Wir helfen Ihnen beim Aufbau und Betrieb eines Informationssicherheits-Managementsytem (ISMS)

Trennlinie

Was ist ein Informationssicherheits-Managementsystem (ISMS)?

In der ISO 27000 wird ein ISMS wie folgt definiert:

  • Ein ISMS ist ein systematisches Modell für die Einführung, die Umsetzung, den Betrieb, die Überwachung, die Überprüfung, die Pflege und die Verbesserung der Informationssicherheit Organisation, um Geschäftsidee zu erreichen.
  • Ein Informationssicherheits-Managementsystem (ISMS) umfasst die Politik, Verfahren, Richtlinien und damit verbundene Ressourcen und Tätigkeiten, die von einer Organisation gesteuert werden, um ihre Informationswerte zu schützen.

Ein ISMS ist also ein Regelwerk, dass dazu dient, auf Basis einer Risikobetrachtung ganzheitlich und koordiniert alle Assets einer Organisation im Anwendungsbereich mit Hilfe von Informationssicherheits-Maßnahmen angemessen zu schützen.

Deming-Kreis oder PDCA-Zyklus

Damit die Informationssicherheit einer Organisation immer aktuell ist, muss der Lebenszyklus des Informationssicherheits-Managementsystems (ISMS) regelmäßig durchlaufen werden. Motor eines solch selbstregulierenden Managementsystems sind der Prozess der kontinuierlichen Verbesserung (KVP), die Behandlung von Informationssicherheitsvorfällen und der Input aus Informationssicherheits-Audits und den Management-Reviews.

Folgende vier Phasen umfasst der Lebenszyklus:

  • PLAN: Informationssicherheits-Managementsystems (ISMS) einrichten
  • DO: Informationssicherheits-Managementsystems (ISMS) implementieren und verwalten
  • CHECK: laufende Überwachung des Informationssicherheits-Managementsystems (ISMS) und Erfolgskontrolle
  • ACT: Verbesserungen in das Informationssicherheits-Managementsystems (ISMS) einarbeiten

Phasen der Einführung eines Informationssicherheits-Managementsystems (ISMS)

Unabhängig von der Anwendung einer Norm (zum Beispiel ISO/IEC 27001:2013) zur Einrichtung und des Betriebs eines Informationssicherheits-Managementsystems (ISMS), kann die Implementierung eines ISMS bis zum Betrieb in fünf verschiedene Einführungsphasen unterteilt werden:

  • Kontext der Organisation und Anwendungsbereich festlegen
  • Relevante Assets identifiziern und dokumentieren
  • Risikoanalyse durchführen
  • Maßnahmen zur Risikobehandlung festlegen und umsetzen
  • Informationssicherheits-Managementsystems (ISMS) messen, steuern und verbessern

 

 

Kritische Erfolgsfaktoren bei der Einführung eines Informationssicherheits-Managementsystems (ISMS)

Bei der Einführung eines Informationssicherheits-Managementsystems (ISMS) haben sich eine Anzahl an Faktoren als kritisch herausgestellt:

  • Das Management muss die Einführung und den Betrieb eines Informationssicherheits-Managementsystems (ISMS) unterstützen.
  • Das Top-Management muss für die Einführung und den Betrieb eines Informationssicherheits-Managementsystems (ISMS) ausreichend Ressourcen bereitstellen. Dieser Punkt ist besonders heikel, da eine Abschätzung des Gesamt-Investitionsvolumens für die Einführung und den Betrieb eines Informationssicherheits-Managementsystems (ISMS) frühestens nach der Durchführung einer Risikobetrachtung möglich ist.
  • Es muss im Management ein Verständnis vorhanden sein, welche Assets und Geschäftsprozesse geschützt werden müssen.
  • Die Informationssicherheits-Maßnahmen, die von der Organisation zur Schaffung der Informationssicherheit ausgewählt werden, müssen geeignet sein und angemessen umgesetzt werden.
  • Damir auf allen Ebenen der Organisation ein Verständnis für Informationssicherheit entsteht, müssen alle Beteiligten frühzeitig in die Planung und Umsetzung des Informationssicherheits-Managementsystems (ISMS) einbezogen werden. Eine angemessene Kommunikation ist hierzu unbedingt erforderlich.
  • Die Umsetzung der Informationssicherheit muss gemessen und überprüft werden.

Wir unterstützen Sie bei der Einführung und dem Betrieb eines Informationssicherheits-Managementsystems (ISMS) in allen Phasen

Gerne unterstützen wir Organisationen in jeder Einführungs- oder Betriebsphase eines Informationssicherheits-Managementsystems (ISMS):

  • Kontext der Organisation
  • Anwendungsbereich festlegen
  • Sicherheitsleitlinie erstellen und Ziele festlegen
  • Dokumentationsrahmenwerk erstellen
  • Pflichtdokumente erstellen
  • Assets identifizieren und dokumentieren
  • Risikomanagement
  • Informationssicherheits-Maßnahmen ermitteln, priorisieren und umsetzen
  • Erklärung zur Anwendbarkeit erstellen
  • Informationssicherheits-Managementsystems (ISMS) messen, auditieren und bewerten
  • Kontinuierlicher Verbesserungsprozess