Sie befinden sich hier:

Entwicklung und Implementierung eines Information Security Management Systems (ISMS)

Ein ISMS soll ein angemessenes und effizientes Sicherheitsniveau für die Informationssicherheit eines Unternehmens oder einer Behörde schaffen und insbesondere die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, Geschäftsprozessen, Anwendungen und IT-Systemen gewährleisten.

Die Verfügbarkeit und Funktionstüchtigkeit der IuK-Geräte sowie die Unversehrtheit der Daten sind im zunehmenden Maße gefährdet durch Hacker, Cracker, Erzeuger von Schadenssoftware und anderen Straftätern. Aber auch die eigenen Mitarbeiter verursachen aufgrund ihrer Unkenntnis und Fahrlässigkeit immer höhere Schäden. Zudem lehnen häufig viele Mitarbeiter ihre Verantwortung für die Informationssicherheit durch Verweis auf übergeordnete Hierarchie-Ebenen ab, solange die Rollen im Sicherheitsprozess nicht eindeutig festgelegt sind. Als Folge werden Sicherheitsmaßnahmen nicht umgesetzt, da diese zunächst fast immer einen Mehraufwand im gewohnten Arbeitsablauf darstellen.

Deshalb sollte die Gewährleistung der Datensicherheit in einem Unternehmen oder einer Behörde Chefsache sein. Dies zu erreichen dient die Entwicklung und Implementierung eines ISMS. Dabei handelt es sich um einen kontinuierlichen Prozess, bei dem Strategien und Maßnahmen stetig überprüft und an veränderte Anforderungen angepasst werden.

Ein ISMS erfüllt auch die gesetzlichen Anforderungen des Art. 31 Abs. 1 Buchst. d DSGVO, da es sich um ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung handelt.

Im ISMS werden die notwendigen Maßnahmen zur Realisierung und Aufrechterhaltung des für das Unternehmen oder die Behörde angemessenen Sicherheitsniveaus entwickelt um implementiert. Bei der Einführung eines ISMS sind insbesondere folgende Punkte zu berücksichtigen:

  • Initiierung des ISMS durch die Leitungsebene
  • Festlegung der Sicherheitsziele und -strategie
  • Erstellung einer Leitlinie zur Informationssicherheit
  • Ernennung eines Informationssicherheitsbeauftragten
  • Regelung der Zuständigkeiten und der Aufgabenzuordnung
  • Analyse der Schutzbedürftigkeit
  • Durchführung einer Bedrohungs-, Risiko- und Schwachstellenanalyse
  • Bewertung der Untersuchungsergebnisse
  • Erstellung einer Security Policy
  • Kosten- und Aufwandsschätzung
  • Festlegung der Umsetzungsreihenfolge und -priorität
  • Festlegung der Verantwortlichkeiten
  • Realisierung der Sicherheitsmaßnahmen im Rahmen der Erstellung eines Informationssicherheitskonzeptes
  • Schulungs- und Sensibilisierungsmaßnahmen
  • Erarbeitung Sicherheitshandbuch
  • Dokumentation des Sicherheitsprozesses
  • Aufrechterhaltung der Informationssicherheit

Für die Erstellung eines ISMS kann beispielsweise auf die ISO/IEC 27001 der Internationalen Organisation für Standards und Normen zurückgegriffen werden. Auch der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) zusammen mit den BSI-Standards 100-1 bis 100-4 und 200-1 bis 200-4 zeigen konkrete Maßnahmen zur Sicherstellung der Informationssicherheit auf. Mit beiden Informationsquellen lassen sich Risiken für die Informationssicherheit ermitteln und durch geeignete Maßnahmen auf ein akzeptables Maß reduzieren.

Fundstelle: Leitfaden zur Basis-Absicherung nach IT-Grundschutz

nach oben