Einführung eines Informations­sicherheits­management­systems

ISMS-Lösungen als Schlüssel zum Zertifizierungserfolg

| Autor / Redakteur: Sebastian Dännart und Dennis Füller. / Peter Schmitz

Behörden wie Unternehmen aller Größenordnungen können vom Einsatz einer ISMS-Lösung profitieren.
Behörden wie Unternehmen aller Größenordnungen können vom Einsatz einer ISMS-Lösung profitieren. (Bild: gemeinfrei / Pixabay)

Keine Organisation kann es sich heute noch leisten, den Schutz ihrer digitalen Werte und der IT-Infrastruktur zu vernachlässigen. Aber: Ein Informations­sicherheits­management­system (ISMS) zu implementieren, ist aufwändig. Unternehmen können aber mit dem nötigen Know-how bei der Einführung eines ISMS Zeit, Kosten und Nerven sparen.

Ob BSI IT-Grundschutz oder DIN ISO 27001: Die Einführung eines Informations­sicherheits­management­systems (ISMS) nach nationalen bzw. internationalen Standards ist eine komplexe juristische, technische sowie dokumentarische Aufgabe. Je nach Branche und Organisation sind beim IT-Grundschutz (BSI-Standards 200-1 bis 200-3 sowie 100-4) 500 bis 800 Anforderungen oder mehr zu prüfen und bei mangelhaften Umsetzungen Schwachstellen durch zusätzliche Maßnahmen zu beseitigen. Bei der DIN ISO/IEC 27001 sind es zwar nur knapp über 100 Prüfaspekte in 14 Kategorien. Je nach Größe und gewählter Methodik können Einführung und Zertifizierung bis zu zwei oder drei Jahre dauern. Wer hier nicht systematisch vorgeht, riskiert, mögliche Schwachstellen zu übersehen. Das birgt nicht nur Risiken für den Prüfungs- beziehungsweise Zertifizierungserfolg, sondern kann auch gravierende Auswirkungen bis hin zum Betriebsausfall haben.

Gezielter Nachweise im Falle von Branchen-Audits

Die Dokumentation des ISMS – also der Verfahren und Regeln, die dazu dienen, innerhalb einer Organisation die Anforderungen an Informationssicherheit nachweisbar festzulegen, und ihre Umsetzung zu überprüfen, steuern, aufrechtzuerhalten und kontinuierlich zu verbessern, – ist bei seiner Einführung das A und O. Prinzipiell lässt sich das mit jedem Office-Programm realisieren, doch die Komplexität der Zusammenhänge kann die beauftragten Mitarbeiter schnell an ihre Grenzen treiben. Systematischer, gründlicher sowie letztlich sicherer und schneller gelingt die Einführung eines ISMS mit einer Informations­sicherheits­management­system-Lösung (ISMS-Lösung).

Eine solche Software fördert nicht nur die Implementierung, sondern ist erfahrungsgemäß auch ein Schlüssel zum Zertifizierungserfolg, denn allein der proaktive Einsatz dieser Software belegt eine Anforderungsorientierte und systematische Steuerung von Informationssicherheit. Als nützlich erwiesen hat sich der Einsatz einer ISMS-Lösung auch mit Blick auf Branchen-Audits. Über eine ISMS-Lösung kann das Unternehmen Auftraggebern einen gezielten Einblick in sein Informations­sicherheits­management­system gewähren. So kann es nachweisen, wie es Informationssicherheit im eigenen Hause sowie im Verbund mit Partnern und Lieferanten steuert und welche Prozesse etwa in den Bereichen Incident Response oder Business Continuity Management greifen.

ISMS-Lösungen sollte Kollaboration fördern

Die aktuell am Markt erhältlichen ISMS-Lösungen bilden die komplexe Materie der wichtigsten Informationssicherheitsstandards wie BSI IT-Grundschutz und ISO 27001 vollumfänglich ab. Allerdings unterscheiden sie sich deutlich in Struktur, Funktionen, Leistungsumfang, Sicherheit, Mandantenfähigkeit und vor allem der Nutzerfreundlichkeit.

