Informationssicherheits-Managementsystem

Informationssicherheit im Unternehmen systematisieren.

✓ TÜV-geprüft und zertifiziert

✓ persönliche Beratung

✓ praxisnahe Umsetzung

Definition ISMS

ISMS steht für Information Security Management System und ist, wie der Name schon verrät, ein Management-System, welches sich mit Informationssicherheit beschäftigt.

Hierzu stellt es Regeln und Methoden auf, mit deren Hilfe die Informationssicherheit in Unternehmen oder Organisationen generiert wird. So können Unternehmenswerte geschützt und mögliche Risiken minimiert werden.

Dieses System zeigt auf, was notwendig ist, um diese Herausforderung zu meistern, wie genau sich die Aufgabe realisieren lässt und wie die Ergebnisse daraus überprüft werden können. Somit lässt sich das komplexe Thema Informationssicherheit einfacher in einem Unternehmen umsetzen.

ISMS ist jedoch kein herkömmliches Informationssystem wie eine Software oder ein Tool. Es arbeitet mit einer Vielzahl an weiteren Faktoren.

Ist Informationssicherheit gleich Datenschutz?

Gleich vorwegnehmend zu sagen ist, dass Informationssicherheit und Datenschutz zwar Hand in Hand gehen aber keinesfalls das gleiche sind.

Der Datenschutz steht der Informationssicherheit manchmal sogar im Weg.

Die Informationssicherheit würde auch ohne den Datenschutz auskommen.

Denn ISMS sichert geschützte Daten ab, somit auch die personenbezogenen Daten.

Jedoch müssen für den Datenschutz ISMS Erweiterungen vorhanden sein, um die Sicherheit bestmöglich zu gewährleisten.

Ein Datenschutz-Management-System sollte also trotzdem verwendet werden, um auf Nummer sicher zu gehen.

ISMS leistet nur einen Beitrag zum Schutz personenbezogener Daten und konzentriert sich Hauptsächlich auf den Schutz auf technischer Ebene.

Gründe für die Nutzung eines Information Security Management Systems

Die Implementierung eines ISMS ist von großem Nutzen, da dadurch weitreichender Schaden im Bereich IT-Anwendungen, IT-Prozesse und IT-Infrastruktur verhindert werden kann.

Ein ISMS bietet diesbezüglich einen umfassenden Schutz.

Sie entgehen so möglichen Verstößen gegen datenschutzrechtliche Bestimmungen, die eine hohe Bußgeldsumme mit sich ziehen können.

Außerdem werden nicht personenbezogene Daten geschützt.

Auch hier droht ein erheblicher Schaden, falls Geschäftsgeheimnisse an Dritte weitergegeben oder von Hackern in Erfahrung gebracht werden.

Gelangt ein solcher Vorfall in die Öffentlichkeit kann das Image der Firma nachhaltig geschädigt werden.

So gewährleistet ISMS mehr Sicherheit

Durch die Betrachtung aller Perspektiven eines IT-Systems ist das Information Security Management System so sicher.

Es erkennt Fehler und bietet sofort Lösungsvorschläge an.

Durch die Definition von Prozessen erreicht ISMS das gewünschte Niveau an IT-Sicherheit.

An diesem Standard wird kontinuierlich festgehalten.

Es berücksichtigt außerdem die Erweiterungen und die Anpassung bereits vorhandener IT-Systeme und leistet Unterstützung bei der Wahl von Hardware und Software.

Zudem wird die Unternehmens-IT vom Information Security Management System laufend gewartet.

Hierfür werden interne Prozesse entworfen.

Um der Gefahr zu entgehen, dass ehemalige Mitarbeiter ein Firmengeheimnis preisgeben oder Mitarbeiter Opfer von Hackern werden, die Social Engineering betreiben, wurden auch bestimmte Prozesse ins Leben gerufen.

Diese sorgen dafür, dass betroffenen Angestellten der Zugriff auf Daten und Systeme verwehrt wird.

Umsetzen eines eigenen ISMS

Die Umsetzung eines ISMS ist nicht ganz einfach und erfordert vor allem Planung und Zeit, die in dessen Aufrechterhaltung investiert werden sollte.

Falls Sie sich für ein Security Management System entschieden haben, sollten Sie sich zunächst überlegen, was Sie erwarten und dies genau definieren.

Sprich, was soll das System leisten und was soll es schützen.

Orientieren Sie sich nun an den gesetzlich vorgegebenen Richtlinien, um mögliche Risiken einordnen zu können.

Es folgt eine Auflistung welche Risiken vertretbar, welche unbedingt umgangen werden müssen und welche Folgen daraus hervorgehen könnten.

Auch deren Eintrittswahrscheinlichkeit wird berücksichtigt.

Daraus ergibt sich nun, welche Maßnahmen ergriffen werden sollten, um ein mögliches Eintreten zu verhindern.

Dieser Prozess sollte regelmäßig überprüft und verbessert werden.

Ansätze zum Aufbauen eines ISMS

Im Folgenden stellen wir Ihnen einige Standards und Ansätze zum Erstellen eines ISMS vor.

DIN EN ISO/IEC 27001

Die ISO 27001 ist der verbreitetste Standard.

Dort sind alle Anforderungen für ein Information Security Management System definiert.

Sie ist vor allem für die Steigerung der internationalen Anerkennung der Informationssicherheit Ihres Unternehmens hilfreich, da sie sich dank des generischen Ansatzes für jede Unternehmensbranche eignet.

BSI 200-1

Dieser Standard enthält ebenfalls die für die Umsetzung eines ISMS notwendigen Maßnahmen, verfolgt jedoch einen anderen Ansatz.

Er spezialisiert sich, im Gegensatz zu dem eingangs erwähnten Standard, nicht auf die generische Management-orientierte Vorgehensweise.

Der BSI 200-1 lehnt sich eher an eine detailliertere Herangehensweise zur Vermeidung von IT-Risiken an.

Es kann von Vorteil sein, beide Standards kombiniert zu nutzen.

ISIS 12

Dieser Ansatz erteilt gezielte Vorgaben zur Umsetzung von Informationssicherheit in einem strukturierten 12 Schritte Plan.

Aufgrund dessen eignet sich diese Variante vor allem für kleinere Unternehmen.

Die Verwaltung eines ISMS

Um ein Information Security Management System effizient und effektiv Nutzen zu können, sollte ein geschulter IT-Sicherheitsbeauftragter eingestellt werden, der sich mit Betrieb und Pflege eines solchen Systems auskennt.

Er ist über den Prozess informiert und beschäftigt sich mit der Auswahl neuer IT-Komponenten und Anwendungen.

Daher steht er in enger Verbindung mit den IT-Verantwortlichen des Unternehmens.

Er gilt als Ansprechpartner für alle Fragen rund um das Thema IT-Sicherheit.

Menü
Beratung
Telefon
Beratung Pop-up
Datenschutzerklärung

Hiermit erteile ich meine Einwilligung, ein Angebot per Mail über die Dienstleistung von www.immerce-consulting.de zu erhalten. Dies kann ich jederzeit widerrufen.
Bitte beachten Sie unsere Datenschutzerklärung.

Telefon:

Öffnungszeiten:
Mo. – Fr.: 08:00 – 17:30 Uhr