Was ist ein Information Security Management System?<\/h2>\n\n\n\n
In modernen Unternehmen werden Geschäftsprozesse zunehmend digitalisiert und Daten elektronisch verarbeitet sowie gespeichert. Die Daten- und Informationssicherheit ist daher ein essenzieller Aspekt, wenn es um die IT-Sicherhei<\/strong>t geht. Informationen müssen den Mitarbeitern einerseits zuverlässig zur Verfügung stehen, andererseits müssen sie vor nicht autorisierten Zugriffen und Manipulationen geschützt werden.<\/p>\n\n\n\n Hierbei hilft ein Information Security Management System (ISMS), zu Deutsch: ein Informationssicherheitsmanagementsystem<\/strong>. Dieses legt den Grundstein für entsprechende Sicherheitsmaßnahmen. In ihm werden Sicherheitsziele, Richtlinien sowie Prozesse (und ihre Umsetzung) definiert<\/strong>, mit denen die Informationssicherheit kontrolliert, gesteuert und gesteigert werden kann.<\/p>\n\n\n\n Dadurch können mögliche Sicherheitsrisiken identifiziert sowie transparent gemacht werden und das Sicherheitsniveau eines Unternehmens wird effektiv angehoben.<\/p>\n\n\n\n Da es sich bei einem ISMS um ein ganzheitliches Sicherheitskonzept – und nicht etwa um ein technisches System – handelt, beginnt dessen Entwicklung und Implementierung auf Ebene der Unternehmensführung. Hier müssen grundlegende Sicherheitsrichtlinien entwickelt werden, deren konkrete Umsetzung später, einem Top-Down-Ansatz folgend, von weiteren Führungskräften und Mitarbeitern übernommen werden kann.<\/p>\n\n\n\n Um zu gewährleisten, dass das ISMS die gewünschte Informationssicherheit herstellt und aufrechterhält, muss es in sämtlichen Unternehmensbereichen – und nicht nur in der IT-Abteilung – umgesetzt werden.<\/p>\n<\/blockquote>\n\n\n\n Hierbei ist vor allem die Sensibilisierung sowie das Wissen der Mitarbeiter entscheidend, denn diese arbeiten täglich mit den schützenswerten Informationen und nehmen somit eine tragende Rolle ein, wenn es um die Datensicherheit im Unternehmen geht.<\/p>\n\n\n\t\t Unser Expertenwissen hilft Ihnen Gefahren für Ihre IT-Infrastruktur besser zu erkennen.<\/p>\n Wie wäre es aber, dieses Wissen deutlich entspannter mit einem Lächeln und dem Gedanken: P.S. Brillieren können Sie im Meeting mit dem neuen Wissen trotzdem!<\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t Die Implementierung eines Informationssicherheitsmanagementsystems ist prozessorientiert. Das bedeutet, dass sowohl die Konzeption als auch Umsetzung und Erhaltung in vier verschiedene Prozessschritte unterteilt werden:<\/p>\n\n\n\n Verantwortliche im Unternehmen sollten nicht erst handeln, wenn bereits Probleme aufgetreten bzw. Schäden entstanden sind. Vielmehr gilt es, Risiken zu identifizieren und bereits im Vorfeld exakt festzulegen, welche Maßnahmen in welcher Situation ergriffen werden.<\/p>\n\n\n\n Der erste Schritt der Implementierung eines ISMS besteht aus der Festlegung der Ziele. Hierbei muss konkret definiert werden, welchen Leistungsumfang das Informationssicherheitsmanagementsystem aufweisen soll und welche Daten, Informationen und Werte geschützt werden sollen. Es müssen also sowohl der Anwendungsbereich als auch die Grenzen des Systems eindeutig definiert werden.<\/p>\n\n\n\n Im zweiten Schritt wird der Anwendungsbereich, respektive dessen Risiken, unter die Lupe genommen. Hierbei wird das aktuelle Niveau der Informationssicherheit ermittelt, um zu erkennen wo genau die Schwachstellen liegen und wo es zur Ausnutzung dieser Schwachstellen kommen kann. Für diese Risikoeinschätzung muss eine zuverlässige Übersicht erstellt werden, die aufzeigt, welche Folgen die einzelnen Risiken mit sich führen können und es gilt zu bewerten, wie wahrscheinlich deren Eintreten ist.<\/p>\n\n\n\n Auf Grundlage der Risikoanalyse und -einschätzung können im dritten Schritt bestimmte Maßnahmen ausgearbeitet werden, die Sicherheitsbedrohungen minimieren und eine passgenaue Reaktion ermöglichen. <\/p>\n\n\n\n Diese Maßnahmen sind allerdings nicht ausschließlich auf die IT-Abteilung gemünzt, sondern gelten in sämtlichen Unternehmensbereichen und -ebenen. Denn sie beinhalten neben digitalen und virtuellen auch physische Sicherheitsaspekte, die für geschützte Abläufe im Unternehmen sorgen.