Was ist ein Informationssicherheitsmanagementsystem?

Mit einem Informationssicherheitsmanagementsystem (ISMS) stellen Organisationen und Unternehmen sicher, dass sie die Anforderungen des Datenschutzes und der IT-Sicherheit systematisch erfüllen. Das bekannteste ist ISO 27001. Viele Sicherheitsstandards wie beispielsweise der BSI-Standard sind mit ISO 27001 kompatibel. Ein Informationssicherheitsmanagementsystem nach ISO 27001 folgt dem gleichen Aufbau wie beispielsweise ein Qualitätsmanagementsystem nach ISO 9001. Damit ist es möglich, beide Managementsysteme in Form eines integrierten Managementsystems zu verbinden. In diesem Artikel lernen Sie die Vorteile und die Struktur eines Informationssicherheitsmanagementsystems (ISMS) kennen.

Struktur und Aufbau eines Informationssicherheitsmanagementsystems

Ein Informationssicherheitsmanagementsystem folgt dem Grundsatz: Datenschutz und IT-Sicherheit dürfen kein Zufall sein. Mit einem ISMS

  • managen Organisationen ihre Anforderungen an Informationssicherheit, setzen sich Informationssicherheitsziele,
  • arbeiten Sicherheitsrichtlinien für Informationssicherheit aus,
  • erlassen Arbeitsanweisungen,
  • setzen diese in die Praxis um und kontrollieren ob sie ihre Ziele erreichen.

Dabei folgen sie einer Logik, der auch das Qualitätsmanagement nach ISO 9001 folgt: Plan, Do, Check, Act. Planen, Handeln, Überprüfen und Verbessern.

Die Grafik zeigt die grundlegende Logik eines Qualitätsmanagementsystems, den PDCA-Zyklus

Plan: Das Informationssicherheitsmanagementsystem entwickeln

Ziele für Informationssicherheit werden definiert, konkrete Maßnahmen beschlossen, Abläufe und Konzepte für den Umgang mit Sicherheitsmängeln entwickelt, Arbeitsanweisungen erlassen und ein Informationssicherheitsprozess entwickelt. Alles wird nach den Richtlinien von ISO 27001 dokumentiert. (Lesen Sie dazu den Artikel: Was ist Dokumentenlenkung?)

Do: Setzen Sie Informationssicherheit in der Praxis um

Das beste Managementsystem nutzt wenig, wenn es als Papiertiger endet. ISO 27001 regelt, durch welche Maßnahmen Sicherheitskonzepte und Anweisungen in der Praxis umgesetzt werden. Die Umsetzung ist für viele Organisationen der schwierigste Teil: Es ist einfach, ein System theoretisch zu entwickeln. Aber deutlich schwieriger, es umzusetzen.

Check: Überprüfen Sie, ob Sie Ihre Sicherheitsziele erreichen

Die regelmäßige Überprüfung durch Risikoanalysen, interne Audits und Managementbewertungen ist ein fundamentaler Bestandteil eines Informationssicherheitsmanagementsystems. Es geht darum, Maßnahmen nicht nur effektiv umzusetzen, sondern immer wieder zu kontrollieren, ob mit diesen die Ziele erreicht werden.

Act: Informationssicherheit ständig verbessern

Jeder aufgedeckte Sicherheitsmangel ist im Prinzip ein Gewinn für die Organisation. Besser man spürt ihn selbst auf, als wenn es Fremde (z.B. Cyberkriminelle) tun. Ein wesentlicher Teil eines Informationssicherheitsmanagementsystems ist deshalb der Umgang mit Korrekturmaßnahmen und die ständige Verbesserung.

ISO 27001 schreibt vor, welche Maßnahmen Unternehmen und Organisationen im Rahmen eines Informationssicherheitsmanagementsystems umsetzen müssen. Dieser Maßnahmenkatalog ist jedoch nicht abschließend.

Organisationen, die sich beispielsweise am BSI-Standard orientieren, können andere Maßnahmen umsetzen als solche, die sich strikt an ISO 27001 halten. In einem Informationssicherheitsmanagementsystem werden für jedes Unternehmen individuelle Maßnahmen erarbeitet und umgesetzt.

Diese Maßnahmen werden bei Veränderungen (beispielsweise bei neuen Geschäftsprozessen und Abläufen) immer wieder überprüft und angepasst.