Aufbau eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001

Cyberangriffe auf Unternehmen und Organisationen sind heute an der Tagesordnung. Längst sind auch kleine und mittelständische Unternehmen in den Fokus geraten. Dabei stellen Angriffe von außen nach wie vor nur einen Teil der lauernden Risiken dar, wenn es um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen geht.

Wie kann sich mein Unternehmen besser schützen?
Haben Partner und Lieferanten bereits ausreichende Maßnahmen ergriffen?
Prüfen diese Regelmäßig deren Wirksamkeit?

Die Lösung: der Aufbau eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001.

Ihr Ansprechpartner

Michael Häußermann

So erreichen Sie mich:

Telefon: +49 (0)8142 4205020
E-Mail: info@ituso.de

Unverbindliches Angebot anfordern Jetzt anrufen +49 8142 4205020

Was ist ein Informationssicherheitsmanagementsystem?

Ein Informationssicherheitsmanagementsystem (ISMS), oder auch Information Security Management System, soll Unternehmen und Organisation dabei helfen

das Sicherheitsniveau zu erhöhen
das Risiko von Schadensfällen zu minimieren (z.B. durch Vorsatz, Unterlassung von Maßnahmen im Vorwege...)
die Verfügbarkeit von relevanten Informationen für Kunden, Mitarbeiter, Lieferanten und Partner zu gewährleisten

Es ist im Grunde also ein risikobasierter und prozessorientierter Ansatz mit kontinuierlicher Verbesserung des Schutzniveaus. Richtig angewandt stellt er sicher, dass Informationssicherheit nach dem Motto „so viel wie nötig, so wenig wie möglich“ implementiert und auf dem aktuellen Stand gehalten wird.

Welche Ziele hat das Informationssicherheitsmanagement?

Oberste Ziele von Informationssicherheit sind Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, insbesondere auch im Not- oder Katastrophenfall.

Vertraulichkeit - Informationen dürfen nicht in die Hände von Unbefugten gelangen
Integrität - Informationen dürfen nicht verfälscht werden
Verfügbarkeit - Informationen müssen jederzeit abrufbar sein

Wie schnell der Notfall eintreten kann, haben kürzlich einige KMUs im Großraum Stuttgart erfahren. Sie wurden allesamt vom gleichen IT-Dienstleister betreut. Nach der Verschlüsselung aller Daten durch einen Trojaner stand leider auch keine funktionsfähige Datensicherung mehr zur Verfügung. Ein ISMS hätte zumindest die Entdeckungswahrscheinlichkeit für das vorhandene Risiko deutlich erhöht.

Sie benötigen Unterstützung oder wünschen nähere Informationen?

Dann nehmen kostenlos & unverbindlich Kontakt zu uns auf!

Jetzt anrufen Angebot anfordern

Was beinhaltet ein Informationssicherheitsmanagementsystem?

Entgegen der naheliegenden Vermutung handelt es sich bei einem Informationssicherheitsmanagementsystem nicht etwa nur um eine Computersoftware, welche von der IT-Abteilung installiert wird. An ihm hängen viele weitere Faktoren, die bei der Einführung in Ihrem Unternehmen beachtet werden müssen. Ein ISMS ist eine Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, Risiken zu ermitteln, die organisationsspezifischen Anforderungen und Schutzziele hinsichtlich Informationssicherheit zu definieren, steuern, kontrollieren, aufrechterhalten, fortlaufend verbessern und vor allem an die Entwicklung der Organisation und deren Einflüsse von außen regelmäßig anzupassen. Im Fokus stehen zunächst:

Ziele für die Informationssicherheit (wie gut will ich eigentlich sein?)
Risiken (ausgehend von den Kernprozessen oder den Assets) meiner Organisation, deren Einstufung / Bewertung und Maßnahmen zum Umgang
organisatorische und technische Festlegungen
Maßnahmen zur Umsetzung
Verfahren zum Umgang mit Infromationssicherheitsereignissen und Vorfällen
Erfolgskontrolle

Welche Vorteile hat ein ISMS nach ISO 27001?

