Was ist ein ISMS?

ISMS steht für Information Security Management System (Managementsystem für Informationssicherheit oder auch Informationssicherheitsmanagementsystem) und regelt die gesamte Informationssicherheit innerhalb eines Unternehmens. Ein ISMS koordiniert nicht nur die Informationstechnik, also die IT, sondern alle informationsverarbeitenden- und lagernden Vorgänge.

Die Ziele eines ISMS sind die Bestimmung, Steuerung, Instandhaltung und stete Optimierung der Informationssicherheit im Unternehmen. Man spricht hier von einem sogenannten „Kontinuierlichen Verbesserungsprozess“ (KVP) oder einem PDCA (Plan-Do-Check-Act) Zyklus, ein Ansatz des klassischen Qualitätsmanagements.

Folgende Normen, Kataloge und Richtlinien dienen Ihnen zur Implementierung eines geeigneten ISMS.

ISO/IEC 27001

Die ISO/IEC 27001 ist eine Norm mit internationaler Bedeutung und Anwendbarkeit. Sie enthält Vorgaben für die Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines ISMS unter Berücksichtigung von IT-Risiken. Konkret bedeutet das unter Anderem die Formulierung von Zielen zur Informationssicherheit, ein kosteneffizientes Management von Risiken und die Einhaltung von geltenden Gesetzen.

Maßnahmen zur Umsetzung sind in ihrem Anhang (ISO/IEC 27002) konkretisiert. Die Norm ist technikneutral, daher sind die Handlungsanweisungen rein konzeptionell beschrieben und müssen für die Anwendung im Betrieb organisatorisch und technisch abgestimmt werden werden.

Unternehmen können sich, um die Einhaltung der ISMS Standards für Kunden und Geschäftspartner sichtbar zu machen, nach ISO/IEC 27001 zertifizieren lassen. Gern beraten wir Sie bei der Einführung und unterstützen Sie beim Zertifizierungsprozess.

BSI-Standard

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit seinem BSI-Standard 200-1 als elementarer Baustandteil seiner IT-Grundschutz-Methodik eine sehr gute Anleitung für die Errichtung eines ISMS in Unternehmen und Behörden. Die Kataloge sind mit über 4.800 Seiten recht umfangreich und beschreiben die Umsetzung der Maßnahmenziele und Maßnahmen für ein ISMS, das kompatibel mit der oben genannten Norm ISO/IEC 27001 ist. Einen direkten Vergleich der ISO/IEC 27001 und den Grundschutz-Katalogen finden Sie auf der Webseite des BSI.

Unternehmen können Ihr ISMS ISO 27001 auf Basis von IT-Grundschutz prüfen und zertifizieren lassen. Damit zeigen Sie, dass Sie mit dem Grundschutz-Maßnahmen für Ihr ISMS vertraut sind und diese auch umsetzen. Als zertifizierter Informationssicherheitsberater nach ISO 27001 und IT-Grundschutz sind wir bestens mit dem Thema vertraut und beraten Sie gern.

Weniger zeit- und kostenintensive Alternativen zu ISO/IEC 27001 und dem IT-Grundschutz:

ISIS12

Das „Netzwerk für Informationssicherheit im Mittelstand (NIM)“ hat in Anlehnung an den IT-Grundschutz und der Norm ISO/IEC 27001 ein Modell zur Einführung eines ISMS entwickelt, das 12 konkrete Schritte vorsieht.

Der wesentliche Unterschied zum IT-Grundschutz und der ISO/IEC 27001 besteht darin, dass nicht jedes Bedrohungsszenario analysiert und abgedeckt wird. Unternehmen erhalten vielmehr in begrenztem Umfang eine klare Handlungsanweisung für ein ISMS.

In 12 Schritten zum ISMS:

  1. Leitlinie erstellen
  2. Mitarbeiter sensibilisieren
  3. Informationssicherheitsteam aufbauen
  4. IT-Dokumentationsstruktur festlegen
  5. IT-Servicemanagement-Prozess einführen
  6. Kritische Applikationen identifizieren
  7. IT-Struktur analysieren
  8. Sicherheitsmaßnahmen modellieren
  9. Ist-Soll vergleichen
  10. Umsetzung planen
  11. Umsetzen
  12. Revision

Hinweis: Ein ISMS nach ISIS12 ist nicht geeignet für Anbieter „kritischer Infrastrukturen“ gem. dem IT-Sicherheitsgesetz.

Für einen schnellen Einstieg empfehlen wir die

VdS 3473

Eine weitere Alternative zur ISO/IEC 27001 und dem IT-Grundschutz sind die Richtlinien VdS 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU). Sie wurden in erster Linie für die Anwendung von kleinen und mittleren Unternehmen erstellt und beachten deren besondere Anforderungen, Möglichkeiten und Pflichten zum Aufbau eines ISMS. In Hinblick auf die Organisationsstruktur von KMUs wird der finanzielle und organisatorische Aufwand so gering wie möglich gehalten.

Die Richtlinien wurden von Experten der VdS Schadenverhütung GmbH konzipiert und sind mit dem ISO/IEC 27001 und dem IT-Grundschutz kompatibel. Für die Einhaltung und Umsetzung der VdS 3473 Vorgaben kann ein Zertifikat beantragt werden, das Ihren Kunden und Geschäftspartnern Ihre Sensibilität mit dem Thema Informationssicherheit bestätigt und zugleich Ihre eigenen Haftungsrisiken senkt. Wenden Sie sich bei Fragen oder für eine ausführliche Beratung gerne an uns.

Den Text der VdS 3473 finden Sie im 3473-Wiki.

In welche Richtung Sie auch gehen möchten, wir begleiten Sie und unterstützen Sie bei der Entwicklung und der Einführung eines ISMS. Nehmen Sie bitte Kontakt über unser Kontaktformular auf.

Unsere PDCA-Unterstützung für Ihr ISMS

Unsere PDCA-Unterstützung für Ihr ISMS