Definition ISMS

Was ist ein Information Security Management System (ISMS)?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ein Information Security Management System (ISMS) definiert Regeln, Methoden und Abläufe, um die IT-Sicherheit in einem Unternehmen zu gewährleisten, zu steuern und zu kontrollieren.
Ein Information Security Management System (ISMS) definiert Regeln, Methoden und Abläufe, um die IT-Sicherheit in einem Unternehmen zu gewährleisten, zu steuern und zu kontrollieren. (Bild: Pixabay / CC0)

Ein Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung.

Die Abkürzung ISMS steht für Information Security Management System. Der deutsche Begriff für ISMS lautet Managementsystem für die Informationssicherheit. Innerhalb des ISMS sind Regeln, Verfahren, Maßnahmen und Tools definiert, mit denen sich die Informationssicherheit steuern, kontrollieren, sicherstellen und optimieren lässt. Durch die IT verursachte Risiken sollen identifizierbar und beherrschbar werden.

Da das Information Security Management System in den Verantwortungsbereich der Unternehmensführung fällt, nutzt es einen Top-Down-Ansatz zur Durchsetzung der IT-Sicherheit. Das Aufstellen und Verabschieden von Security Policies erfolgt durch das Top-Management, die eigentliche Ausarbeitung der Details und Umsetzung kann an andere Führungskräfte oder Mitarbeiter übertragen werden. In diesem Zusammenhang können IT- und Datenschutzbeauftragte benannt werden. Die Normierung des Information Security Management Systems erfolgt in der Standardreihe ISO/IEC 2700x. Wichtige Bestandteile der Standardreihe sind ISO 27001 (Zertifizierungsanforderungen) und ISO 27003 (Entwicklung und Implementierung des ISMS). DIN NIA-01-27 IT-Sicherheitsverfahren betreut den deutschen Anteil der Normungsarbeit. Essenziell für ein ISMS ist die Umsetzung in allen Bereichen und Ebenen der Organisation.

Nötige Schritte zur Umsetzung eines ISMS

Die Planung, Umsetzung und Aufrechterhaltung des ISMS lässt sich in einzelne Prozessschritte unterteilen. Im ersten Schritt ist festzulegen, was das Information Security Management System leisten soll und welche Werte und Informationen zu schützen sind. Sowohl der Anwendungsbereich als auch die Grenzen des ISMS sind klar zu definieren.

Anschließend sind innerhalb des Anwendungsbereichs des ISMS die Risiken zu identifizieren und einzuordnen. Kriterien hierfür können gesetzliche Anforderungen oder Compliance-Richtlinien sein. Ergebnis ist eine Einschätzung, welche Risiken vertretbar sind und welche ausgeschlossen werden müssen. Es muss klar erkennbar sein, welche Auswirkungen durch die einzelnen Risiken entstehen können. Die Folgen, die durch den Verlust von Vertraulichkeit, Integrität und Verfügbarkeit eintreten, sind dabei zu berücksichtigen. Ebenfalls Teil der Risikobewertung sind die Eintrittswahrscheinlichkeiten der Risiken.

Auf Basis dieser Risikobewertung kann die Auswahl und Umsetzung geeigneter Maßnahmen zur Risikovermeidung erfolgen. Die beschlossenen und umgesetzten Maßnahmen sind in einem kontinuierlichen Prozess zu prüfen und zu optimieren. Werden Mängel oder neue Risiken erkannt, ist der komplette ISMS-Prozess von Beginn an neu zu durchlaufen.

Die Rolle eines IT-Sicherheitsbeauftragten im ISMS

Eine Aufgabe Innerhalb des ISMS ist die Benennung eines IT-Sicherheitsbeauftragten. Dieser ist in den ISMS-Prozess integriert und eng mit den IT-Verantwortlichen bei Aufgaben wie der Auswahl neuer IT-Komponenten und -Anwendungen verzahnt. Innerhalb des Unternehmens ist er der Ansprechpartner für sämtliche Fragen, die die IT-Sicherheit betreffen. Der Vorstand oder das oberste Management benennt den IT-Sicherheitsbeauftragten. Er ist direkt dem Vorstand unterstellt und berichtet regelmäßig an diesen. Zur Durchführung seiner Aufgaben ist er mit eigenen finanziellem Budget ausgestattet.

Das Information Security Management System und der IT-Grundschutz des BSI

Die IT-Grundschutz-Kataloge des BSI (Bundesamt für Sicherheit in der Informationstechnik) stellen ein Konzept für die Umsetzung eines ISMS dar. Der BSI-Standard 100-1 bietet Hilfestellungen bei der Einführung, Umsetzung und Aufrechterhaltung eines Information Security Management Systems und sind an die Norm ISO/IEC 27001 angepasst. Für deutsche Behörden stellt der IT-Grundschutz eine Art Standard für die Informationssicherheit dar. Wesentliche Ziele des IT-Grundschutzes sind die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen.

Das Information Security Management System und der Datenschutz

Da innerhalb des ISMS personenbezogene Daten keine Sonderstellung genießen und alle zu schützenden Daten prinzipiell gleichbehandelt werden, muss ein Information Security Management System nicht zwingend auch den Datenschutz im Unternehmen beinhalten. Es hilft zwar generell die Daten zu schützen, garantiert aber nicht die Sicherheit der Verarbeitung sämtlicher personenbezogener Daten. Ein Informations-Sicherheitssystem ersetzt aus diesem Grund kein Datenschutz-Managementsystem. Um dem Datenschutz gerecht zu werden, sind geeignete weitere Maßnahmen zu definieren und umzusetzen. Zudem ist ein zusätzlicher Datenschutzbeauftragter zu benennen.