Ein ISMS nach ISO 27001 bringt für Unternehmen eine ganze Reihe an Vorteilen und zeigt, dass es ein zuverlässiger Partner ist, der die Informationssicherheit und damit verbundene Risiken unter Kontrolle hat.

Ein zertifiziertes Informationsmanagementsystem nach ISO 27001 macht Sie zum bevorzugten Partner und bietet somit einen Wettbewerbsvorteil gegenüber Mitstreitern
Durch standardisierte und geregelte Prozesse können Compliance Anforderungen nachweislich eingehalten werden
Ein weiterer Vorteil ist die Verbesserung der Informationssicherheit, die durch klare Vorgaben und regelmäßige Überprüfung sowie bewussten Umgang gegeben ist

Es verschafft Ihnen also nicht nur einen entscheidenden Wettbewerbsvorteil, sondern hilft auch bei der Einführung strukturierterer Prozesse, reduziert die Eintrittswahrscheinlichkeit von Sicherheitsvorfällen und erhöht ihr allgemeines Schutzniveau.

Durch ein aktives Risikomanagement werden u.a. Haftungsrisiken reduziert – der risikobasierte Ansatz macht es möglich, erforderliche Maßnahmen zu bewerten und bewusste Entscheidungen zu treffen.

Achtung!

Auch die Cloud ist nur dann ein sicherer Hafen, wenn ein gutes Konzept für Backups und Notfälle umgesetzt und funktionsfähig ist – das hat ein kürzlicher Großbrand im größten Rechenzentrum Europas einigen Unternehmen mit teilweise existenzbedrohenden Datenverlusten vor Augen geführt.

Sie benötigen Unterstützung oder wünschen nähere Informationen?

Dann nehmen kostenlos & unverbindlich Kontakt zu uns auf!

Jetzt anrufen Angebot anfordern

Wozu benötigen Unternehmen ein ISMS?

Um die notwendigen Sicherheitsrichtlinien der Informationssicherheit gewährleisten und einhalten zu können, ist es von unschätzbarem Wert, ein System zum Informationssicherheitsmanagement zu implementieren. Es bildet den Grundpfeiler der Informationssicherheit innerhalb eines Unternehmens.

Es kann durch fortlaufende Überwachung und Prüfung systemische Schwachstellen aufdecken, bevor diese zum Risiko für Ihr Unternehmen werden. Dabei werden sowohl nationale sowie internationale Standards eingehalten – so auch die ISO 27001.

Wie steht es um die Informationssicherheit bei meinen Lieferanten?

Eine Möglichkeit der Überprüfung sind regelmäßige Audits bei Lieferanten. Doch das ist aufwändig und man benötigt eine entsprechende Expertise. Insbesondere bei Lieferanten, die deutlich größer sind als die eigene Organisation, ist die Durchführung und Einhaltung der Sicherheitsanforderungen nahezu unmöglich.

Großunternehmen und Behörden sichern sich ab, indem sie Ihre Lieferanten in die Pflicht nehmen. In der Vergangenheit waren das oft Fragebögen mit hunderten von Fragen oder eben Lieferantenaudits. Beides hat auf der Lieferantenseite zu erheblichen Aufwänden geführt.

Kein Sicherheitsmanagement – keine Zusammenarbeit

Mittlerweile sichern sich immer mehr Unternehmen bereits vor der Auftragsvergabe ab. Standards dienen dabei als gute Orientierungshilfen. Wer als Lieferant keine ISO-27001-Zertifizierung, ein TISAX-Label (eine Entwicklung des Verbandes der Automobilindustrie auf Basis ISO 27001) oder eine Zertifizierung nach IT-Grundschutz vorweisen kann, braucht gar nicht erst ein Angebot abzugeben und landet auf der Liste der gesperrten Lieferanten.

Die Lösung: ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001

Ein zertifiziertes Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 kann damit mehr und mehr zum Wettbewerbsvorteil oder sogar zur Voraussetzung werden, um mit dem einen oder anderen Kunden überhaupt Geschäfte machen zu können.

