Unkategorisiert

ENTWURF: Warum jedes Unternehmen ein ISMS benötigt und was genau das überhaupt ist

Veröffentlicht am

Ohne ISMS geht in modernen Unternehmen im Grunde genommen gar nichts mehr. Doch was genau ist das ISMS überhaupt, wofür steht die Abkürzung und wie schwierig ist es, ein ISMS im eigenen Unternehmen zu realisieren?

Fragen über Fragen, die auch uns immer wieder gestellt werden. Daher dachten wir uns, wir schreiben heute einfach mal einen Blogartikel über das Thema und klären alle offenen Fragen zum ISMS restlos auf. Los gehts!

Was ist ein ISMS?

Zunächst einmal steht die Abkürzung ISMS für Information Security Management System. Das wiederum meint ein System für das Informationssicherheitsmanagement, wie es auf Deutsch heißt. In der Praxis ist jedoch stets der englische Begriff in Nutzung und auch bei der Abkürzung ISMS sollte jeder Sicherheitsexperte sofort wissen, um was es sich dabei handelt.

Das Information Security Management System setzt im Grunde genommen bestimmte Regeln fest, definiert Prozesse sowie Tools und Methoden, mit denen im Bereich der Informationssicherheit dann vorgegangen wird. Das ISMS stellt also sicher, dass die Umgebungen bestmöglich geschützt sind und es gewährleistet darüber hinaus einen klaren Sicherheits- und Regelsatz für diesen Schutz.

Noch einmal ganz einfach ausgedrückt: Das ISMS, also das Information Security Management System, regelt den Ablauf und die Umstände, die notwendig sind, um die Sicherheit im gesamten Unternehmen zu gewährleisten und zu bewältigen. Angefangen von Reaktionsplänen hin zu dauerhaften Maßnahmen, die Sicherheitsstandards abteilungsübergreifend einsetzen und kontrollieren.

Wofür wird das ISMS benötigt?

Informationssicherheit ist immer dort wichtig, wo sie gleichzeitig sehr komplex und vielschichtig in Erscheinung tritt. Ob Start-up, mittelständisches Unternehmen oder Großkonzern, die Informationssicherheit bleibt jederzeit ein hochkomplexes Thema. Sie umfasst alles, was die Informationswerte des Unternehmens bedroht. Und genau deshalb wird auch ein ISMS benötigt, um der Aufgabe Herr zu werden.

Denn ohne das Information Security Management System ist es in diesem Umfang kaum möglich, gemeinsam und abteilungsübergreifend zu arbeiten. Das ISMS ist demnach ein ganzheitlicher, präventiver Ansatz, der sicherstellt, dass wirklich überall die entsprechenden Sicherheitsstandards erfüllt werden, sodass eine hohe Informationssicherheit garantiert werden kann.

Das ISM schützt also sensible Informationen und setzt unter Umständen die strengen Compliance-Anforderungen um. Außerdem sorgt es dafür, dass Sie im Unternehmen eine Art Zertifizierung erhalten und anderen Partner nachweisen können, dass die Informationssicherheit durchgehend gewährleistet wird. Zudem trägt das ISMS dazu bei, dass Sicherheitsmaßnahmen beständig weiterentwickelt und durchdacht ergänzt werden, wann immer dies durch neue Bereiche oder Tools notwendig wird.

Welche Rolle spielt das ISMS in Unternehmen?

Die ISMS betrifft alles, was die Informationswerte des jeweiligen Unternehmens gefährden könnte. Das ist auch deshalb wichtig geworden, weil das IT-Sicherheitsgesetz (IT-SiG), genau wie auch die Datenschutz-Grundverordnung (DSGVO) voraussetzen, dass Maßnahmen zum Schutz sensibler Daten eingeleitet werden.

Bevor ein falscher Eindruck entsteht. Das ISMS ist deshalb noch lange kein DSMS (Datenschutzmanagementsystem). Es schützt zwar Informationen, ist aber nicht zwangsläufig auch DSGVO-konform. Allerdings dockt das Datenschutzmanagementsystem meist an das Informationssicherheitsmanagementsystem an oder arbeitet gewisser Weise Hand in Hand mit selbigen.

