Definition ISMS

Was ist ein Information Security Management System (ISMS)?

| Autor / Redakteur: Tutanch / Peter Schmitz

Ein Information Security Management System (ISMS) definiert Regeln, Methoden und Abläufe, um die IT-Sicherheit in einem Unternehmen zu gewährleisten, zu steuern und zu kontrollieren.
Ein Information Security Management System (ISMS) definiert Regeln, Methoden und Abläufe, um die IT-Sicherheit in einem Unternehmen zu gewährleisten, zu steuern und zu kontrollieren. (Bild: Pixabay / CC0)

Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.

Die Abkürzung ISMS steht für Information Security Management System. Der deutsche Begriff für ISMS lautet Managementsystem für die Informationssicherheit. Innerhalb des ISMS sind Regeln, Verfahren, Maßnahmen und Tools definiert, mit denen sich die Informationssicherheit steuern, kontrollieren, sicherstellen und optimieren lässt. Durch die IT verursachte Risiken sollen identifizierbar und beherrschbar werden.

Da das Information Security Management System in den Verantwortungsbereich der Unternehmensführung fällt, nutzt es einen Top-Down-Ansatz zur Durchsetzung der IT-Sicherheit. Das Aufstellen und Verabschieden von Security Policies erfolgt durch das Top-Management, die eigentliche Ausarbeitung der Details und Umsetzung kann an andere Führungskräfte oder Mitarbeiter übertragen werden. In diesem Zusammenhang können IT- und Datenschutzbeauftragte benannt werden. Die Normierung des Information Security Management Systems erfolgt in der Standardreihe ISO/IEC 2700x. Wichtige Bestandteile der Standardreihe sind ISO 27001 (Zertifizierungsanforderungen) und ISO 27003 (Entwicklung und Implementierung des ISMS). DIN NIA-01-27 IT-Sicherheitsverfahren betreut den deutschen Anteil der Normungsarbeit. Essenziell für ein ISMS ist die Umsetzung in allen Bereichen und Ebenen der Organisation.

Nötige Schritte zur Umsetzung eines ISMS

Die Planung, Umsetzung und Aufrechterhaltung des ISMS lässt sich in einzelne Prozessschritte unterteilen. Im ersten Schritt ist festzulegen, was das Information Security Management System leisten soll und welche Werte und Informationen zu schützen sind. Sowohl der Anwendungsbereich als auch die Grenzen des ISMS sind klar zu definieren.

Anschließend sind innerhalb des Anwendungsbereichs des ISMS die Risiken zu identifizieren und einzuordnen. Kriterien hierfür können gesetzliche Anforderungen oder Compliance-Richtlinien sein. Ergebnis ist eine Einschätzung, welche Risiken vertretbar sind und welche ausgeschlossen werden müssen. Es muss klar erkennbar sein, welche Auswirkungen durch die einzelnen Risiken entstehen können. Die Folgen, die durch den Verlust von Vertraulichkeit, Integrität und Verfügbarkeit eintreten, sind dabei zu berücksichtigen. Ebenfalls Teil der Risikobewertung sind die Eintrittswahrscheinlichkeiten der Risiken.

Auf Basis dieser Risikobewertung kann die Auswahl und Umsetzung geeigneter Maßnahmen zur Risikovermeidung erfolgen. Die beschlossenen und umgesetzten Maßnahmen sind in einem kontinuierlichen Prozess zu prüfen und zu optimieren. Werden Mängel oder neue Risiken erkannt, ist der komplette ISMS-Prozess von Beginn an neu zu durchlaufen.

Die Rolle eines IT-Sicherheitsbeauftragten im ISMS

Eine Aufgabe Innerhalb des ISMS ist die Benennung eines IT-Sicherheitsbeauftragten. Dieser ist in den ISMS-Prozess integriert und eng mit den IT-Verantwortlichen bei Aufgaben wie der Auswahl neuer IT-Komponenten und -Anwendungen verzahnt. Innerhalb des Unternehmens ist er der Ansprechpartner für sämtliche Fragen, die die IT-Sicherheit betreffen. Der Vorstand oder das oberste Management benennt den IT-Sicherheitsbeauftragten. Er ist direkt dem Vorstand unterstellt und berichtet regelmäßig an diesen. Zur Durchführung seiner Aufgaben ist er mit eigenen finanziellem Budget ausgestattet.

Das Information Security Management System und der IT-Grundschutz des BSI

Die IT-Grundschutz-Kataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik) stellen ein Konzept für die Umsetzung eines ISMS dar. Der BSI-Standard 100-1 bietet Hilfestellungen bei der Einführung, Umsetzung und Aufrechterhaltung eines Information Security Management Systems und sind an die Norm ISO/IEC 27001 angepasst. Für deutsche Behörden stellt der IT-Grundschutz eine Art Standard für die Informationssicherheit dar. Wesentliche Ziele des IT-Grundschutzes sind die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen.

Das Information Security Management System und der Datenschutz

Da innerhalb des ISMS personenbezogene Daten keine Sonderstellung genießen und alle zu schützenden Daten prinzipiell gleichbehandelt werden, muss ein Information Security Management System nicht zwingend auch den Datenschutz im Unternehmen beinhalten. Es hilft zwar generell die Daten zu schützen, garantiert aber nicht die Sicherheit der Verarbeitung sämtlicher personenbezogener Daten. Ein Informations-Sicherheitssystem ersetzt aus diesem Grund kein Datenschutz-Managementsystem. Um dem Datenschutz gerecht zu werden, sind geeignete weitere Maßnahmen zu definieren und umzusetzen. Zudem ist ein zusätzlicher Datenschutzbeauftragter zu benennen.

