Was ist ein ISMS?
Ein Information Security Management System (ISMS) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu DEFINIEREN, zu STEUERN, zu KONTROLLIEREN, AUFRECHT ZU ERHALTEN und fortlaufend zu VERBESSERN.
Das ISMS legt die Herangehensweise einer Organisation in Bezug auf Informationssicherheit dar. Es ermöglicht Unternehmen, Gefahren und Chancen bezüglich wichtiger Informationen und damit verbundener Assets zu identifizieren – und rechtzeitig entsprechende Maßnahmen zu ergreifen.
Warum ist ein ISMS wichtig?
Ein ISMS (Information Security Management System) legt Regeln, Prozesse und Standards fest, mit denen die Informationssicherheit in einer Organisation gesichert, überwacht und laufend verbessert wird. Ein gutes Informationssicherheitsmanagement berücksichtigt auch Compliance-Aspekte von Unternehmen, Behörden und Infrastrukturen und hilft, Cyber-Angriffe abzuwehren.
Sind Informationssicherheit, IT-Sicherheit und Datenschutz das Gleiche?
Informationssicherheit, IT-Sicherheit und Datenschutz sind verwandte Konzepte mit unterschiedlichen Schwerpunkten. Informationssicherheit zielt auf die Umsetzung und Verbesserung langfristig gedachter Sicherheitsmaßnahmen ab. IT-Sicherheit bezieht sich auf den Schutz der IT-Infrastruktur vor Bedrohungen. Datenschutz bedeutet verantwortungsvoller Umgang mit personenbezogenen Daten. Letztlich greifen alle drei ineinander.
Für wen ist ein Informationssicherheits-
Management-System wichtig?
Kritische Infrastrukturen
Ausfall von IT-Systemen in sog. KRITIS-Unternehmen (Strom-/ Wasserversorger, Gesundheitswesen, Behörden, Banken, Bahn etc.) kann Menschenleben gefährden.
Industrie
Ohne soliden IT-Grundschutz und ISMS-Tools besteht nicht nur die Gefahr von Datendiebstahl, Hacker könnten im schlimmsten Fall sogar die Steuerung von Anlagen übernehmen.
Gewerbe
Fehlendes Informationssicherheitsmanagement kann einem Verlust sensibler Daten und Geschäftsgeheimnissen Vorschub leisten. Die Folgen: Vertrauensverlust von Kunden, Rufschädigung.
Einzel- und Großhandel
Schäden können für den lokalen Handel wie auch für Online-Shops bspw. durch Datendiebstahl und das Lahmlegen von Warenwirtschaftssystemen entstehen.
Einzelunternehmer
Ein laxer Umgang von Solo-Selbstständigen mit Daten oder IT-Systemen kann im Falle eines Cyber-Angriffs schnell existenzgefährdend werden.
Sie haben Fragen zu ISMS? Wir unterstützten Sie gerne mit fundiertem Know-how.
Kontaktformular
ulrich.alt@viridicon.deWie kann man Sicherheitsrisiken minimieren?
Der Aufbau eines Informationssicherheitsmanagements ermöglicht es, rechtssicher zu handeln und wirtschaftliche Risiken zu minimieren. Hierfür gibt es zahlreiche ISMS-Tools, die sich auf das jeweilige Unternehmen und die Prozesse anpassen und nach ISO 27001 zertifizieren lassen.
Welche Vorschriften / Standards muss ein Informationssicherheitsmanagement beachten?
Es gibt verschiedene Vorschriften und Standards, die im Zusammenhang mit dem Aufbau und Management von Informationssicherheit relevant sein können. Eine erste Übersicht mit praxisnahen Empfehlungen und Maßnahmenkatalogen für die IT-Security in Organisationen unterschiedlicher Größen und Branchen findet man in den durch das BSI (Bundesamt für Sicherheit und Informationstechnik) herausgegebenen Informationen zum IT-Grundschutz.
Um die Vorschriften rechtskonform und vor allem sicher umsetzen zu können, sind entsprechendes Know-how und für die Anwender einfach zu handhabende Tools erforderlich. Schließlich kann ein Informationsmanagementsystem nur dann korrekt funktionieren, wenn es richtig angewendet wird. Gute IT-Beratungsunternehmen bieten individuell anpassbare, einfache Tools.
Wichtige Gesetze & Richtlinien
ISO/IEC 27001
Der international anerkannte Standard ISO 27001 legt Anforderungen für Einführung, Umsetzung, Überwachung und Verbesserung eines ISMS fest.