<\/p>\n\n\n\n Wurden die Ziele definiert, die Risiken ermittelt und entsprechende Maßnahmen umgesetzt, so folgt der vierte Schritt: die regelmäßige Überprüfung und Optimierung dieser Maßnahmen. Hierzu gibt es verschiedene Methoden, die dabei helfen, das ISMS kontinuierlich zu überwachen, Mängel sowie weitere Risiken zu erkennen und die prinzipielle Flexibilität des Systems zu erhalten. Werden neue Mängel erkannt, so wird der gesamte Prozess des ISMS erneut durchlaufen.<\/p>\n\n\n\n Stellen wir uns vor: <\/p>\n\n\n\n Ein mittleres Unternehmen, das an lediglich einem Standort sitzt und kundenspezifische Software entwickelt, möchte ein ISMS implementieren. <\/strong><\/p>\n\n\n\n Hiermit soll neben dem Nachweis der Produktqualität auch jener der Sicherheit interner Prozesse erbracht werden. Die Unternehmensführung legt zunächst die Sicherheitsziele fest und richtet einen Stab ein, der sich mit der Informationssicherheit befasst, Mitarbeiter für diese sensibilisiert, einheitliche Vorgaben für den Sicherheitsprozess erstellt und die Umsetzung dieser Vorgaben überprüft.<\/p>\n\n\n\n Nun wird ein Sicherheitsforum eingerichtet, in welchem jeweils ein Vertreter aus jeder Abteilung<\/strong> mitwirkt. In diesem Forum wir ein Gesamtsicherheitskonzept erarbeitet, das wiederum von der Führungsebene abgesegnet wird. Nach Maßgabe dieses Konzepts ist zunächst jede Unternehmensabteilung für die Sicherheit der eigenen Daten und deren Verarbeitung verantwortlich. <\/p>\n\n\n\n Das bedeutet: Jede Abteilung verfasst eine Aufstellung der genutzten Daten sowie Prozesse und führt eine Risikoanalyse bzw. -bewertung durch.<\/strong> Durch geeignete infrastrukturelle, organisatorische und technische Maßnahmen wird der Zugriff auf sensible Daten, Informationen und Prozesse ermöglicht, kontrolliert und limitiert. Zudem werden regelmäßige Sicherheitsschulungen für die Mitarbeiter angeboten.<\/p>\n\n\n\n Vor dem Hintergrund des Gesamtsicherheitskonzepts werden von den Abteilungen regelmäßig Nachweise über die Einhaltung der Sicherheitsmaßnahmen erbracht. Der für die Informationssicherheit verantwortliche Stab legt wiederum der Unternehmensführung quartalsweise Berichte über die aktuelle Sicherheitslage des Unternehmens vor. Anhand dieser Berichte werden etwaige Schwachstellen identifiziert und das Gesamtsicherheitskonzept wird entsprechend angepasst.<\/p>\n\n\n\n Es gibt einige gesetzliche Vorgaben, die es hinsichtlich der Informationssicherheit in Unternehmen zu beachten gilt. Denn ein Information Security Management System bildet einen wichtigen Eckpfeiler für das unternehmensweite Risikomanagement<\/a>, wie es in Gesetzen und Richtlinien vorgeschrieben ist.<\/p>\n\n\n\n Für die ordnungsgemäße Implementierung eines ISMS finden sich verschiedene Regelwerke, an welchen sich Unternehmen orientieren können. Für kleine und mittlere Unternehmen sowie Kommunen bietet beispielsweise das ISIS12-Modell eine zuverlässige Orientierungshilfe. Für noch mehr Sicherheit und Flexibilität in Unternehmen jeder Größe können zudem die Standards der internationalen Norm ISO 27001<\/a> herangezogen werden.<\/p>\n\n\n\n Die Einführung eines Informationssicherheitssystems trägt maßgeblich zur Nachhaltigkeit und Zukunftsfähigkeit eines Unternehmens bei. <\/p>\n\n\n\n Wichtig hierbei ist, dass die Geschäftsführung diesen Prozess nicht nur initiiert, sondern auch begleitend unterstützt. <\/p>\n\n\n\n Ziel muss es sein, das wichtige Thema der Informationssicherheit in den Alltag der Mitarbeiter einzubetten. Denn nur so können Strukturen und Maßnahmen entstehen die passgenau und imstande sind, flexibel auf die individuellen Ereignisse und Anforderungen zu reagieren.<\/p>\n\n\n\nAls prozessorientiertes Konzept beginnt ein Informationsmanagementsystem bei der Unternehmensführung<\/h2>\n\n\n\n
\n
„Spannend – aber auch dagegen bin ich abgesichert“<\/strong> zu lesen?<\/p>\nDie Basis: 4 entscheidende Schritte zur erfolgreichen Implementierung eines ISMS<\/h2>\n\n\n\n
\n
Die Zieldefinition<\/h3>\n\n\n\n
Die Analyse der Risiken<\/h3>\n\n\n\n
Die Maßnahmen: Auswahl und Umsetzung<\/h3>\n\n\n\n
Die Instandhaltung und Wartung des ISMS<\/h3>\n\n\n\n
Praxisbeispiel: Die Implementierung eines ISMS<\/h2>\n\n\n\n
![\"Information-Security-Management-System\"](\"https:\/\/enginsight.com\/wp-content\/uploads\/Information-Security-Management-System-enginsight.jpg\")
<\/figure>\n\n\n\nDer Gesetzgeber: Vorgaben für das ISMS-Risikomanagement<\/h2>\n\n\n\n
Zusammengefasst: ISMS und IT-Sicherheit sind heute für jedes Unternehmen enorm wichtig<\/h2>\n\n\n\n