Kontakt

ISMS – was ist das überhaupt?

Josephine Luther, B.A.

Veröffentlicht am 18.08.2021 von Josephine Luther, B.A.

Ein Informationssicherheitsmanagementsystem, eng. Information Security Management System (ISMS) definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten. Das ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz ausgehend von der Unternehmensführung. Diese Regeln dienen dazu, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern. Je nach Branche und Gesetz muss eine Organisation ein zertifiziertes ISMS betreiben – oft mit jährlichem externem Audit. Neben der Zertifizierung direkt auf die ISO/IEC-27000-Reihe gibt es in Deutschland drei typische Varianten:

  1. ISO/IEC 27001-Zertifikats auf Basis des IT-Grundschutz
  2. Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12)
  3. VdS Richtlinien 10000 (VdS 10000)
    Das ISMS bildet ab, welche technischen und organisatorischen IT-Sicherheitsmaßnahmen notwendig sind, wie sie sich umsetzen lassen und wie Verantwortliche ihren Erfolg kontrollieren und überwachen.
    Aus Sicht des Datenschutzes ist wichtig: Personenbezogene Daten haben darin keine Sonderstellung. Ein ISMS behandelt sie wie andere zu schützende Daten.
    Ziel des ISMS ist es, über die IT-Abteilung hinaus für ein angemessenes Schutzniveau für Vertraulichkeit, Verfügbarkeit und Integrität von Informationen innerhalb des gesamten Unternehmens beziehungsweise des festgelegten Geltungsbereichs zu sorgen. Das ISMS bildet somit die Grundlage für eine systematische Umsetzung von Informationssicherheit und für die Einhaltung von Sicherheitsstandards. Mögliche Risiken hinsichtlich der Informationssicherheit werden identifiziert, analysiert sowie minimiert und dadurch beherrschbar.

Die DATATREE AG

Die DATATREE AG bietet innerhalb fünf Module die Entwicklung eines starken ISMS.
Im ersten Schritt, dem initialen Assessment (Verlinken), erfolgt eine umfassende Bestandsanalyse, welche Schwächen aufdeckt und die Voraussetzungen für ein starkes Informationssicherheit-Management-System bildet. Daraufhin wird ein angemessener Handlungsumfang definiert. Mit Berücksichtigung aller Beteiligter und Fachabteilungen, gepaart mit einer Dokumentation und dem Aufbau eines Vorgehensmodells (Verlinkung) erhalten Sie mit diesem Assessment für Informationssicherheit eine ausgewogene Entscheidungsvorlage für die weitere Maßnahmenplanung. Im dritten Schritt erfolgt auf Basis des initialen Assessments die Bestellung zum Informationssicherheitsbeauftragten (ISB) (Verlinken). Die Module vier und fünf enthalten Sofort- und begleitende Maßnahmen (Verlinken) mit Hilfe dessen Risiken schnellstmöglich behoben werden.