Was ist ein ISMS?
ISMS steht für Information Security Management System (Managementsystem für Informationssicherheit) und regelt die gesamte Informationssicherheit innerhalb eines Unternehmens. Ein ISMS koordiniert nicht nur die Informationstechnik, also die IT, sondern alle informationsverarbeitenden- und lagernden Vorgänge.
Die Ziele eines ISMS sind die Bestimmung, Steuerung, Instandhaltung und stete Optimierung der Informationssicherheit im Unternehmen. Man spricht hier von einem sogenannten „Kontinuierlichen Verbesserungsprozess“ (KVP) oder einem PDCA (Plan-Do-Check-Act) Zyklus, ein Ansatz des klassischen Qualitätsmanagements. Wir stellen hier die gängigen ISMS im Vergleich vor.
Folgende Normen, Kataloge und Richtlinien dienen Ihnen zur Implementierung eines geeigneten ISMS.
ISO/IEC 27001
Die ISO/IEC 27001 ist eine Norm mit internationaler Bedeutung und Anwendbarkeit. Sie enthält Vorgaben für die Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines ISMS unter Berücksichtigung von IT-Risiken. Konkret bedeutet das unter Anderem die Formulierung von Zielen zur Informationssicherheit, ein kosteneffizientes Management von Risiken und die Einhaltung von geltenden Gesetzen.
Über 100 Maßnahmen zur Umsetzung sind im Anhang (ISO 27002) konkretisiert. Die Norm ist technikneutral, daher sind die Handlungsanweisungen rein konzeptionell beschrieben und müssen für die Anwendung im Betrieb organisatorisch und technisch abgestimmt werden.
Unternehmen können sich, um die Einhaltung der ISMS Standards für Kunden und Geschäftspartner sichtbar zu machen, nach ISO/IEC 27001 zertifizieren lassen. Gern unterstützen wir Sie beim Zertifizierungsprozess..
BSI-Standard
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit den IT-Grundschutz-Katalogen eine sehr gute Anleitung für die Errichtung eines ISMS in Unternehmen und Behörden. Die Kataloge sind mit über 4.800 Seiten recht umfangreich und beschreiben die Umsetzung der Maßnahmenziele und Maßnahmen für ein ISMS nach den Anforderungen der oben genannten Norm ISO/IEC 27001. Einen direkten Vergleich der ISO/IEC 27001 und den Grundschutz-Katalogen finden Sie auf der Webseite des BSI.
Unternehmen können Ihr ISMS ISO 27001 auf Basis von IT-Grundschutz prüfen und zertifizieren lassen. Damit zeigen Sie, dass Sie mit dem Grundschutz-Maßnahmen für Ihr ISMS vertraut sind und diese auch umsetzen. Als zertifizierter Informationssicherheitsberater nach ISO 27001 und IT-Grundschutz sind wir bestens mit dem Thema vertraut und beraten Sie gern.
Weniger zeit- und kostenintensive Alternativen zu ISO/IEC 27001 und dem IT-Grundschutz:
ISIS12
Das „Netzwerk für Informationssicherheit im Mittelstand (NIM)“ hat in Anlehnung an den IT-Grundschutz und der Norm ISO/IEC 27001 ein Modell zur Einführung eines ISMS entwickelt, das 12 konkrete Schritte vorsieht. Der wesentliche Unterschied zum IT-Grundschutz und der ISO/IEC 27001 besteht darin, dass nicht jedes Bedrohungsszenario analysiert und abgedeckt wird. Unternehmen erhalten vielmehr in begrenztem Umfang eine klare Handlungsanweisung für ein ISMS.
In 12 Schritten zum ISMS:
- Leitlinie erstellen
- Mitarbeiter sensibilisieren
- Informationssicherheitsteam aufbauen
- IT-Dokumentationsstruktur festlegen
- IT-Servicemanagement-Prozess einführen
- Kritische Applikationen identifizieren
- IT-Struktur analysieren
- Sicherheitsmaßnahmen modellieren
- Ist-Soll vergleichen
- Umsetzung planen
- Umsetzen
- Revision
Hinweis: Ein ISMS nach ISIS12 ist nicht geeignet für Anbieter „kritischer Infrastrukturen“ gem. dem IT-Sicherheitsgesetz.
