Das ISMS –
Informationssicherheitsmanagementsystem
Was ist ein ISMS?
„ISMS“ steht für „Information Security Management System“. Es handelt sich dabei um einen Rahmen, der entwickelt wurde, um die Informationssicherheit innerhalb einer Organisation systematisch und integriert zu verwalten. Der ISMS-Ansatz beinhaltet die Identifikation von Bedrohungen und Risiken für die Informationssicherheit sowie die Umsetzung von Maßnahmen zur Minimierung dieser Risiken. Die Konzeption und Umsetzung eines ISMS wird oft anhand internationaler Normen wie ISO 27001 gesteuert.
Ziele des ISMS sind unter anderem die Wahrung der Integrität, Verfügbarkeit und Vertraulichkeit von Informationen, die Förderung des Vertrauens in die Informationssysteme und die Unterstützung von Geschäftsprozessen. Die Implementierung eines ISMS erfordert eine laufende Überwachung und Überprüfung, um einerseits sicherzustellen, dass die Informationssicherheit aufrechterhalten wird und andererseits zu gewährleisten, dass das System den Bedürfnissen der Organisation weiterhin entspricht.
Welche Rolle spielt ein ISB beim ISMS?
Komplexe und abteilungsübergreifende Prozesse wie Informationssicherheit sind am besten gewährleistet, wenn Rollen spezifisch verteilt und mit den notwendigen Ressourcen ausgestattet werden. Ein Informationssicherheitsbeauftragter, kurz ISB, betreut das ISMS und gilt in der Firma als Ansprechperson für alle Fragen und Belange rund um Informationssicherheit.
Nicht alle Betriebe sind verpflichtet einen ISB zu bestellen, lediglich für die Betreiber:innen gesetzlicher Infrastruktur gibt es eine gesetzliche Verpflichtung und eine Berichtspflicht. Aber auch alle anderen können von der Bestellung eines ISB profitieren, da Prozesse und Abläufe mit einer dezidierten Person besser durchgesetzt werden können.
Gerade für kleinere Betriebe lohnt sich die Bestellung eines externen ISB: er gewährleistet Informationssicherheit ohne eigene Vollzeitressourcen zu binden.
Rechtliche Grundlagen und Zertifizierungen des ISMS
Wie soll ein ISMS aussehen? Informationssicherheit soll die Vertraulichkeit, Verfügbarkeit und Integrität sämtlicher Informationen feststellen. Alle dafür notwendigen Maßnahmen sind in Standards wie der ISO/IEC 27001, oder dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickeltem IT-Grundschutz festgehalten. Dazu kommen noch branchenspezifische Standards wie TISAX®. TISAX geht detaillierter auf die spezifischen Anforderungen der Automobilindustrie ein und hat zusätzliche Richtlinien für Prototypenschutz und Datenschutz.
Genügt das ISMS den Anforderungen von ISO 27001 oder TISAX wird nach einem ausführlichen Audit ein Zertifikat ausgestellt. Das schafft nicht nur Vertrauen bei Partner:innen und Kund:innen, sondern wird im Falle von TISAX von OEMs für die Zusammenarbeit gefordert.
Wie baue ich ein ISMS auf?
Eine Zertifizierung nach ISO 27001 ist nur für die Betreiber von kritischer Infrastruktur verpflichtend. Für alle anderen bietet die Norm ein gutes Rahmenwerk für den Aufbau eines ISMS. Grundsätzlich geht es darum, Informationssicherheit in allen Abläufen und Prozessen im ganzen Unternehmen zu etablieren, überprüfen und zu verbessern. Ein entscheidender Punkt ist auch die Risikoprävention: Wo liegen Schwachstellen? Wie können Risiken vermieden werden? Welche Maßnahmen sind nötig und tauglich? Auch die Dokumentation aller Prozesse ist Teil des Vorgangs.
Wie bereits erwähnt, empfehlen wir immer eine klare Rollenverteilung und Verantwortlichkeit in Person eines ISB beim Aufbau eines Informationssicherheitssystems. Falls du mit deinem Unternehmen auf der Suche nach Unterstützung beim Aufbau deines ISMS bist, kannst du uns als Berater für ISO 27001 oder TISAX anfragen, oder uns als externe ISB bestellen.
Was ist der Unterschied zwischen Informationssicherheit und IT-Sicherheit?
Auf den ersten Blick könnte vermutet werden, dass Informationssicherheit und IT-Sicherheit synonym verwendet werden können. Doch tatsächlich gibt es einen wichtigen Unterschied: IT-Sicherheit bezieht sich nur auf technische Systeme, Informationssicherheit wirkt sich hingegen auf Prozesse und Abläufe im ganzen Unternehmen aus und umfasst somit auch analoge Vorgänge wie Papierakten.
Zurück zur Übersicht