Information Security Management System

„IT-Security basiert nicht nur auf Technik.“

Carl Dietzel, CEO

Ein ISMS (Information Security Management System) ist gemäß ISO 27001 Teil des gesamten Managementsystems in einem Unternehmen oder einer Institution, der auf der Basis eines Geschäftsrisikoansatzes die Entwicklung, Implementierung, Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserung der Informationssicherheit abdeckt. Es beinhaltet Abläufe und Regelwerke, um eine fortwährende Überwachung und Anpassung des Sicherheitsniveaus zu gewährleisten.

Die Entwicklung und der Betrieb des ISMS ist kein einmaliger Vorgang, sondern orientiert sich am PDCA-Zyklus:

Durch den PDCA-Zyklus soll eine ständige Verbesserung des Sicherheitsprozesses erreicht werden. Ein ISMS begleitet die Geschäftsprozesse und den IT-Betrieb; damit ist nach dem Projekt zur erstmaligen Einführung eines ISMS der Betrieb eines ISMS als Regelprozess zu verstehen, nicht nur als einmaliger Aufwand.

Motivation für die ISMS-Einführung sind u.a. ein hohes, internes Sicherheitsbewusstsein, vertragliche bzw. gesetzliche Vorgaben oder ein Wettbewerbsvorteil gegenüber Mitbewerbern im Markt. Wird ein ISMS-Zertifikat angestrebt, orientiert sich die Umsetzung analog der zugrundeliegenden Norm (z.B. ISO27001) – Struktur und Prozess eines ISMS kann jedoch auch nach eigenen Vorgaben entwickelt werden. Die Schlüsselthemen sind:

WordCloud_Nearshoring

Management-Direktiven und Projektplanung

Komplementär zur IT-Strategie gibt die Information SecurityStrategie eine Beschreibung für das ISMS und die Informationssicherheit im Unternehmen. Hier werden die nachfolgenden Entscheidungen der Unternehmensführung benötigt: Festlegung des ISMS-Scopes, Identifikation der Schutzziele, Definition der Sicherheitsrollen inklusive deren Kompetenzen und die Bereitstellung von Ressourcen gehören hierzu, die als Vorgabe für die weitere Planung Voraussetzung sind.

Identifikation schützenswerter Unternehmensprozesse

Möglich, aber nicht immer sinnvoll ist eine Absicherung aller ITAssets in einem Unternehmen. Das Kosten-/Nutzenverhältnis sollte im Blick behalten werden.

Untersuchung der jeweiligen Risiken und Planung der Maßnahmen

Sind die relevanten Prozesse identifiziert, müssen das Risikopotential der unterstützenden IT-Komponenten ermittelt, sowie entsprechende, vorsorgende Maßnahmen festgelegt werden.

Regelmäßige Überprüfung des Sicherheitsniveaus

Schwachstellen in Prozessen und IT-Komponenten sollten regelmäßig geprüft werden. Gängige Verfahren hierzu sind dedizierte Audits, sowie Penetrationstests.

Bewertung und Anpassung des ISMS

Die IT-Sicherheitsstrategie und das ISMS sind kontinuierlich zu bewerten und anzupassen. Hierzu werden die Resultate der Audits und Penetrationstests, aber auch Ergebnisse aus Logfile-Analysen oder Störfall-Meldungen herangezogen.

WordCloud_Nearshoring
WordCloud_Nearshoring

Erfolgsfaktoren für ein funktionierendes ISMS sind:

  • eine aktive Beteiligung der Unternehmensführung
  • eine detaillierte Projektplanung
  • Awareness-Schulungen der Anwender
  • sowie eine ständige Überprüfung und Verbesserung

Dietzel & Company besitzt langjährige Erfahrung im ISMSUmfeld und unterstützt Sie gerne bei nachfolgenden Aufgaben:

  • ISMS-Projektmanagement
  • Pflege der Information Security Policy / Informationssicherheitsleitlinie
  • ISMS-Konzeption
  • Erarbeitung einer Methodik zur Verwaltung von Risiken
  • Identifikation von risikomindernden Maßnahmen
  • Abbildung von sicherheitsbezogenen Anforderungen in andere Geschäfts- oder IT-Prozesse (bspw. Incident Management,
  • Problem Management oder Change Management)
  • Durchführung von Audits und Penetrationstests
  • Schulungen (Management, Mitarbeiter) Reporting
  • Einführung eines GRC-Tools zur zentralen Steuerung des ISMS
Als Ergebnis ermöglicht das ISMS eine Unterstützung der Geschäftsprozesse durch Identifizierung und Management der damit verbundenen IT-Risiken, damit sich die Geschäftsprozesse auf das Wesentliche konzentrieren und auch profitabler arbeiten können.