ISMS passt auch für den Mittelstand

Information Security Management System

ISMS passt auch für den Mittelstand

16.03.17 - In mittelständischen Betrieben wird es mit zunehmender Digitalisierung immer wichtiger, für Informationssicherheit zu sorgen. Ein Information Security Management System (ISMS) hilft, notwendige Maßnahmen und Richtlinien eines Sicherheitskonzeptes zu definieren, zu steuern und zu kontrollieren. Die Einführung eines ISMS ist je nach Vorgehensweise jedoch verhältnismäßig aufwändig. Es lohnt sich deshalb, die verschiedenen Rahmenwerke näher zu betrachten. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Risikomanagement optimiert das ISMS für mehr Sicherheit

Risikobasierte Information Security Management Systeme

Risikomanagement optimiert das ISMS für mehr Sicherheit

Sechs von zehn Unternehmen in Deutschland haben nach eigenen Angaben eine aktuelle IT-Sicherheitsstrategie formuliert dokumentiert und verabschiedet. Viele versäumen allerdings, die einzelnen Maßnahmen risikobasiert abzustufen. Damit verplanen sie Ressourcen an wenig riskanten Stellen, die an Hochrisikoprozessen und an Schnittstellen dringend benötigt werden. Bewährt hat sich ein mit den Gesamtzielen verzahntes Sicherheitskonzept. lesen

Geteilte Verantwortung bringt doppelte Sicherheit

Shared-Responsibility-Modell am Beispiel von Amazon Web Services

Geteilte Verantwortung bringt doppelte Sicherheit

Unternehmen benötigen zunehmend die Flexibilität der Cloud. Aber dort drohen neue Gefahren. Die Plattformen der Service Provider sind zumeist sicher – aber vielen Unternehmen fehlt die Expertise, Anwendungen und Daten in der Cloud angemessen zu schützen. Cloud Access Security Broker (CASB) können helfen, diese Lücke zu schließen. lesen

Der Finanzwelt fehlten Cyber-Security-Fachkräfte

Fachkräftemangel bei Finanzunternehmen

Der Finanzwelt fehlten Cyber-Security-Fachkräfte

Die digitale Transformation bringt für alle Unternehmen riesige strategische und betriebliche Möglichkeiten birgt aber auch neue Risiken für Unternehmen und neue Angriffswege für Kriminelle. In der Finanzbranche werden fast täglich Systeme von Hackern angegriffen. Dies ist die dunkle Seite der Digitalisierung und sie verdient genauso viel Aufmerksamkeit wie die Chancen, die die Digitalisierung mit sich bringt. lesen

Cyber-Security-Projekte in der Praxis

Projekte zur IT-Sicherheit

Cyber-Security-Projekte in der Praxis

Was bewegt führende deutsche Unternehmen aktuell in Sachen Cyber Security? Welche Herausforderungen haben sie und für welche Lösungswege entscheiden sie sich? Einen Blick auf aktuelle Cyber-Security-Projekte in deutschen Unternehmen, zeigt, wo derzeit die Schwerpunkte liegen und mit welchen Problemen Unternehmen zu kämpfen haben. lesen

Melde- und Nachweispflicht für KRITIS-Betreiber

Countdown zum IT-Sicherheitsgesetz

Melde- und Nachweispflicht für KRITIS-Betreiber

Das IT-Sicherheitsgesetz (IT-SiG) will ein gesetzlich verbindliches Mindestniveau an IT-Sicherheit erreichen. Als erstes sind KRITIS-Betreiber aus den Bereichen IKT, Energie, Wasser und Ernährung betroffen. Bis Mai 2018 müssen sie ihre IT nach dem Stand der Technik absichern. Ein Dokumentenmanagement-System (DMS) kann bei der transparenten Dokumentation der Maßnahmen helfen. lesen

ISO 27001 richtig umsetzen und verstehen

Security Compliance

ISO 27001 richtig umsetzen und verstehen

Viele IT-Entscheider stehen unter Zeitdruck, denn ab Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) anwendbar. Zudem überarbeiten viele Organisationen ihre Sicherheitsstandards und durch das IT-Sicherheitsgesetz gelten für Betreiber Kritischer Infrastruktur (KRITIS) ebenfalls neue Vorgaben. Das größte Problem ist die Umsetzung in der Praxis, wirklich brauchbare Leitfäden sind aber schwierig zu finden. Daher lohnt ein genauer Blick auf bestehende Normen wie die ISO 27001. lesen

Was ist Informationssicherheit?

Definition Informationssicherheit

Was ist Informationssicherheit?

Die Informationssicherheit soll die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen sicherstellen. Dadurch lassen sich Informationen vor Gefahren wie unbefugtem Zugriff oder Manipulation schützen. Im Unternehmensumfeld werden wirtschaftliche Schäden verhindert. lesen

Was ist ein CISO?

Definition Chief Information Security Officer (CISO)

Was ist ein CISO?

Der Chief Information Security Officer (CISO) übernimmt in einem Unternehmen oder einer Organisation die Rolle des Verantwortlichen für die Informationssicherheit. Er ist Teil der Geschäftsführung und stellt sicher, dass Informationen und Technologien geschützt sind. lesen

„Cyber-Angriffe auf die Netze des Bundes finden täglich statt“

Lagebericht zur IT-Sicherheit in Deutschland 2017

„Cyber-Angriffe auf die Netze des Bundes finden täglich statt“

Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Der diesjährige Lagebericht zur IT-Sicherheit macht diese These deutlich. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44924228 / Definitionen)