Aufbau eines Informations­sicherheits­management­systems (ISMS) nach ISO 27001

Cyberangriffe auf Unternehmen und Organisationen sind heute an der Tagesordnung. Längst sind auch kleine und mittelständische Unternehmen in den Fokus geraten. Dabei stellen Angriffe von außen nach wie vor nur einen Teil der lauernden Risiken dar, wenn es um die VertraulichkeitIntegrität und Verfügbarkeit von Informationen geht.

Was ist ein Informations­sicherheits­management­system?

Ein Informations­sicherheits­management­system (ISMS), oder auch Information Security Management System, soll Unternehmen und Organisation dabei helfen

  • das Sicherheitsniveau zu erhöhen
  • das Risiko von Schadensfällen zu minimieren (z.B. durch Vorsatz, Unterlassung von Maßnahmen im Vorwege...)
  • die Verfügbarkeit von relevanten Informationen für Kunden, Mitarbeiter, Lieferanten und Partner zu gewährleisten

Es ist im Grunde also ein risikobasierter und prozessorientierter Ansatz mit kontinuierlicher Verbesserung des Schutzniveaus. Richtig angewandt stellt er sicher, dass Informationssicherheit nach dem Motto „so viel wie nötig, so wenig wie möglich“ implementiert und auf dem aktuellen Stand gehalten wird.

Ituso-0861-lr
Ituso (0849)-lr

Welche Ziele hat das Informations­sicherheits­management?

Oberste Ziele von Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, insbesondere auch im Not- oder Katastrophenfall.

  • Vertraulichkeit - Informationen dürfen nicht in die Hände von Unbefugten gelangen
  • Integrität - Informationen dürfen nicht verfälscht werden
  • Verfügbarkeit - Informationen müssen jederzeit abrufbar sein

Wie schnell der Notfall eintreten kann, haben kürzlich einige KMUs im Großraum Stuttgart erfahren. Sie wurden allesamt vom gleichen IT-Dienstleister betreut. Nach der Verschlüsselung aller Daten durch einen Trojaner stand leider auch keine funktionsfähige Datensicherung mehr zur Verfügung. Ein ISMS hätte zumindest die Entdeckungswahrscheinlichkeit für das vorhandene Risiko deutlich erhöht.

Sie benötigen Unterstützung oder wünschen nähere Informationen?

Dann nehmen kostenlos & unverbindlich Kontakt zu uns auf!

Was beinhaltet ein Informations­sicherheits­management­system?

Entgegen der naheliegenden Vermutung handelt es sich bei einem Informations­sicherheits­management­system nicht etwa nur um eine Computersoftware, welche von der IT-Abteilung installiert wird. An ihm hängen viele weitere Faktoren, die bei der Einführung in Ihrem Unternehmen beachtet werden müssen. Ein ISMS ist eine Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, Risiken zu ermitteln, die organisationsspezifischen Anforderungen und Schutzziele hinsichtlich Informations­sicherheit zu definieren, steuern, kontrollieren, aufrechterhalten, fortlaufend verbessern und vor allem an die Entwicklung der Organisation und deren Einflüsse von außen regelmäßig anzupassen. Im Fokus stehen zunächst:

  • Ziele für die Informationssicherheit (wie gut will ich eigentlich sein?)
  • Risiken (ausgehend von den Kernprozessen oder den Assets) meiner Organisation, deren Einstufung / Bewertung und Maßnahmen zum Umgang
  • organisatorische und technische Festlegungen
  • Maßnahmen zur Umsetzung
  • Verfahren zum Umgang mit Infromationssicherheitsereignissen und Vorfällen
  • Erfolgskontrolle
teamerfolg

Welche Vorteile hat ein ISMS nach ISO 27001?

Ein ISMS nach ISO 27001 bringt für Unternehmen eine ganze Reihe an Vorteilen und zeigt, dass es ein zuverlässiger Partner ist, der die Informationssicherheit und damit verbundene Risiken unter Kontrolle hat.

  • Ein zertifiziertes Informationsmanagementsystem nach ISO 27001 macht Sie zum bevorzugten Partner und bietet somit einen Wettbewerbsvorteil gegenüber Mitstreitern
  • Durch standardisierte und geregelte Prozesse können Compliance Anforderungen nachweislich eingehalten werden
  • Ein weiterer Vorteil ist die Verbesserung der Informationssicherheit, die durch klare Vorgaben und regelmäßige Überprüfung sowie bewussten Umgang gegeben ist

Es verschafft Ihnen also nicht nur einen entscheidenden Wettbewerbsvorteil, sondern hilft auch bei der Einführung strukturierterer Prozesse, reduziert die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen und erhöht ihr allgemeines Schutzniveau.