Wird ein TISAX-Label gefordert, ist mit einem bestehenden ISO 27001-Zertifikat der Weg zum Label längst nicht mehr so weit, als wenn man nichts vorweisen kann. Und manch ein Automobilunternehmen beispielsweise ist damit auch bis auf Weiteres zufriedenzustellen.

Sie benötigen Unterstützung oder wünschen nähere Informationen?

Dann nehmen kostenlos & unverbindlich Kontakt zu uns auf!

Jetzt anrufen +49 8142 4205020 Unverbindliches Angebot anfordern

So funktioniert die ISO 27001-Zertifizierung

Mit der Einführung eines ISMS ist es wie mit einem guten Wein – es braucht eine strukturierte und sorgsame Vorgehensweise und vor allem Zeit zum Reifen.

Für die Einführung sollte man sich Zeit nehmen und vor allem – rechtzeitig anfangen, wenn ein Zertifikat zu einem bestimmten Zeitpunkt vorliegen muss. Je nach Anforderungen dauert die Einführung und Zertifizierung mindestens 12, besser 18 oder 24 Monate. Und auch das nur, wenn von der obersten Leitung der Organisation Mitarbeit und ausreichend Unterstützung in Form von Ressourcen und Budget bereitgestellt wird.

Nicht mal eben so zwischendurch gemacht

Sobald Sie ein funktionierendes Informationssicherheitsmanagementsystem in Ihrem Unternehmen eingebaut haben, sollten Sie dies mit einer ISO 27001 Zertifizierung nach außen kommunizieren. So zeigen Sie potenziellen Partnern und Kunden öffentlichkeitswirksam, dass Sie mit sensiblen Informationen sorgsam und vertrauensvoll umgehen. Am besten können Sie diesen Nachweis erbringen, indem Sie einen ISMS-Audit durchlaufen und sich von einem unabhängigen, externen Auditor verifizieren lassen.

Ein erfahrener Berater sowie ein gutes, in der Praxis erprobtes Framework mit Dokumenten und Hilfsmitteln kann die Arbeit vereinfachen und die Anzahl der Stolpersteine bei der Zertifizierung reduzieren. Sprechen Sie mit uns. Unsere IT-Sicherheitsexperten unterstützen Sie gerne in allen Fragen zum Informationssicherheitsmanagement und bei der Umsetzung.

Häufige Fragen zum ISMS

An dieser Stelle möchten wir Ihnen noch die häufigsten Fragen zum ISMS beantworten. Sollten Sie darüber hinaus noch weitere Informationen benötigen oder Unterstützung bei der Umsetzung brauchen, kontaktieren Sie uns. Unsere Informationssicherheits-Spezialisten helfen Ihnen gerne.

IT-Sicherheitsbeauftrager und Informationssicherheitsbeauftragter – der Unterschied

Ein markanter Unterschied des Informationssicherheitsbeauftragten zum IT-Sicherheitsbeauftragten liegt in seinem Zuständigkeitsbereich.

Der IT-Sicherheitsbeauftragte (IT-Security-Consultant) entlastet die Unternehmensleitung bei der Wahrnehmung ihrer Aufgaben bezüglich der IT Sicherheit. Er berät sie und unterstützt bei der Umsetzung. Sein Augenmerk richtet sich eher auf IT-Systeme. Er soll das Schadensrisiko innerhalb der IT durch das Treffen entsprechender Vorkehrungen im Unternehmen senken und dazu beitragen, dass sich die IT Sicherheit auf einem hohem Niveau bewegt.

Gehört eine Organisation zu den kritischen Infrastrukturen, fordert die KRITIS-Verordnung, dass ein Informationssicherheitsbeauftragter (ISB) benannt und ein Informationssicherheitsmanagementsystem (ISMS) eingeführt werden muss. Dies kann auf Basis der ISO 27001 oder einem Branchenstandard sein. Ein Nachweis der Wirksamkeit ist zu erbringen, in der Regel in Form einer Zertifizierung.

