Definition ISMS

Was ist ein Information Security Management System (ISMS)?

| Autor / Redakteur: Tutanch / Peter Schmitz

Ein Information Security Management System (ISMS) definiert Regeln, Methoden und Abläufe, um die IT-Sicherheit in einem Unternehmen zu gewährleisten, zu steuern und zu kontrollieren.
Ein Information Security Management System (ISMS) definiert Regeln, Methoden und Abläufe, um die IT-Sicherheit in einem Unternehmen zu gewährleisten, zu steuern und zu kontrollieren. (Bild: Pixabay / CC0)

Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.

Die Abkürzung ISMS steht für Information Security Management System. Der deutsche Begriff für ISMS lautet Managementsystem für die Informationssicherheit. Innerhalb des ISMS sind Regeln, Verfahren, Maßnahmen und Tools definiert, mit denen sich die Informationssicherheit steuern, kontrollieren, sicherstellen und optimieren lässt. Durch die IT verursachte Risiken sollen identifizierbar und beherrschbar werden.

Da das Information Security Management System in den Verantwortungsbereich der Unternehmensführung fällt, nutzt es einen Top-Down-Ansatz zur Durchsetzung der IT-Sicherheit. Das Aufstellen und Verabschieden von Security Policies erfolgt durch das Top-Management, die eigentliche Ausarbeitung der Details und Umsetzung kann an andere Führungskräfte oder Mitarbeiter übertragen werden. In diesem Zusammenhang können IT- und Datenschutzbeauftragte benannt werden. Die Normierung des Information Security Management Systems erfolgt in der Standardreihe ISO/IEC 2700x. Wichtige Bestandteile der Standardreihe sind ISO 27001 (Zertifizierungsanforderungen) und ISO 27003 (Entwicklung und Implementierung des ISMS). DIN NIA-01-27 IT-Sicherheitsverfahren betreut den deutschen Anteil der Normungsarbeit. Essenziell für ein ISMS ist die Umsetzung in allen Bereichen und Ebenen der Organisation.

Nötige Schritte zur Umsetzung eines ISMS

Die Planung, Umsetzung und Aufrechterhaltung des ISMS lässt sich in einzelne Prozessschritte unterteilen. Im ersten Schritt ist festzulegen, was das Information Security Management System leisten soll und welche Werte und Informationen zu schützen sind. Sowohl der Anwendungsbereich als auch die Grenzen des ISMS sind klar zu definieren.

Anschließend sind innerhalb des Anwendungsbereichs des ISMS die Risiken zu identifizieren und einzuordnen. Kriterien hierfür können gesetzliche Anforderungen oder Compliance-Richtlinien sein. Ergebnis ist eine Einschätzung, welche Risiken vertretbar sind und welche ausgeschlossen werden müssen. Es muss klar erkennbar sein, welche Auswirkungen durch die einzelnen Risiken entstehen können. Die Folgen, die durch den Verlust von Vertraulichkeit, Integrität und Verfügbarkeit eintreten, sind dabei zu berücksichtigen. Ebenfalls Teil der Risikobewertung sind die Eintrittswahrscheinlichkeiten der Risiken.

Auf Basis dieser Risikobewertung kann die Auswahl und Umsetzung geeigneter Maßnahmen zur Risikovermeidung erfolgen. Die beschlossenen und umgesetzten Maßnahmen sind in einem kontinuierlichen Prozess zu prüfen und zu optimieren. Werden Mängel oder neue Risiken erkannt, ist der komplette ISMS-Prozess von Beginn an neu zu durchlaufen.

Die Rolle eines IT-Sicherheitsbeauftragten im ISMS

Eine Aufgabe Innerhalb des ISMS ist die Benennung eines IT-Sicherheitsbeauftragten. Dieser ist in den ISMS-Prozess integriert und eng mit den IT-Verantwortlichen bei Aufgaben wie der Auswahl neuer IT-Komponenten und -Anwendungen verzahnt. Innerhalb des Unternehmens ist er der Ansprechpartner für sämtliche Fragen, die die IT-Sicherheit betreffen. Der Vorstand oder das oberste Management benennt den IT-Sicherheitsbeauftragten. Er ist direkt dem Vorstand unterstellt und berichtet regelmäßig an diesen. Zur Durchführung seiner Aufgaben ist er mit eigenen finanziellem Budget ausgestattet.

Das Information Security Management System und der IT-Grundschutz des BSI

Die IT-Grundschutz-Kataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik) stellen ein Konzept für die Umsetzung eines ISMS dar. Der BSI-Standard 100-1 bietet Hilfestellungen bei der Einführung, Umsetzung und Aufrechterhaltung eines Information Security Management Systems und sind an die Norm ISO/IEC 27001 angepasst. Für deutsche Behörden stellt der IT-Grundschutz eine Art Standard für die Informationssicherheit dar. Wesentliche Ziele des IT-Grundschutzes sind die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen.

Das Information Security Management System und der Datenschutz

Da innerhalb des ISMS personenbezogene Daten keine Sonderstellung genießen und alle zu schützenden Daten prinzipiell gleichbehandelt werden, muss ein Information Security Management System nicht zwingend auch den Datenschutz im Unternehmen beinhalten. Es hilft zwar generell die Daten zu schützen, garantiert aber nicht die Sicherheit der Verarbeitung sämtlicher personenbezogener Daten. Ein Informations-Sicherheitssystem ersetzt aus diesem Grund kein Datenschutz-Managementsystem. Um dem Datenschutz gerecht zu werden, sind geeignete weitere Maßnahmen zu definieren und umzusetzen. Zudem ist ein zusätzlicher Datenschutzbeauftragter zu benennen.