Im Unternehmen soll es also in erster Linie die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen sicherstellen. Es ist eine Art von Kontrollinstanz, die diese Punkte garantiert. Deshalb wird bezüglich des ISMS auch ein Verantwortlicher festgelegt.

Braucht das ISMS einen IT-Sicherheitsbeauftragten?

Es gehört zum Aufgabenbereich des ISMS einen entsprechenden IT-Sicherheitsbeauftragten festzulegen. Dieser sorgt dafür, dass alles den gesetzten Standards und Verlautbarungen entspricht. Als IT-Sicherheitsbeauftragter ist er vollends in den ISMS-Prozess integriert.

Im Unternehmen wird der IT-Sicherheitsbeauftragte dann eine tragende Rolle spielen. Etwa, wenn es um die Anschaffung neuer IT-Komponenten geht oder um verwendete Tools. Gemeinsam mit den IT-Verantwortlichen wird er festlegen, worauf dabei zu achten ist und was infrage oder eben nicht infrage kommt. Für die Umsetzung aller Aufgaben wird ihm ein eigenes Budget zugewiesen.

Seine Funktion macht ihn gleichzeitig zum einzigen und wichtigsten Ansprechpartner im Unternehmen, bezüglich der IT-Sicherheit. Deshalb wird der IT-Sicherheitsbeauftragte auch nicht einfach mal so nebenbei ernannt, sondern vom Vorstand oder der Unternehmensleitung entsprechend berufen.

Wie wird das ISMS im Unternehmen umgesetzt?

Was in der Theorie oft einfach klingt, wird in der Realität schnell zum Problem. Das trifft auch beim Information Security Management System zu. Gerade der erste Schritt, nämlich festzulegen, wer die Leitung des ISMS übernimmt und welche Werte und Informationen geschützt werden sollen, ist dabei oft herausfordernd. Gleichzeitig müssen die Grenzen des ISMS von Anfang an klar definiert sein.

Um ein Information Security Management System umzusetzen, muss zudem bereits ein tiefgreifendes und umfassendes Verständnis bezüglich der bestehenden gesetzlichen Anforderungen vorhanden sein. Das hängt stark von der jeweiligen Branche ab und ist in manchen Bereichen, wie der kritischen Infrastruktur (KRITIS), besonders hervorzuheben.

Ist der Leistungsumfang festgelegt worden und eine Leitung vorhanden, wird ermittelt, welche Assets genau geschützt werden. Was schützenswert ist, wird dabei als Teil einer Risikobewertung offengelegt. Ist dies soweit klar, werden technische und praktische Maßnahmen für den Schutz eingeleitet. Diese werden anschließend getestet, überprüft und dann dauerhaft überwacht. Nur so kann die Informationssicherheit garantiert werden.

Wir helfen Ihnen bei der Umsetzung eines ISMS

Wir sind als AWARE7 GmbH mit allen Mitarbeitern, Geschäftsräumen, Prozessen, Produkten und Assets nach der ISO 27001 zertifiziert. Als eines der wenigen Unternehmen weltweit können wir sie daher bei der Umsetzung aller Anforderungen aus der ISO 27001 unterstützen. Falls Sie also langfristig die ISO 27001 Zertifizierung anstreben, sind wir genau der richtige Ansprechpartner für Sie.

Dabei übernehmen wir den Auf- und Ausbau Ihres ISMS und stehen Ihnen mit Rat und Tat zur Seite. Egal, ob grundsätzliche Realisierung oder die Einrichtung des Asset-Managements, wir helfen Ihnen dabei, das ISMS schnellstmöglich und bestmöglich umzusetzen.

Falls Sie sich bezüglich der Informationssicherheit noch nicht ganz so gut auskennen, führen wir auch gerne Workshops durch, geben praktische Vorschläge und erarbeiten gemeinsam mit Ihnen entsprechende Leit- und Richtlinien. Wir freuen uns auf Ihre Kontaktaufnahme.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.