Der Informationssicherheitsbeauftragte ist zuständig für alle Belange der Informationssicherheit innerhalb einer Organisation bzw. eines festgelegten Geltungsbereiches. Er unterstützt die Leitungsebene bei deren Aufgaben bezüglich der Informationssicherheit.

Welche Aufgaben hat ein Informationssicherheitsbeauftragter?

Der Informationssicherheitsbeauftragte unterstützt die Leitungsebene bei deren Aufgaben bezüglich der Informationssicherheit. Zu seinen Hauptaufgaben zählen:

das Einführen und Erhalten eines ISMS gemäß der Sicherheitsstrategie der Geschäftsführung,
die Erstellung von Sicherheitsdokumentationen und Richtlinien,
das Spezifizieren von Sicherheitsanforderungen an IT-Systeme,
die Beratung und Begleitung interner Projekte zu Sicherheitsfragen,
die Sensibilisierung und Schulung von Mitarbeitern und Externen hinsichtlich Sicherheitsfragen,
die Kontrolle und Aufrechterhaltung eines geeigneten Sicherheitsniveaus,
die Überwachung der Zielerreichung der Sicherheitsziele,
die Feststellung, Beurteilung, Koordination, Dokumentation und Auswertung von Sicherheitsvorfällen nach Art, Umfang und Auswirkung,
die Erstellung von Lageberichten zur Informationssicherheit,
die Erstellung, Pflege und Weiterentwicklung einer Schwachstellenübersicht inkl. Verbesserungsmaßnahmen,
das Veranstalten und Teilnehmen an regelmäßigen Reviews.

Wie wichtig ist der Datenschutz in der Informationssicherheit?

Datenschutz und Informationssicherheit werden häufig in einem Atemzug genannt, letztlich stellt der Datenschutz eine Untermenge der Informationssicherheit dar, da auch Compliance – die Einhaltung von Gesetzen, regulatorischen Anforderungen, usw. bei der Informationssicherheit berücksichtigt werden muss.

Der Datenschutz soll dafür sorgen, dass personenbezogene Daten nicht missbräuchlich verarbeitet werden. Im Grunde soll er die informationelle Selbstbestimmung und den Schutz der Privatsphäre jedes Einzelnen gewährleisten. Die Erhebung, Weiterverarbeitung und Nutzung personenbezogener Daten sind grundsätzlich nicht erlaubt, es sei denn es liegen gesetzliche Gründe oder eine Einwilligung vor. Die rechtlichen Grundlagen und Sicherheitsrichtlinien schaffen die Datenschutzgrundverordnung (DSGVO) sowie das Bundesdatenschutzgesetz (BDSG).

Demgegenüber geht es bei der Informationssicherheit um die technischen und organisatorischen Maßnahmen (TOMs) einer Organisation, welche auf Sicherheit jeglicher Art von Informationen abzielt. Genauer gesagt, um die Vertraulichkeit, Verfügbarkeit und Integrität dieser Informationen. Ein Informationssicherheitssystem soll also unberechtigte Zugriffe und Manipulationen und folglich auch wirtschaftliche Schäden verhindern.

Datenschutz und Informationssicherheit sind eng miteinander verbunden. Im Kern liegt der Unterschied darin, dass ersterer durch strenge gesetzliche Vorgaben geregelt wird, während zweitere gewisse Freiheiten bietet, wenn es um die Ansätze, Konzepte und die konkrete Umsetzung zur Erfüllung der definierten Sicherheitsziele geht. Einerseits sind Unternehmen dazu verpflichtet, sich an die gesetzlichen Vorgaben zum Datenschutz zu halten und auf der anderen Seite sollten Unternehmen auch im eigenen Interesse mit sensiblen Daten vertraulich und sicher umzugehen.

Welche Standards gibt es bei der Umsetzung eines ISMS?

