12 Tipps für eine schlanke ISMS-Einführung

ISO 27001 mit wenig Aufwand umsetzen

| Autor / Redakteur: Robert Hellwig / Stephan Augsten

Die Umsetzung effizienter Security-Management-Prozesse erfordert einige Vorarbeit und Planung.
Die Umsetzung effizienter Security-Management-Prozesse erfordert einige Vorarbeit und Planung. (Bild: © rangizzz - Fotolia)

Immer mehr Unternehmen widmen sich der Implementierung eines Managementsystems, um die Informationssicherheit ganzheitlich steuern zu können. Bei der Umsetzung hilft der internationale Standard ISO 27001. Um jedoch unnötigen Aufwand von Vornherein zu vermeiden, gibt dieser Beitrag praktische Hilfestellungen.

Nach den Beobachtungen der mikado ag wird in jüngster Zeit verstärkt in den Aufbau ISO/IEC 27001-konformer Informationssicherheits-Managementsysteme (ISMS) investiert. Hintergrund ist vor allem, dass sich einerseits hinter der IT-Sicherheit sehr komplexe Anforderungen verbergen, die bei der klaren Definition der individuellen Sicherheitsanforderungen beginnen und bis zum ständigen Monitoring reichen.

Andererseits wurden von den Unternehmen zwar vielfältige Security-Maßnahmen realisiert, die jedoch vielfach nicht in aller Konsequenz aufeinander ausgerichtet sind, weil sie bei ihrer Realisierung jeweils einen speziellen Fokus hatten. Deshalb fehlt häufig ein durchgängiges Managementsystem als gemeinsame Grundlage und Zielrichtung für die einzelnen Facetten der Security-Politik.

Entsprechende Maßnahmen beschreibt die international etablierte Norm ISO/IEC 27001. Zu ihren Kernelementen gehören Sicherheitsrichtlinien, die eine führende und ordnende Funktion für die gesamten Security-Maßnahmen haben. Gleichzeitig definiert eine solche Policy die Maßstäbe, anhand derer regelmäßig die Funktionsfähigkeit und Angemessenheit der einzelnen Elemente bewertet werden und mit denen sich konkrete Erfordernisse für Optimierungen identifizieren lassen.

Ohne ein solches ISMS sind die Bedingungen in der Informationssicherheit nicht ganzheitlich steuerbar und können unbemerkt relevante Sicherheitsdefizite entstehen. Dies haben Unternehmen wie Behörden inzwischen erkannt.

Daraus resultiert ein zunehmender Trend zur Einführung von ISO/IEC 27001-basierten Informationssicherheits-Managementsystemen. Auch der Gesetzgeber fordert dies teilweise schon, beispielsweise sollen nach dem Willen der Bundesnetzagentur die Netzbetreiber unter den Energieversorgern bis nächstes Jahr ein nach ISO/IEC 27001 zertifiziertes Managementsystem vorweisen.

Da Unternehmen und Behörden bei der Einführung eines ISMS Neuland betreten, hat das Beratungshaus Mikado einige praxisbewährte Empfehlungen zusammengestellt. Sie zielen auch auf eine schlanke Realisierung ab und werden auf den folgenden Seiten vorgestellt.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42704891 / Standards)