Definition ISMS

Was ist ein Information Security Management System (ISMS)?

| Autor / Redakteur: Tutanch / Peter Schmitz

Ein Information Security Management System (ISMS) definiert Regeln, Methoden und Abläufe, um die IT-Sicherheit in einem Unternehmen zu gewährleisten, zu steuern und zu kontrollieren.
Ein Information Security Management System (ISMS) definiert Regeln, Methoden und Abläufe, um die IT-Sicherheit in einem Unternehmen zu gewährleisten, zu steuern und zu kontrollieren. (Bild: Pixabay / CC0)

Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.

Die Abkürzung ISMS steht für Information Security Management System. Der deutsche Begriff für ISMS lautet Managementsystem für die Informationssicherheit. Innerhalb des ISMS sind Regeln, Verfahren, Maßnahmen und Tools definiert, mit denen sich die Informationssicherheit steuern, kontrollieren, sicherstellen und optimieren lässt. Durch die IT verursachte Risiken sollen identifizierbar und beherrschbar werden.

Da das Information Security Management System in den Verantwortungsbereich der Unternehmensführung fällt, nutzt es einen Top-Down-Ansatz zur Durchsetzung der IT-Sicherheit. Das Aufstellen und Verabschieden von Security Policies erfolgt durch das Top-Management, die eigentliche Ausarbeitung der Details und Umsetzung kann an andere Führungskräfte oder Mitarbeiter übertragen werden. In diesem Zusammenhang können IT- und Datenschutzbeauftragte benannt werden. Die Normierung des Information Security Management Systems erfolgt in der Standardreihe ISO/IEC 2700x. Wichtige Bestandteile der Standardreihe sind ISO 27001 (Zertifizierungsanforderungen) und ISO 27003 (Entwicklung und Implementierung des ISMS). DIN NIA-01-27 IT-Sicherheitsverfahren betreut den deutschen Anteil der Normungsarbeit. Essenziell für ein ISMS ist die Umsetzung in allen Bereichen und Ebenen der Organisation.

Nötige Schritte zur Umsetzung eines ISMS

Die Planung, Umsetzung und Aufrechterhaltung des ISMS lässt sich in einzelne Prozessschritte unterteilen. Im ersten Schritt ist festzulegen, was das Information Security Management System leisten soll und welche Werte und Informationen zu schützen sind. Sowohl der Anwendungsbereich als auch die Grenzen des ISMS sind klar zu definieren.

Anschließend sind innerhalb des Anwendungsbereichs des ISMS die Risiken zu identifizieren und einzuordnen. Kriterien hierfür können gesetzliche Anforderungen oder Compliance-Richtlinien sein. Ergebnis ist eine Einschätzung, welche Risiken vertretbar sind und welche ausgeschlossen werden müssen. Es muss klar erkennbar sein, welche Auswirkungen durch die einzelnen Risiken entstehen können. Die Folgen, die durch den Verlust von Vertraulichkeit, Integrität und Verfügbarkeit eintreten, sind dabei zu berücksichtigen. Ebenfalls Teil der Risikobewertung sind die Eintrittswahrscheinlichkeiten der Risiken.

Auf Basis dieser Risikobewertung kann die Auswahl und Umsetzung geeigneter Maßnahmen zur Risikovermeidung erfolgen. Die beschlossenen und umgesetzten Maßnahmen sind in einem kontinuierlichen Prozess zu prüfen und zu optimieren. Werden Mängel oder neue Risiken erkannt, ist der komplette ISMS-Prozess von Beginn an neu zu durchlaufen.

Die Rolle eines IT-Sicherheitsbeauftragten im ISMS

Eine Aufgabe Innerhalb des ISMS ist die Benennung eines IT-Sicherheitsbeauftragten. Dieser ist in den ISMS-Prozess integriert und eng mit den IT-Verantwortlichen bei Aufgaben wie der Auswahl neuer IT-Komponenten und -Anwendungen verzahnt. Innerhalb des Unternehmens ist er der Ansprechpartner für sämtliche Fragen, die die IT-Sicherheit betreffen. Der Vorstand oder das oberste Management benennt den IT-Sicherheitsbeauftragten. Er ist direkt dem Vorstand unterstellt und berichtet regelmäßig an diesen. Zur Durchführung seiner Aufgaben ist er mit eigenen finanziellem Budget ausgestattet.

Das Information Security Management System und der IT-Grundschutz des BSI

Die IT-Grundschutz-Kataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik) stellen ein Konzept für die Umsetzung eines ISMS dar. Der BSI-Standard 100-1 bietet Hilfestellungen bei der Einführung, Umsetzung und Aufrechterhaltung eines Information Security Management Systems und sind an die Norm ISO/IEC 27001 angepasst. Für deutsche Behörden stellt der IT-Grundschutz eine Art Standard für die Informationssicherheit dar. Wesentliche Ziele des IT-Grundschutzes sind die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen.