Das Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12) ist ein Modell zur Einführung eines Informationssicherheitsmanagementsystems. Es wurde speziell für den Einsatz in Kommunen und KMU entwickelt. ISIS12 beinhaltet konkrete Maßnahmen zur systematischen und kontinuierlichen Erhöhung der Informationssicherheit. ISIS12 ist eine unabhängig zertifizierbare Einstiegsstufe in ein ISMS. Die Kompatibilität zur ISO/IEC 27001 und IT-Grundschutz ermöglicht einen späteren Umstieg auf ein umfangreicher zertifiziertes ISMS, z. B. ISO/IEC 27001 auf Basis IT-Grundschutz.

ISO 27001
Der wohl bekannteste ist die international gültige Norm ISO 27001. Diese verfolgt einen generischen prozessorientierten Ansatz und eignet sich somit für jede Branche und Organisationsgröße. Oberstes Ziel ist der Betrieb eines wirksamen und sich ständig verbessernden Informationssicherheitsmanagementsystems und erlaubt einige Freiheitsgrade in der Umsetzung. Auch hier besteht später die Weiterentwicklung in Richtung IT-Grundschutz oder TISAX.

TISAX
TISAX ist ein Standard, der sich gezielt an die Automobilbranche richtet. Dieser Standard wurde vom Verband der Automobilindustrie auf Basis der ISO 27001 entwickelt mit dem Ziel, die Freiheitsgrade der nativen ISO 27001 zu reduzieren und durch vorgegebene Leitplanken eine Vergleichbarkeit zu ermöglichen. Auf einer Plattform der ENX ist für alle registrierten Mitglieder einsehbar, wer in welcher Thematik vertrauenswürdiger Partner ist. Im Fokus von TISAX stehen insbesondere Lieferanten oder Partner wie z.B. .richtet sich konkret an die Automobilbranche – insbesondere an Lieferanten oder Partner wie z.B. Hersteller von Teilen und Komponenten, Spediteure, Datenverarbeiter,, SaaS-Anbieter, aber auch Werbeagenturen und Beratungsunternehmen.

Einer der strengsten Standards in Deutschland ist der IT-Grundschutz auf Basis der ISO 27001. Das Bundesamt für Informationssicherheit hat hier im Rahmen des IT-Grundschutzkompendiums konkrete detaillierte technische und organisatorische Anforderungen für IT-Infrastrukturen entwickelt. Die Umsetzung des IT Grundschutzes auf Basis der ISO 27001 ist deutlich aufwendiger als eine Umsetzung der nativen ISO 27001, kann aber durchaus ein sinnvoller Weg sein.

Die Wahl des richtigen Standards hängt folglich von den Zielen und Anforderungen der eigenen Organisation, deren Kunden, Lieferanten und Partnern und von gesetzlichen und regulatorischen Anforderungen ab.

Benötigt mein Unternehmen einen Informationssicherheitsbeauftragten?

Grundsätzlich sind Organisationen nicht dazu verpflichtet, einen Informationssicherheitsbeauftragten (ISB) zu benennen. Gehört Ihre Organisation zu den kritischen Infrastrukturen (KRITIS) bzw. gibt es andere bestehende gesetzliche oder regulatorische Anforderungen (wie z.B. der BNetzA), ist eine Benennung obligatorisch.

Jedoch sprechen auch viele Gründe für eine freiwillige Bestellung eines externen ISB.

Die wenigsten Organisationen sind heute in der Lage, ohne Informationen (unabhängig ob auf Papier, in Bild und Ton oder in Form von Daten) ihren Geschäftszweck zu erfüllen. Informationssicherheit bildet in vielen Fällen, insbesondere jedoch in stark IT-abhängigen Branchen die Grundlage für eine geschäftliche Zusammenarbeit. Auftraggeber möchten sichergehen, dass ihre Partner angemessen Maßnahmen ergriffen haben, um z.B. die Lieferfähigkeit zu garantieren, den Schutz unternehmenskritischer Daten zu gewährleisten oder – bei stark technisch vernetzten und voneinander abhängigen Strukturen – Risiken (z.B. hinsichtlich Betriebssicherheit oder durch Schadsoftware) zu minimieren.

