Skip to the main content.

1 minute gelesen

Schritt für Schritt zu einem ISMS

Schritt für Schritt zu einem ISMS

Der Pool an sensiblen Daten in einem Unternehmen befüllt sich immer schneller und oftmals ist kein Fundament für eine strukturierte IT-Security-Lösung vorhanden. Prozesse sind nicht klar definiert und es mangelt an festgelegten Regelungen und Verfahren, um Daten zu schützen. Ein gutes Information Security Management System (ISMS) kann dabei der Retter in Not sein. Mit ihm lässt sich Informationssicherheit beherrschbarer machen und die Attraktivität gegenüber Kunden fördern. Es optimiert die Sicherheit der Daten und stärkt somit das Vertrauen in das Unternehmen.

Der Aufbau eines ISMS

Einmal ein Konzept aufzusetzen, reicht allerdings nicht aus. Die Anforderungen, die an die Informationssicherheit gestellt werden, sind in stetigem Wandel. Deshalb muss auch das ISMS flexibel sein und sich weiterentwickeln. Folgende Schritte sollten bei der Erstellung beachtet werden:

  1. Risikoanalyse: Ausgangspunkt für alle Entscheidungen ist die individuelle Feststellung der Risiken des jeweiligen Unternehmens
  2. Strategie- und Zielfindung: Durch das Top-Management wird die Strategie festgelegt und die zu erreichenden Ziele
  3. IT-Sicherheitsschwachstellenanalyse: Erhebung des aktuellen Status, um Schwachstellen zu identifizieren
  4. Umsetzungsplan: Festlegung von Sicherheitsmaßnahmen und Zuordnung an die jeweiligen Verantwortlichen
  5. Konzeptetablierung: Erstellung eines Regelwerks der gelebten Richtlinien und Maßnahmen
  6. Kontrolle: Überprüfung, ob die bisherigen Schritte umgesetzt wurden und die definierten Risikoziele noch aktuell sind

Bei genauerer Betrachtung des ISMS wird deutlich, dass es sich um einen zyklischen Verlauf handelt, der durch einen Plan-Do-Check-Act Kreislauf dargestellt werden kann. Dabei wird das Top-Management stark eingebunden, formuliert und überprüft die Ziele und eruiert die möglichen Folgen von Informationssicherheitslücken oder -verstößen, was zu einem ständigen Verbesserungsprozess führt.  

Die Bestandteile dieses Systems – die Security Policies – sind Richtlinien, die Regeln, Konzepte und Maßnahmen umfassen, mit denen der Sicherheitsanspruch in allen Bereichen erreicht werden soll. Dabei sollten die drei Sicherheitsziele stets vor Augen gehalten werden: Vertraulichkeit, Verfügbarkeit und Integrität.

Eine einzige Security Policy reicht jedoch für einen kompletten Schutz nicht aus. Erst durch die Ergänzung mehrerer, kann in Form eines ISMS die Datensicherheit gewährleistet werden. Basierend auf diesem System haben Unternehmen auch die Möglichkeit eine Zertifizierung zu erlangen, die das Sicherheitsniveau national und international bestätigt. Hierzu zählt das international anerkannte ISO/IEC 27001 Zertifikat und weitere Zertifikate aus der ISO/IEC-27000-Reihe.

Macht das auch für kleinere Unternehmen Sinn? 

Ganz egal, ob große oder kleine Unternehmen, alle besitzen schützenwerte Informationen, die durch Cyberkriminelle gefährdet sein können. Der Schutz von Daten sollte bei Unternehmen jeglicher Größe an erster Stelle stehen. Auch wenn kleine Unternehmen meist nicht die nötigen Ressourcen besitzen, ein ISMS im großen Stil aufsetzen zu können, sollten sie dennoch Policies festlegen. Dabei können auch interne oder externe Berater unterstützen.

Bildquelle: Worawut-stock.adobe.com


Dirk Wocke

Compliance Manager, indevis

Das könnte Sie auch interessieren:

Unternehmen in der Pflicht: Besonderes Schutzbedürfnis personenbezogener Daten gemäß DSGVO

2 minuutin luku

Unternehmen in der Pflicht: Besonderes Schutzbedürfnis personenbezogener Daten gemäß DSGVO

Seit Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) nun in der EU geltendes Recht. Unternehmen stehen deshalb in Sachen personenbezogenem Datenschutz besonders in der Pflicht. Doch noch immer haben nicht alle Unternehmen entsprechende Maßnahmen ergriffen, um die Daten vollumfänglich zu schützen.

Information Security Management System – ein Held in der Informationssicherheit

2 minuutin luku

Information Security Management System – ein Held in der Informationssicherheit

In vielen Unternehmen ist die Implementierung eines Information Security Management Systems (ISMS) noch nicht gang und gäbe. Mithilfe diesem Managementsystem, lässt sich jedoch die Informationssicherheit auf eine andere Ebene bringen. Warum das so ist, erfahren Sie hier.

Datenschutz-Grundverordnung – Fluch oder Segen?

2 minuutin luku

Datenschutz-Grundverordnung – Fluch oder Segen?

2018 werden grundlegende Änderungen der EU-Gesetzgebung in Kraft treten, die nahezu jedes Unternehmen betreffen, das in oder mit der EU Geschäfte tätigt. Zwei dieser Themen sind die Datenschutz-Grundverordnung (DSGVO) und die EU-Richtlinie zur Netz- und Informationssicherheit (NIS). Bereiten Sie sich schon heute auf die Umsetzung Verordnungen vor!