ISMS

ISMS – einfach erklärt Teil 1: Die Bedeutung eines ISMS für Ihr Unternehmen

Immer mehr Unternehmen streben eine Verbesserung der Informationssicherheit im eigenen Unternehmen an. Um dieser Herausforderung gerecht zu werden, setzen Organisationen auf den Aufbau eines Informationssicherheits-Management-Systems, kurz ISMS. Damit so ein Projekt erfolgreich umgesetzt werden kann, sind vor der Einführung verschiedene Aspekte zu beachten, die den verantwortlichen Personen bewusst gemacht werden müssen. Erfahren Sie mehr über die Bedeutung eines ISMS für Ihr Unternehmen in diesem Blog-Artikel und unserem YouTube-Video dazu.

 

 

ISMS ist kein Softwareprodukt

Ein Informationssicherheits-Management-System beinhaltet zwar das Wort „System“, dennoch sollte dies nicht mit einem Informationssystem wie einer Software oder einem Tool gleichgesetzt werden. Natürlich gibt es zur Unterstützung beim Aufbau eines ISMS hilfreiche Werkzeuge. Unter anderem Tools für die softwaregestützte Durchführung von Risikomanagement-Prozessen oder der Verwaltung unternehmensinterner Sicherheitsrichtlinien. Dennoch umfasst ein ISMS viele weitere Faktoren, die Sie bei der Einführung im eigenen Unternehmen beachten müssen.

Der Unterschied zwischen Informations- und IT-Sicherheit

Die beiden Begriffe Informations- und IT-Sicherheit werden in der Praxis oftmals vereint. Streng genommen muss man diese beiden Themenkomplexe jedoch differenziert betrachten. Die IT-Sicherheit umfasst Tätigkeiten, die vorrangig und operativ von der IT-Abteilung umgesetzt werden. Implementierung von Verschlüsselungsverfahren, Umsetzung technischer Maßnahmen zum Schutz vor Schadsoftware oder auch die Durchführung von Penetrationstests zur Aufdeckung von Schwachstellen in der eigenen IT-Infrastruktur seien hier genannt. Dies sind beispielhafte Tätigkeiten, um die IT-Sicherheit in Ihrem Unternehmen auf ein angemessenes Niveau zu heben und auch Bestandteil beim Aufbau eines ISMS sind.

Informationssicherheit hingegen trifft nicht nur die IT-Abteilung, sondern muss initial von der Unternehmensleitung und allen anderen Unternehmensbereichen umgesetzt werden. Nur wenn das Management hinter diesem Projekt steht, kann ein ISMS mit den notwendigen zeitlichen, finanziellen und vor allem personellen Ressourcen erfolgreich umgesetzt werden. In Unternehmen bedürfen nicht nur IT-Systeme besonderen Schutzes vor Angriffen, sondern auch alle anderen Informationswerte im Unternehmen. Unterlagen in Papierform, Prozesse oder die regelmäßige Schulung von Mitarbeitern sind nur Beispieltätigkeiten, die es umzusetzen gilt.

Verschiedene Herangehensweisen für den Aufbau eines ISMS

Welche Arbeitspakete und Schritte nun im Detail notwendig sind, um ein vollständiges ISMS aufzubauen, ergibt sich aus den verschiedenen Standards und Orientierungshilfen, die bereits existieren. Die Umsetzung technischer, organisatorischer und auch personeller Sicherheitsmaßnahmen werden unabhängig vom gewählten ISMS-Ansatz immer vorausgesetzt. Unterschiede in der Umsetzung gibt es dennoch in den vier bekannten Standards.

ISO27001

Der bekannteste Standard, in dem die Anforderungen für ein ISMS definiert sind, ist wohl der internationale Standard ISO 27001. Dieser eignet sich aufgrund seines generischen Ansatzes für jede Unternehmensbranche und verfolgt das Ziel einer internationalen Anerkennung der Informationssicherheit in Ihrem Unternehmen.

BSI 200-1

Das Bundesamt für Sicherheit in der Informationstechnik beschreibt in seinem deutschen Standard 200-1 ebenfalls Maßnahmen, die zur Umsetzung eines ISMS notwendig sind. Dieser Standard verfolgt aber nicht hauptsächlich den generischen Management-orientieren Ansatz, sondern liefert eher detailliertere Vorgehensweisen zur Minimierung von IT-Risiken. In gewissen Bereichen macht es also auch Sinn, sich parallel an beiden Quellen, also ISO und BSI zu orientieren, wenn Sie ein ISMS aufbauen wollen.

ISIS12

ISIS12 hingegen ist der Ansatz für ein ISMS welcher sich aufgrund seines konkreten 12-Schritte-Plans besonders für kleine, mittelständische Unternehmen und Kommunen eignet und klare Anweisungen zur Umsetzung vorgibt.

TISAX®

TISAX® ist ebenfalls ein Modell zur Einführung eines ISMS. Dieses richtet sich insbesondere an Zulieferer vom Verband der Automobilindustrie. Im Gegensatz zu den anderen Standards wird hier zusätzlich ein verstärktes Augenmerk auf den Schutz von Prototypenfahrzeuge- oder Teilen gelegt. Mehr zum Thema TISAX® erfahren Sie in unseren Videos und Blog-Artikeln dazu.

 

Zusammenfassend lässt sich sagen, dass der Aufbau eines ISMS ein komplexes Thema ist. Der beste Ansatz zum Aufbau eines ISMS hängt nicht zuletzt vom angestrebten Sicherheitsniveau und dem Risikoappetit des Unternehmens ab und ist somit für jedes Unternehmen individuell festzulegen.

 

Gerne unterstützen und beraten wir Sie bei der Auswahl und Umsetzung persönlich. Unsere zertifizierten IT-Spezialisten sind gerne für Sie da. Füllen Sie einfach unser Kontaktformular aus oder schreiben Sie eine E-Mail an info@aigner-business-solutions.com. Wir sind auch telefonisch für Sie erreichbar unter 08505 – 91927-0.

 

TISAX ist eine eingetragene Marke der ENX Association.