ISMS passt auch für den Mittelstand

Information Security Management System

ISMS passt auch für den Mittelstand

16.03.17 - In mittelständischen Betrieben wird es mit zunehmender Digitalisierung immer wichtiger, für Informationssicherheit zu sorgen. Ein Information Security Management System (ISMS) hilft, notwendige Maßnahmen und Richtlinien eines Sicherheitskonzeptes zu definieren, zu steuern und zu kontrollieren. Die Einführung eines ISMS ist je nach Vorgehensweise jedoch verhältnismäßig aufwändig. Es lohnt sich deshalb, die verschiedenen Rahmenwerke näher zu betrachten. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist ein CISO?

Definition Chief Information Security Officer (CISO)

Was ist ein CISO?

Der Chief Information Security Officer (CISO) übernimmt in einem Unternehmen oder einer Organisation die Rolle des Verantwortlichen für die Informationssicherheit. Er ist Teil der Geschäftsführung und stellt sicher, dass Informationen und Technologien geschützt sind. lesen

„Cyber-Angriffe auf die Netze des Bundes finden täglich statt“

Lagebericht zur IT-Sicherheit in Deutschland 2017

„Cyber-Angriffe auf die Netze des Bundes finden täglich statt“

Informationssicherheit ist die Voraussetzung für eine erfolgreiche Digitalisierung. Der diesjährige Lagebericht zur IT-Sicherheit macht diese These deutlich. lesen

Was tun gegen Ransomware?

Sicherheitskonzepte gegen Malware

Was tun gegen Ransomware?

Mit WannaCry, NotPetya und BadRabbit gab es 2017 bereits drei große Angriffswellen mit Ransomware. Unternehmen brauchen zum Schutz vor Malware die richtigen organisatorischen Maßnahmen und technischen Hilfsmittel. lesen

Was bringen persönliche Security-Zertifizierungen?

Zertifizierungen in der IT-Sicherheit

Was bringen persönliche Security-Zertifizierungen?

CISSP, CSP, CEH: Security-Zertifizierungen für Personen. Mancher Security-Praktiker belächelt sie, manches Stellenangebot fordert sie explizit. Wer sich als Security-Experte zertifizieren lassen will, hat es in jedem Fall nicht leicht, denn es gibt eine Vielzahl an unterschiedlichen Zertifizierungsstellen, Trainingsanbieter und Zertifizierungen. lesen

Politik sorgt für mehr Sicherheitsmanagement

ISMS-Akzeptanz wächst

Politik sorgt für mehr Sicherheitsmanagement

Der Markt für ISMS-Lösungen freut sich über neue Regelungen. Denn die Politik und neue Vorgaben treiben den Umsatz mit diesen Systemen an. Allerdings setzt derzeit erst jedes zehnte Unternehmen eine entsprechende Lösung ein, wie einen aktuelle Umfrage zeigt. lesen

Was ist der IT-Grundschutz des BSI?

Definition IT-Grundschutz (BSI)

Was ist der IT-Grundschutz des BSI?

Mit dem IT-Grundschutz stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) pauschale Methoden zur Verfügung, mit denen sich die Gefährdung von IT-Anwendungen und IT-Systemen in Unternehmen, Behörden oder anderen Organisationen minimieren lässt. lesen

Der IT-Grundschutz wird modernisiert

Neue BSI-Standards: Empfehlungen, Vorgehensweisen, Maßnahmen

Der IT-Grundschutz wird modernisiert

Die hohe Zahl erfolgreicher Cyber-Attacken zeigt: Viele Unternehmen haben Schwierigkeiten bei der Entwicklung und Umsetzung ihrer IT-Sicherheitsstrategie. Der IT-Grundschutz bietet seit vielen Jahren bewährte Leitlinien für die IT-Sicherheit, jetzt will das BSI den IT-Grundschutz modernisieren. Helfen die neuen BSI-Standards den Unternehmen bei ihren Problemen? lesen

Was ist das IT-Sicherheitsgesetz?

Definition IT-Sicherheitsgesetz

Was ist das IT-Sicherheitsgesetz?

Beim IT-Sicherheitsgesetz (IT-SiG) handelt es sich um ein 2015 vom deutschen Bundestag verabschiedetes Gesetz. Es soll die Sicherheit informationstechnischer Systeme erhöhen und zum Schutz von kritischen Infrastrukturen (KRITIS) in Deutschland beitragen. lesen

So klappt’s mit der Informationssicherheit

Sicherheit und EU-DSGVO im Fokus

So klappt’s mit der Informationssicherheit

Wenn es um den Umgang mit Informationen geht, bietet das Thema Sicherheit immer wieder ein großes Diskussionspotential. Denn die Gefahren für Wirtschaft und Gesellschaft wachsen im digitalen Cloud-Zeitalter stetig. Für ausreichenden Schutz sorgen Entwickler und Nutzer von Softwarelösungen mittels verschiedener Maßnahmen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44924228 / Definitionen)