Für einen schnellen Einstieg empfehlen wir die
VdS 3473
Eine weitere Alternative zur ISO/IEC 27001 und dem IT-Grundschutz sind die Richtlinien VdS 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU). Sie wurden in erster Linie für die Anwendung von kleinen und mittleren Unternehmen erstellt und beachten deren besondere Anforderungen, Möglichkeiten und Pflichten zum Aufbau eines ISMS. In Hinblick auf die Organisationsstruktur von KMUs wird der finanzielle und organisatorische Aufwand so gering wie möglich gehalten.
Die Richtlinien wurden von Experten der VdS Schadenverhütung GmbH konzipiert und sind mit dem ISO/IEC 27001 und dem IT-Grundschutz kompatibel. Für die Einhaltung und Umsetzung der VdS 3473 Vorgaben kann ein Zertifikat beantragt werden, das Ihren Kunden und Geschäftspartnern Ihre Sensibilität mit dem Thema Informationssicherheit bestätigt und zugleich Ihre eigenen Haftungsrisiken senkt. Wenden Sie sich bei Fragen oder für eine ausführliche Beratung gerne an uns.
Der VdS 3473 ist eine wertvolle Ressource für KMU, die ihre Informationssicherheit systematisch verbessern möchten. Er bietet eine praxistaugliche und kosteneffiziente Alternative zu komplexeren internationalen Standards und ist ein wichtiges Werkzeug im Kampf gegen die steigenden Bedrohungen durch Cyberkriminalität.
VdS 10001
Der VdS 10001 bietet eine umfassendere Herangehensweise an die Informationssicherheit und kann als Erweiterung oder Alternative zum VdS 3473 gesehen werden Es baut auf den Anforderungen der internationalen Norm ISO/IEC 27001 auf, wurde jedoch ebenfalls für KMU konzipiert. Wir halten es insbesondere für Unternehmen geeignet, die ein anspruchsvolleres oder ISO/IEC 27001-nahes ISMS implementieren möchten.
Die beiden Standards verfolgen unterschiedliche Ziele: Der VdS 3473 richtet sich an KMU, die eine grundlegende, praxisorientierte Lösung für ihre IT-Sicherheit suchen. Es bietet eine niedrigschwelligere Einstiegshürde und ist besonders für Unternehmen geeignet, die nicht die umfassenden Anforderungen eines ISO/IEC 27001-konformen Systems benötigen.
Der VdS 10001 ist für KMU gedacht, die eine intensivere Auseinandersetzung mit Informationssicherheit anstreben und möglicherweise eine Zertifizierung anstreben, die näher an den internationalen Standards liegt.
C5
Der Cloud Computing Compliance Criteria Catalogue (kurz C5) ist ein vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelter Katalog von Anforderungen, der sich speziell an Anbieter von Cloud-Diensten richtet. Der C5-Katalog legt Sicherheitsanforderungen fest, die sicherstellen sollen, dass Cloud-Dienstleistungen sicher und vertrauenswürdig sind. Er ist besonders relevant für Unternehmen und öffentliche Einrichtungen, die Cloud-Dienste nutzen oder bereitstellen und dabei hohe Anforderungen an die Informationssicherheit haben.
Der C5 richtet sich in erster Linie an Cloud-Service-Provider (CSPs), die ihre Dienstleistungen in Deutschland anbieten oder sich an deutsche Kunden richten. Er dient auch Cloud-Kunden als Referenzrahmen, um die Sicherheit der angebotenen Cloud-Dienste besser beurteilen zu können. Cloud-Service-Provider können sich einer Prüfung nach C5 durch eine unabhängige Stelle unterziehen. Dies führt zu einer Bestätigung, dass die Sicherheitsanforderungen des C5 erfüllt werden. Diese unabhängigen Stellen sind derzeit ausschließlich Wirtschaftsprüfer. Die Prüfung läuft auch dabei in zwei Stufen ab. Der Katalog ist öffentlich und kann beim BSI heruntergeladen werden.
In welche Richtung Sie auch gehen möchten, wir begleiten Sie und unterstützen Sie bei der Entwicklung und der Einführung eines ISMS. Nehmen Sie bitte Kontakt über unser Kontaktformular auf.