KRITIS
Betreiber kritischer Infrastruktur (Energieversorgung, Telekommunikation, Gesundheitswesen usw.), müssen strenge Vorgaben bei der Absicherung ihrer Systeme erfüllen, um Störungen in teils lebenswichtigen Sektoren zu verhindern.
NIS-2
Die Richtlinie zur Netzwerk- und Informationssystemsicherheit der EU setzt erhöhte Sicherheitsstandards und zielt auf den Schutz kritischer Infrastrukturen ab.
DSGVO
Die Datenschutz-Grundverordnung ist ein EU-Standard, der dem Schutz personenbezogener Daten dient.
PCI DSS
Dieser Sicherheitsstandard ist in Betrieben relevant, die Kreditkartendaten verarbeiten. Er legt Maßnahmen zur Sicherung von Kreditkartendaten und gegen Kreditkartenbetrug fest.
Ist ISMS für Unternehmen vorgeschrieben?
Ein ISMS ist nicht für alle Unternehmen gesetzlich vorgeschrieben, sondern nur für kritische Infrastrukturen. Ein ISMS ist jedoch auch für nicht gesetzlich verpflichtete Unternehmer empfehlenswert, um Risiken zu identifizieren, sichere Abläufe und Kontrollmechanismen zu etablieren und damit Daten und Systeme zu schützen.
Welche Gründe sprechen für ein ISMS?
Vorteile
DATENSICHERHEIT
—
Verhinderung eines nicht-autorisierten Datenzugriffs
COMPLIANCE
—
Schutz vor Strafen durch Verstoß gegen Compliance-Richtlinien
OPTIMIERTE WORKFLOWS
—
Identifizieren und Beheben von Schwachstellen
SICHERE PROZESSE
—
Vertrauensfaktor für Geschäftspartner
Was sind Bestandteile eines Informationssicherheitsmanagementsystems?
Ein Informationssicherheitsmanagementsystem hat mehrere Komponenten, die gemeinsam ein robustes System ergeben. Wichtig ist, dass alle Bestandteile einem kontinuierlichen Verbesserungsprozess unterzogen werden. Nur so kann ein ISMS auch aktuelle Bedrohungen berücksichtigen. Ein gutes Management der Informationssicherheit umfasst:
Risikomanagement zur Identifizierung, Bewertung und Behandlung von Risiken
Sicherheitskontrollen zum Schließen mögl. Schwachstellen
PDCA-Zyklus (Plan-Do-Check-Act) als systematische Vorgehensweise
Anpassung an neue Bedrohungen u. Anforderungen
Dokumentation aller implementierten Richtlinien, Verfahren, Maßnahmen
Mitarbeiterschulung bzgl. Risiken
Überblick über Neuerungen in Gesetzgebung und Vorschriften, um das ISMS aktuell und regelkonform zu halten
Muss ein ISMS zertifiziert werden?
Unternehmen können eine Zertifizierung, z. B. nach ISO 27001, aber auf freiwilliger Basis durchlaufen. Beim Audit untersucht ein unabhängiger Prüfer das ISMS. In Deutschland übernehmen z. B. die DEKRA, TÜV Süd, TÜV Nord oder TÜV Rheinland die ISMS-Zertifizierung nach ISO 27001.
Worauf sollte man bei der Konzeption, Implementierung und Pflege eines ISMS achten?
Ist das Know-how intern nicht vorhanden, sollte man sich einen erfahrenen Partner für den Aufbau eines Informationssicherheitsmanagementsystems suchen.
Wichtig sind individuelle, maßgeschneiderte ISMS-Tools, die sich einfach implementieren und auch von Nichtfachleuten anwenden lassen.
Das Informationssicherheitssystem sollte man leicht an aktuelle Richtlinien, Gesetze und Vorgaben anpassen können.
Bei der Kooperation mit externen Dienstleistern sollte man Wert auf einen guten Support nach der Implementierung des ISMS legen, um Aktualität zu gewährleisten.
FAQ im Zusammenhang mit Informationssicherheit
Experten-Infos + individuelle Beratung
Bei uns finden Sie nicht nur verständlich aufbereitete Informationen zu den Themen Informationssicherheit, IT-Risikomanagement und Datenschutz, wir bieten Ihnen auch Beratung, Analyse sowie individuelle Informations- und Risiko-Managementsysteme bis zur Zertifizierung. Unsere Stärke sind einfache, schnell implementierbare kundenindividuelle ISMS-Tools. Wir beraten Sie gerne!