Durch ein aktives Risikomanagement werden u.a. Haftungsrisiken reduziert – der risikobasierte Ansatz macht es möglich, erforderliche Maßnahmen zu bewerten und bewusste Entscheidungen zu treffen.

Achtung

Auch die Cloud ist nur dann ein sicherer Hafen, wenn ein gutes Konzept für Backups und Notfälle umgesetzt und funktionsfähig ist – das hat ein kürzlicher Großbrand im größten Rechenzentrum Europas einigen Unternehmen mit teilweise existenzbedrohenden Datenverlusten vor Augen geführt.

Wozu benötigen Unternehmen ein ISMS?

Um die notwendigen Sicherheitsrichtlinien der Informationssicherheit gewährleisten und einhalten zu können, ist es von unschätzbarem Wert, ein System zum Informations­sicherheits­management zu implementieren. Es bildet den Grundpfeiler der Informationssicherheit innerhalb eines Unternehmens.

Es kann durch fortlaufende Überwachung und Prüfung systemische Schwachstellen aufdecken, bevor diese zum Risiko für Ihr Unternehmen werden. Dabei werden sowohl nationale sowie internationale Standards eingehalten – so auch die ISO 27001.

So funktioniert die ISO 27001-Zertifizierung

Mit der Einführung eines ISMS ist es wie mit einem guten Wein – es braucht eine strukturierte und sorgsame Vorgehensweise und vor allem Zeit zum Reifen.

Für die Einführung sollte man sich Zeit nehmen und vor allem – rechtzeitig anfangen, wenn ein Zertifikat zu einem bestimmten Zeitpunkt vorliegen muss. Je nach Anforderungen dauert die Einführung und Zertifizierung mindestens 12, besser 18 oder 24 Monate. Und auch das nur, wenn von der obersten Leitung der Organisation Mitarbeit und ausreichend Unterstützung in Form von Ressourcen und Budget bereitgestellt wird.

Nicht mal eben so zwischendurch gemacht

Sobald Sie ein funktionierendes Informations­sicherheits­management­system in Ihrem Unternehmen eingebaut haben, sollten Sie dies mit einer ISO 27001 Zertifizierung nach außen kommunizieren. So zeigen Sie potenziellen Partnern und Kunden öffentlichkeitswirksam, dass Sie mit sensiblen Informationen sorgsam und vertrauensvoll umgehen. Am besten können Sie diesen Nachweis erbringen, indem Sie einen ISMS-Audit durchlaufen und sich von einem unabhängigen, externen Auditor verifizieren lassen.

Ein erfahrener Berater sowie ein gutes, in der Praxis erprobtes Framework mit Dokumenten und Hilfsmitteln kann die Arbeit vereinfachen und die Anzahl der Stolpersteine bei der Zertifizierung reduzieren. Sprechen Sie mit uns. Unsere IT-Sicherheitsexperten unterstützen Sie gerne in allen Fragen zum Informations­sicherheits­management und bei der Umsetzung.

Sie benötigen Unterstützung oder wünschen nähere Informationen?

Dann nehmen kostenlos & unverbindlich Kontakt zu uns auf!

Häufige Fragen zum ISMS

An dieser Stelle möchten wir Ihnen noch die häufigsten Fragen zum ISMS beantworten. Sollten Sie darüber hinaus noch weitere Informationen benötigen oder Unterstützung bei der Umsetzung brauchen, kontaktieren Sie uns. Unsere Informationssicherheits-Spezialisten helfen Ihnen gerne.

Klaus Reinhard

zert. IT-Sicherheitsbeauftragter, zertifizierter Information Security Auditor/ Lead Auditor, zert. Datenschutzbeauftrager und /-Auditor

Ich betreue Unternehmen bundesweit bei allen Themen rund um IT- und Informationssicherheit. Mein Antrieb ist dabei, mit einen echten Wertbeitrag zum Erfolg meiner Kunden beizutragen. Ich unterstütze Unternehmen bei der Einführung eines Informationssicherheitsmanagementsystems nach ISO 27001, TISAX oder VdS10000. Ich begleite im Auditierungs- oder Zertifizierungsprozess und übernehme die Rolle des Informationssicherheitsbeauftragten temporär oder dauerhaft, ganz nach den Anforderungen meiner Kunden.

Gerne erarbeite ich auch ein auf Ihr Unternehmen zugeschnittenes Konzept und beantworte Ihre Fragen.

Klaus_Reinhard_1136_q-300x300