Für Organisationen, die zunächst ein ISMS gemäß IT-Grundschutz nachzuweisen haben, später aber auch den ISO 27001-Standard belegen müssen, empfiehlt es sich, eine Lösung auszusuchen, die in der Lage ist, beide Standards abzubilden und bei der sich vergleichbare Anforderungen, etwa an die Formulierung von Sicherheitsrichtlinien oder die Dokumentation von Prozessen, redundanzarm bearbeiten lassen.

Was die BSI-Standards 200 für Unternehmen bedeuten

Mehr IT-Sicherheit durch Standards

Was die BSI-Standards 200 für Unternehmen bedeuten

11.11.19 - Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) will mit der Weiterent­wicklung des BSI 200-Standards als Teil des IT-Grundschutzes Unternehmen dabei helfen, einheitliche Vorgaben in der IT-Sicherheit zu befolgen. Unternehmen, die ihre IT-Sicherheit nachhaltig verbessern wollen, sollten sich zeitnah mit den Anforderungen der aktu­alisierten BSI-Standards auseinandersetzen. lesen

Grundsätzlich sollte die Lösung der Wahl den Informationssicherheitsbeauftragten (ISB) sicher durch die einzelnen Prozessschritte, wie Strukturanalyse, Schutzbedarfsfeststellung, Modellierung der IT-Infrastruktur, Soll/Ist-Vergleich der Anforderungen und Risikoanalyse sowie Dokumentation führen. Das beinhaltet zum Beispiel, dass sich eine auf der Modellierung aufbauenden Soll/Ist-Vergleich durchführen lässt und einzelne Anforderungen flexibel und zielgerichtet ohne unnötige Mehrarbeit zu bearbeiten sind.

Idealerweise verfügt die Lösung über ein benutzerdefiniertes Dashboard, das an nicht erledigte Maßnahmen erinnert und ausgeführte Arbeiten auf der To-Do-Liste als erledigt dokumentiert. Die sich anschließende und kontinuierliche zu pflegende Risikoanalyse weist den ISB auf noch bestehende Risiken hin. Zu jedem der wesentlichen ISMS-Prozessschritte sollte es jederzeit Auswertungen geben.

Auf der Anforderungsliste für das optimale Tool sollte auch stehen, ob die ISMS-Lösung eine standortübergreifende, Rechte-basierte Kollaboration ermöglicht. Dies schafft einen erheblichen Produktivitätsgewinne sowohl in Unternehmen mit mehreren Standorten, als auch auch in der Zusammenarbeit mit externen ISMS-Berater und Auditoren. Die Bedienung über mehrere Fenster und das parallele Arbeit an verschiedenen Bausteinen, auch durch unterschiedliche Nutzer, birgt einen weiteren Effizienzgewinn. Bestimmte Lösungen bieten darüber hinaus ausgereifte Filterfunktionen, die in jeder Phase eines ISMS-Projektes flexibles und zielgerichtetes Arbeiten unterstützen.

Fazit: ISMS-Lösungen sparen Geld, Zeit und Nerven

Behörden wie Unternehmen aller Größenordnungen profitieren vom Einsatz einer ISMS-Lösung. Sie können die relevanten Informationen ihrer IT-Landschaft schneller erfassen, ersparen sich viele manuelle Tätigkeiten bei der Analyse ihrer Systeme und erhalten valide und sichere Ergebnisse. ISMS-Lösungen fördern durch ihren kollaborativem Ansatz außerdem den Informationsaustausch und die übergreifende Zusammenarbeit in der gesamten ISMS-Organisation sowie mit externen Experten, Auditoren und Partnern. Sie belegen zudem eine Anforderungsorientierte und strategische Steuerung der Informationssicherheit auf allen Ebenen der Organisation.

Über die Autoren:
Bernd Morgenstern ist erfahrener Produktexperte im Bereich IT-Systems für die Infodas GmbH. Er fungiert als zentrale Schnittstelle zwischen Entwicklung, Beratung und Business. Sein Blick ist auf die ganzheitliche Unterstützung nachhaltiger Sicherheitskonzepte gerichtet.
Sebastian Dännart ist IT Security Consultant der Infodas GmbH und berät Unternehmen und Behörden bei der Konzeption und Umsetzung ihrer Informationssicherheit. Seine fachlichen Schwerpunkte sind unter anderem die Einbindung in die IT-Governance sowie spezielle Anforderungen Kritischer Infrastrukturen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46276081 / Risk Management)