Ein Informationssicherheitsmanagementsystem oder kurz ISMS

Sicherheit ist keine Momentaufnahme, sondern eine stetiger Prozess der Anpassung und Verbesserung mit Hilfe eines ISMS.

Die ISO 27001 beschreibt auf verschiedensten Kapiteln Anforderungen an ein System zum Management der Informationssicherheit. Ich will diesen Begriff in diesem Beitrag etwas schärfen, beginnend beim Begriff Managementsystem.

InformationssicherheitBlogThema

Managementsysteme tauchen bei verschiedenen Themen auf. In meinem Umfeld sind es z.B. Qualitäts- oder Datenschutzmanagementsysteme. Solche Systeme sind wichtig, um angestrebte Ziele zu erreichen und aufrecht zuhalten. Die Erreichung oder Annäherung von Zielen, die übrigens sich im Laufe der Zeit ändern können, sollte kein einmaliges Ergebnis sein.

Wichtig für den Aufbau von Managementsysteme ist der Geltungsbereich (Scope) des Systems. Wird das gesamte Unternehmen betrachtet, nur eine Tochter oder nur eine Abteilung. Dementsprechend können sich Anforderungen und Ziele unterscheiden.

Die Ziele sollten am Beginn definiert werden. Welche Qualitätsziele will das Unternehmen erreichen? Welche Sicherheitsstandards sind für die Organisation relevant?. Diese Ziele werden in Form von Leitlinien formuliert. Beispiel: \"Die Sicherheit unserer Kundendaten ist uns wichtig. Daher werden Maßnahmen ergriffen, um diese Daten zu schützen\". Dieses Ziel, also die Kundendaten zu schützen, ist eine Vorgabe und ein Versprechen. Auch sollte geklärt werden, wann ein Ziel erreicht worden ist. Hierzu zählen Kriterien oder Leistungskenngrößen, die helfen zu beurteilen, wie weit der Ist-Zustand vom Soll-Zusatnd ist.

\n

Jedes Ziel hat Risiken und Chancen für das Unternehmen. Die Nutzung von Cloud--Services kann sicherlich wirtschaftliche Vorteile beinhalten, die Auslagerung von sensiblen Daten auf Fremdservern dagegen riskant sein.

Die Umsetzung der Ziele benötigt ausreichend Ressourcen und Zuständige, die die Umsetzung verantworten. Die Prozesse oder Maßnahmen zur Umsetzung haben Prozessverantwortliche, die die Realisierung, Überwachung oder Verbesserung verantworten.

Diese Maßnahmen sind Bestandteil des Managementssystems und sollten daher definiert werden.

Wir sehen an den obigen Punkten, dass ein Managementsystem in der Verantwortung der Unternehmensleitung sein muss, um Aspekte wie Ressourcen, Verantwortlichkeiten und natürlich Unternehmensziele zu steuern. Managementsysteme folgen also dem Top-Down-Ansatz, also von der Unternehmensführung zu den Mitarbeit, von der DEfinition zur Realisierung.


Kommen wir zurück zum ISMS: Hier wollen wir ein Managementsystem für die Informationssicherheit aufbauen. Damit sind wir mit folgenden Aufgaben konfrontiert:

  1. Die Formulierung der Sicherheitsziele
  2. Eine Übersicht der zu schützenden Assets
  3. Eine Beurteilung der möglichen Risiken und wie mit diesen umzugehen ist.
  4. Die kontinuierliche Verbesserung des ISMS

Das ISMS kann softwareunterstützt oder nur auf Basis von Dokumenten implementiert werden. In jedem Falle sollte bei der Erstrealisierung eines Managementsystems ausreichend Zeit eingeplant werden, je nach Organisation bzw. Scope mehrere Monate bis zu einem Jahr. Der zeitliche jährliche Aufwand für die Pflege und Verbesserung kann geringer sein. Ihr Unternehmen hat als Ergebnis ein Fundament für die Unternehmenssteuerung geschaffen, an der sich alle Mitarbeiter halten müssen und sich orientieren können. Die Implementationskosten stehen die Einsparungen durch Effizienzsteigerungen gegenüber. Die Schaffung eines ISMS ist ein langfristiger Gewinn für Ihr Unternehmen.