen. Die richtigen Prozesse gewährleisten, dass beispielsweise Zugänge zeitnah geschlossen werden und betroffene Mitarbeiter keinen Zugriff auf Daten und Systeme mehr haben.
Information Security Management System - Die vier Perspektiven im ISMS auf IT-Systemen
Die vier Perspektiven im ISMS auf IT-Systeme

Relevanz für den Datenschutz

Der Zweck eines ISMS ist der Schutz sämtlicher Informationen im Unternehmen. Damit leistet es einen Beitrag zum Schutz der personenbezogenen Daten. Allerdings ist es kein Ersatz für den betrieblichen Datenschutz. Dieser hat andere Schwerpunkte und beschäftigt sich u.a. mit der Frage, ob und welche Daten überhaupt verarbeitet werden dürfen (z.B. auf Grundlage der DSGVO).

Dennoch kann ein ISMS für den Datenschutz relevant sein. Professioneller Datenschutz erfolgt auf Grundlage eines Datenschutzmanagementsystems (DSMS). Dieses kann auf einem ISMS aufbauen, wodurch sich wertvolle Synergieeffekte ergeben, da beispielsweise für Analysen oder Risikobewertungen bestimmte Daten bereits vorhanden sind und nicht erst recherchiert werden müssen.

Der Weg zum funktionierenden ISMS

Die Einführung eines ISMS ist anspruchsvoll. Tiefgreifendes Fachwissen ist notwendig, um das ISMS richtig abzustecken, einzuführen und dabei sämtliche Anforderungen für die Zertifizierung im Auge zu behalten.

Unser Expertenteam blickt auf jahrelange Erfahrung im Feld ISMS. Schon für zahlreiche Unternehmen haben wir maßgeschneiderte Konzepte entwickelt und diese ebenso bei der Umsetzung unterstützt.

Wir analysieren das Vorhaben, legen Ziele fest und arbeiten einen abgestimmten Fahrplan aus. Unsere langjährige Erfahrung macht sich für unsere Kunden bezahlt. Wir beraten praxisnah, für die Gewährleistung einer zeitnahen und kosteneffizienten Umsetzung. Auf Wunsch kann außerdem ein externer Informationssicherheitsbeauftragter bestellt werden.

Das Thema Datenschutz ist bei uns zentral verankert. Diese Nähe ist ein großer Vorteil, da wir ISMS Lösungen so gestalten können, dass sie mit Datenschutzkonzepten optimal im Einklang stehen.

Fragen & Antworten zum Thema

Was sind die Vorteile eines ISMS?

Ein ISMS bedeutet eine hohe Sicherheit der IT-Anwendungen, IT-Prozesse und IT-Infrastruktur, weil die Absicherung auf einem systematischen und ganzheitlichen Ansatz erfolgt. Die Risiken sind bekannt, passende Lösungen zur Absicherung werden bereitgehalten.

Wie lange dauert die Einführung eines ISMS?

Die Dauer hängt von der Anzahl der beteiligten Personen, den Kommunikationswegen, der Größe und Zusammensetzung der IT-Infrastruktur sowie viele weitere Faktoren ab. Bei kleinen Mittelständlern kann die Einführung durchaus nach einem halben Jahr abgeschlossen sein. Im Konzernumfeld sind deutlich längere Zeiträume, von beispielsweise eineinhalb Jahren oder länger, möglich.

Welche Normen und Richtlinien sind zu empfehlen?

Auf Basis welcher Norm ein Information Security Management System eingeführt wird, hängt zumeist von der Tätigkeit des Unternehmens ab. Je nach Branche können sich unterschiedliche Normen oder Richtlinien empfehlen. Vorgaben können von Auftraggeber stammen, weil diese z.B. Wert auf eine bestimmte Zertifizierung legen.

Was sind ISMS Tools?

ISMS Tools leisten Unterstützung bei Einführung und Umsetzung eines ISMS. Üblicherweise handelt es sich um Software oder Dokumentenvorlagen mit ganzheitlicher Ausrichtung, um das Unternehmen u.a. bei Risikoidentifikation, Risikoanalyse und Dokumentation zu begleiten. Die so erzeugte Dokumentation kann dienlich bei einer anschließenden Zertifizierung sein.