Startseite: Blog Tec-Trends > Digital Business > ISMS: Bedeutung und Inhalt vom Information Security Management System

ISMS: Bedeutung und Inhalt vom Information Security Management System

Immer wieder erscheint der Begriff ISMS in den Medien, ohne dass er genauer erklärt wird. Verständlicherweise fragen sich dann viele, was dies überhaupt bedeuten soll. Also was versteckt sich hinter der Abkürzung ISMS und inwiefern können vor allem Unternehmen von diesem Managementsystem profitieren? Grob gesagt, geht es bei dem sogenannten „Information Security Management System“ um Methoden und Regeln für die Informationssicherheit einer Firma.

LeoWolfert/shutterstock.com

Hintergrund und Bedeutung

Die Abkürzung ISMS steht für „Information Security Management System“, mit dessen Hilfe Unternehmen Maßnahmen zur Informationssicherheit installieren. Durch die zunehmende Digitalisierung und Bedrohung durch Cyber-Kriminalität ist der Schutz von Daten umso wichtiger. Innerhalb dieses Managementsystems existieren Verfahren, Regeln sowie Maßnahmen, mit denen diese Informationssicherheit kontrolliert, gesteuert und optimiert wird. Potentielle Risiken sollen auf diese Weise möglichst früh- und rechtzeitig entdeckt und behoben werden.

Bei der Früherkennung hilft eine Penetration Testing Platform. Dabei betrifft das Managementsystem nicht nur den digitalen Bereich eines Unternehmens, sondern auch weitere Bereiche, wie die Mitarbeiter der Firma. Damit das System effizient arbeiten kann, orientiert es sich an den individuellen Anforderungen und Ausgangslagen eines Unternehmens.

Ansatz und Methoden

Das Managementsystem steht unter der Verantwortung des Führungsbereiches. Demnach wird ein „Top-Down-Ansatz“ verfolgt, um die IT-Sicherheit der Daten und Informationen zu gewährleisten. Das Top-Management organisiert die Security Policies, während die Details und Umsetzung sowohl vosn der Führungskraft als auch von den Mitarbeitern übernommen werden können. Demnach macht es in vielen Fällen Sinn, wenn ein Unternehmen einen Datenschutz- und IT-Beauftragten benennt. Für die Normierung des Security Managementsystems wird die Standardreihe „ISO/IEC 2700x“ genutzt, die noch einmal in verschiedene Aufgabenbereiche unterteilt wird.

  • ISO 27001: Zertifizierungsanforderungen
  • ISO 27003: Entwicklung und Implementierung
  • DIN NIA-01-27: Sicherheitsverfahren betreut die Normungsarbeit

Ziele

Das Managementsystem betrifft das komplette Unternehmen und stellt das ganze Kontinuitäts- und Sicherheitsniveau der Informationen sicher. Dafür werden verschiedene Richtlinien, Prozesse, IT-Strukturen und Mitarbeiter einbezogen. Es ist also die komplette Wertschöpfungskette des Unternehmens wirksam. Zu den wichtigsten Zielen gehören folgende:

  1. Identifizieren von wichtigen Informationen des Unternehmens
  2. Entwickeln passender Schutzmaßnahmen
  3. Sicherheitskultur im ganzen Unternehmen etablieren
  4. Informationssicherheitsrisiken identifizieren und bewerten
  5. Entwickeln eines Risikomanagements zur Steigerung der Sicherheit
  6. Verbesserung von Maßnahmen und Prozessen für mehr Informationssicherheit

Die richtige Umsetzung des Information Security Management Systems

Der komplette Aufbau des ISMS kann in einzelne Prozessschritte unterteilt werden. Das betrifft neben der Planung auch die Umsetzung und Aufrechterhaltung des kompletten Systems.

  1. Zunächst muss das Unternehmen herausfinden, wozu das ISMS überhaupt benötigt wird, was es leisten soll und welche Informationen und Daten geschützt werden sollen. Dabei sollte die komplette Anwendung definiert werden, dazu gehören auch die Grenzen des Anwendungsbereiches des ISMS.
  2. Ist der theoretische Teil und die Vorbereitung der Anwendung erledigt, sollten nun die Risiken identifiziert und kategorisiert werden. Orientieren können sich Unternehmen an den „Compliance-Richtlinien“ oder den gesetzlichen Regeln. Ziel soll es sein, herauszufinden, welche Risiken ausgeschlossen werden und welche nicht, weil die Auswirkungen zu groß wären. Zudem sollte auch die Eintrittswahrscheinlichkeit potentieller Risikobereiche bewertet werden. Die negativen Folgen eines Vertrauens- oder Integritätsverlust sollte vom Unternehmen ebenfalls beachtet werden.
  3. Nach der Risikobewertung müssen nun geeignete Maßnahmen für die Umsetzung des ISMS gewählt werden. Wurden diese festgelegt, müssen sie anschließend unbedingt im kontinuierlichen Prozess geprüft und notfalls optimiert werden. Hier können bereits erste Mängel erkannt werden. In diesem Fall muss der komplette Planungs- und Umsetzungsprozess neu gestartet werden.

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.