ISMS passt auch für den Mittelstand

Information Security Management System

ISMS passt auch für den Mittelstand

16.03.17 - In mittelständischen Betrieben wird es mit zunehmender Digitalisierung immer wichtiger, für Informationssicherheit zu sorgen. Ein Information Security Management System (ISMS) hilft, notwendige Maßnahmen und Richtlinien eines Sicherheitskonzeptes zu definieren, zu steuern und zu kontrollieren. Die Einführung eines ISMS ist je nach Vorgehensweise jedoch verhältnismäßig aufwändig. Es lohnt sich deshalb, die verschiedenen Rahmenwerke näher zu betrachten. lesen

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was die BSI-Standards 200 für Unternehmen bedeuten

Mehr IT-Sicherheit durch Standards

Was die BSI-Standards 200 für Unternehmen bedeuten

Das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI) will mit der Weiterent­wicklung des BSI 200-Standards als Teil des IT-Grundschutzes Unternehmen dabei helfen, einheitliche Vorgaben in der IT-Sicherheit zu befolgen. Unternehmen, die ihre IT-Sicherheit nachhaltig verbessern wollen, sollten sich zeitnah mit den Anforderungen der aktu­alisierten BSI-Standards auseinandersetzen. lesen

Was ist ISO 27002?

Definition ISO 27002

Was ist ISO 27002?

ISO 27002 ist eine internationale Norm und stellt einen Leitfaden für das Informationssicherheits-Management zur Verfügung. Die Norm ist Teil der Teil der ISO-27000-Normenreihe und liefert allgemeine Richtlinien und Empfehlungen für ein verbessertes Informationssicherheits-Management in Organisationen. Die aktuelle Version der Norm ist ISO/IEC 27002:2013 und besteht aus 14 verschiedenen Bereichen. lesen

Schutz vor Datenlecks

Diebstahl von Anmeldedaten

Schutz vor Datenlecks

Die Größe von Datenlecks nimmt in jüngster Vergangenheit immer weiter zu, während die Intervalle immer kleiner werden. Höchste Zeit für Unternehmen sich den Gefahren eines Datenverlustes bewusst zu werden und sich mithilfe professioneller IT-Security-Beratung proaktiv vor neuen Gefahren zu schützen. lesen

Vernetzen auf menschlicher Ebene

Security in der Fertigung

Vernetzen auf menschlicher Ebene

Fertigungsanlagen vor Cyberattacken zu schützen, ist eine technische und organisatorische Herausforderung. Teams aus Produktion und IT müssen an einem Strang ziehen, um ein Sicherheitskonzept zu erstellen, das die Bedürfnisse aller Seiten berücksichtigt. lesen

KAS-44 hilft beim Schutz von industriellen Anlagen

Kritische Systeme effektiv schützen

KAS-44 hilft beim Schutz von industriellen Anlagen

Für Unternehmen die kritische Infrastrukturen betreiben ist der Schutz vor Hackern und Co. von größter Bedeutung. Die Kommission für Anlagensicherheit (KAS) hat deshalb Leitsätze zur Prävention von Cyber-Angriffen formuliert. Das Merkblatt KAS-44 konkretisiert die Anforderungen der IT-Security für jene Betriebe, die unter die Störfallverordnung fallen. lesen

ISMS nach modernisiertem IT-Grundschutz

Contechnet Inditor BSI

ISMS nach modernisiertem IT-Grundschutz

Die Softwarelösung Inditor BSI des deutschen Softwareherstellers Contechnet enthält die aktuellen Bausteine und Anforderungen aus dem BSI-Kompendium, die um Beschreibungen und Hilfestellungen ergänzt werden. Der Anwender erhält eine Lösung, die ihn zielorientiert zu einem ISMS gemäß IT-Grundschutz leitet. Die neuen Features wie z.B. ein Dokumentenvorlagesystem erleichtern weiterhin die Einführung. lesen

Smart-Grid-Umgebungen sicher managen

Sicherheit bei Energieversorgern

Smart-Grid-Umgebungen sicher managen

Die Digitalisierung verspricht Unternehmen Effizienzsteigerungen, Kosteneinsparungen und einen direkten Kontakt zum Kunden. Mit sicheren Netzwerken können Energieversorger die mit der Digitalisierung verbundenen Risiken durch Cyber-Attacken aber minimieren. Das Management solcher Netze bringt zwar einige Herausforderungen mit sich, richtige Planung und passende Systeme schaffen aber Abhilfe. lesen

Durchdachtes Log-Management für die Industrie 4.0

Ein Plädoyer fürs Protokoll, immer und überall

Durchdachtes Log-Management für die Industrie 4.0

Log- und Protokollmanagement ist eine oft wenig beachtete, aber dennoch eine der dringlichsten Herausforderungen zur Absicherung von IT-Strukturen. Der Security-Experte Pierre Gronau entwirft einen Best Case in Form eines Sicherheitskonzeptes über zehn Etappen und bedient sich dabei zur Veranschaulichung bei der Industrie 4.0-Themenwelt. lesen

Cyberangriffe mit Künstlicher Intelligenz (KI) bekämpfen

IT-Security auf Managementebene

Cyberangriffe mit Künstlicher Intelligenz (KI) bekämpfen

Die Wahrung der IT-Sicherheit stellt viele Unternehmen vor große Herausforderungen. Cyberangriffe werden nicht nur immer häufiger, sondern auch tückischer. Viele Angriffe werden anfangs nicht erkannt und ziehen so noch weitreichendere Folgen für Unternehmen nach sich. Um Cyberattacken im Vorfeld abzuwehren und mögliche Schäden gering zu halten, ist ein ganzheitliches Konzept erforderlich. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44924228 / Definitionen)