Das Information Security Management System und der Datenschutz

Da innerhalb des ISMS personenbezogene Daten keine Sonderstellung genießen und alle zu schützenden Daten prinzipiell gleichbehandelt werden, muss ein Information Security Management System nicht zwingend auch den Datenschutz im Unternehmen beinhalten. Es hilft zwar generell die Daten zu schützen, garantiert aber nicht die Sicherheit der Verarbeitung sämtlicher personenbezogener Daten. Ein Informations-Sicherheitssystem ersetzt aus diesem Grund kein Datenschutz-Managementsystem. Um dem Datenschutz gerecht zu werden, sind geeignete weitere Maßnahmen zu definieren und umzusetzen. Zudem ist ein zusätzlicher Datenschutzbeauftragter zu benennen.

ISMS passt auch für den Mittelstand

Information Security Management System

ISMS passt auch für den Mittelstand

16.03.17 - In mittelständischen Betrieben wird es mit zunehmender Digitalisierung immer wichtiger, für Informationssicherheit zu sorgen. Ein Information Security Management System (ISMS) hilft, notwendige Maßnahmen und Richtlinien eines Sicherheitskonzeptes zu definieren, zu steuern und zu kontrollieren. Die Einführung eines ISMS ist je nach Vorgehensweise jedoch verhältnismäßig aufwändig. Es lohnt sich deshalb, die verschiedenen Rahmenwerke näher zu betrachten. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Smarte Grenzen für mehr Reisekomfort und Sicherheit

Smart-Border-Systeme

Smarte Grenzen für mehr Reisekomfort und Sicherheit

Stetige Fortschritte im Feld der Biometrie und der damit einhergehenden zunehmenden Anwendung von elektronischen Reisepässen, Blockchain- und Single Token-Technologie ermöglichen automatisierte Grenzabfertigungssysteme die trotz reduziertem Risikopotenzial den Reisenden mehr Komfort bieten. lesen

Herausforderungen beim Containereinsatz

DevOps Sicherheit

Herausforderungen beim Containereinsatz

DevOps und Container-Systeme nutzen immer mehr Unternehmen. Die neuen Ansätze können aber zu Problemen bei der Sicherheitsarchitektur führen. Die Sicherheitsfirma tenable hat sich die Probleme genauer angesehen. lesen

Auswege aus der WhatsApp-Falle

Gefahrenquelle Mitarbeiter-Handy

Auswege aus der WhatsApp-Falle

Während die Angst vor einem Hacker-Angriff so manchem CIO schlaflose Nächte bereitet, spazieren zigtausend Datensätze jeden Tag ungerührt aus dem Unternehmen – auf den Smartphones der Mitarbeiter. Ein großes Risiko! Aber auch die bloße Synchronisation der Kontakte mit dem Handy bei gleichzeitiger Nutzung von WhatsApp oder Facebook ist ein massiver Verstoß gegen das Bundesdaten­schutzgesetz und damit ein enormes Problem für Unternehmen. lesen

Android-Phones weiter über Krack angreifbar

Updates gegen Krack

Android-Phones weiter über Krack angreifbar

Der belgische Sicherheitsforscher Mathy Vanhoef, der die gravierende Sicherheitslücke „Krack“ in verschlüsselten WLAN-Netzwerken entdeckt hat, geht davon aus, dass etliche betroffene Geräte niemals ein Update bekommen werden. lesen

Big Data Compliance – ein Widerspruch in sich?

Personenbezogene Daten und Datenschutz

Big Data Compliance – ein Widerspruch in sich?

Big-Data-Analysen sind ein Modell der Zukunft. Die gesetzlichen Vorschriften zum Datenschutz stammen hingegen aus der weitestgehend internetlosen Vergangenheit. In Sachen Compliance herrscht bei Big-Data-Analysten dementsprechend ein hohes Maß an Unsicherheit. Das Inkrafttreten der neuen europäischen Datenschutz-Grundverordnung (DSGVO) im April 2018 trägt das seine dazu bei. lesen

Schlüsselposition Datenbank-Administrator

Hybride IT und das Thema Datenbanken

Schlüsselposition Datenbank-Administrator

Unabhängig davon, wo IT-Experten ihre Anwendungsworkloads hosten – lokal, in der Cloud oder beides –, sollten sie das Thema Datenbanken im Griff haben. Denn Anwendungsprobleme resultieren oft aus Datenbankproblemen – und ein bloßer Umzug der Datenbank in die Cloud löst noch keine grundsätzlichen Probleme. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44924228 / Definitionen)