Planen Sie ein Informationssicherheitsmanagement-System (ISMS) zu etablieren, sollten Sie möglichst schon zu Beginn einen Informationssicherheitsbeauftragten benennen.

Michael Häußermann
Lead-Auditor ISO/IEC 27001; Consultant für ISO 27001, VdS10000 und TISAX; zert. Datenschutzbeauftrager und /-Auditor

Ich betreue Unternehmen bundesweit bei allen Themen rund um IT- und Informationssicherheit. Mein Antrieb ist dabei, mit einen echten Wertbeitrag zum Erfolg meiner Kunden beizutragen. Ich unterstütze Unternehmen bei der Einführung eines Informationssicherheitsmanagementsystems nach ISO 27001, TISAX oder VdS10000. Ich begleite im Auditierungs- oder Zertifizierungsprozess und übernehme die Rolle des Informationssicherheitsbeauftragten temporär oder dauerhaft, ganz nach den Anforderungen meiner Kunden.

Gerne erarbeite ich auch ein auf Ihr Unternehmen zugeschnittenes Konzept und beantworte Ihre Fragen.

Kontaktieren Sie mich >>>

So erreichen Sie mich:

Telefon: +49 (0)8142 4205020
E-Mail: info@ituso.de

Sie haben weitere Fragen zum Aufbau eines ISMS oder anderer Themen zur IT-Sicherheit? Wir helfen gern!

Kontaktformular

Firma*
Name*
Vorname Nachname
Ihre E-Mail-Adresse*
Betreff
Ihre Nachricht
Hinweis auf Datenspeicherung*
- Hiermit bestätige ich die Datenschutzerklärung auf dieser Internetseite.
Comments
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

ituso GmbH

Fraunhoferstraße 9
85221 Dachau
Tel: +49 8142 42050 20
E-Mail: info@ituso.de

Aufbau eines Informations­sicherheits­management­systems (ISMS) nach ISO 27001

Michael Häußermann

Was ist ein Informations­sicherheits­management­system?

Welche Ziele hat das Informations­sicherheits­management?

Was beinhaltet ein Informations­sicherheits­management­system?

Welche Vorteile hat ein ISMS nach ISO 27001?

Wozu benötigen Unternehmen ein ISMS?

Wie steht es um die Informations­sicherheit bei meinen Lieferanten?

Kein Sicherheitsmanagement – keine Zusammenarbeit

Die Lösung: ein Informations­sicherheits­management­system (ISMS) nach ISO 27001

So funktioniert die ISO 27001-Zertifizierung

Nicht mal eben so zwischendurch gemacht

Häufige Fragen zum ISMS

IT-Sicherheitsbeauftrager und Informationssicherheitsbeauftragter – der Unterschied

Welche Aufgaben hat ein Informationssicherheitsbeauftragter?

Wie wichtig ist der Datenschutz in der Informationssicherheit?

Welche Standards gibt es bei der Umsetzung eines ISMS?

Benötigt mein Unternehmen einen Informationssicherheitsbeauftragten?

Michael Häußermann Lead-Auditor ISO/IEC 27001; Consultant für ISO 27001, VdS10000 und TISAX; zert. Datenschutzbeauftrager und /-Auditor

So erreichen Sie mich:

Sie haben weitere Fragen zum Aufbau eines ISMS oder anderer Themen zur IT-Sicherheit? Wir helfen gern!

Kontaktformular

Aufbau eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001

Was ist ein Informationssicherheitsmanagementsystem?

Welche Ziele hat das Informationssicherheitsmanagement?

Was beinhaltet ein Informationssicherheitsmanagementsystem?

Wie steht es um die Informationssicherheit bei meinen Lieferanten?

Die Lösung: ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001

Michael Häußermann
Lead-Auditor ISO/IEC 27001; Consultant für ISO 27001, VdS10000 und TISAX; zert. Datenschutzbeauftrager und /-Auditor