businessman hand showing 3d padlock on touch screen computer as Internet security online business concept

ISMS – Informationssicherheits-Managementsystem

Wie bereits gesagt, lassen Sie sich vom Namen bitte nicht abschrecken. ISMS gibt es in vielen Ausprägungen, passend zu Ihren Geschäftsanforderungen. Weiter unten finden Sie eine Auswahl wichtiger, standardisierter ISMS.

Wir realisieren ISMS für große und mittlere Unternehmen, aber auch für kleine und selbst für Vereine.

Wozu benötigen wir ein ISMS?

Inzwischen ist es jedem klar, wie wichtig die IT fürs Geschäft ist und dass man diese ausreichend absichern sollte, doch wer kann sich den Aufwand leisten alles abzusichern, wohl keiner. Zudem ist die Sicherheit von heute – morgen bereits überholt. Die Informationssicherheit ist Verantwortungsbereich der Unternehmensleitung. 

 

Es kann sich aber auch keiner mehr leisten nicht angemessen abgesichert zu sein, heute, morgen, dauerhaft. Angemessen heißt dabei, dass Ihre wichtigen Unternehmenswerte (Assets) ausreichend geschützt sind.

 

Ein Information Security Management System (ISMS) definiert Regeln, Methoden und Abläufe, um die IT-Sicherheit in einem Unternehmen zu gewährleisten, zu steuern und zu kontrollieren. 

 

Wer benötigt ein ISMS?

  • Sie wollen ihre Unternehmensdaten schützen gegen ungewollte Veränderungen, gegen Verlust oder gegen unbefugten Zugriff?

  • Informationstechnologie spielt eine wichtige Rolle in Ihrem Unternehmen und sollte immer „laufen“.

  • Sie wollen Ihr limitiertes Budget für IT-Sicherheit an den richtigen Stellen investieren.

  • Sie wollen die Reife Ihrer IT-Sicherheit stetig verbessern und effizienter machen. 

Sie merken bereits unser Credo: Es gibt eigentlich keine Organisation, die künftig ohne ein Informationssicherheits-Management auskommt.

Was genau ist denn ein ISMS?

„Ein Informationssicherheits-Management-system (ISMS) ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.“ Sie finden diese Definition und sehr gute Information darüber in Wikipedia.

ISMS

Welche ISMS sind im Einsatz und was zeichnet sie aus?

Die wichtigste Norm ist die Normenreihe DIN/ISO/IEC 27xxx. Wir sprechen kurz von ISO 27001, da die DIN/ISO/IEC 27001 das Zentraldokument ist und verbindlich für alle Zertifizierungen. Die ISO 27001 ist immer unser empfohlener Ansatz, da Sie national und international der anerkannte Standard ist. Über 25000 Unternehmen sind inzwischen bereits zertifiziert. Mehr Information zur ISO27001 finden Sie hier.

 

Ein Hauptvorteil der ISO 27001 ist die hohe Anpassbarkeit, zugleich aber auch deren Nachteil. Die Norm ist sehr abstrakt und kann auf alle Geschäftsfelder und Unternehmensarten und -größen angewandt werden. Zur Umsetzung kommen 114 sogenannte „Controls“ zu 35 Maßnahmenzielen. Diese werden in der ISO27002 greifbar gemacht.

 

Eine sehr detaillierte Vorschrift, der BSI IT Grundschutz, wird vom BSI (Bundesamt für Sicherheit in der IT) mit dem modernisiertem Grundschutzkompendium- zur Verfügung gestellt. Dies ist vor allem für Öffentliche Stellen relevant, wird aber auch gut genutzt, um konkrete Maßnahmen zu planen, z.B. bei der Umsetzung der ISO 27001.

Die aufwändigste Norm ist der BSI IT Grundschutz, dem folgt die ISO 27001 und dieser reduzierte ISMS, wobei wir an dieser Stelle nur auf ISIS12 und VdS10000 (früher VdS3473) hinweisen wollen.

 

ISIS12 wird vom Netzwerk Informationssicherheit im Mittelstand (NIM) des Bayerischen IT-Sicherheitscluster e.V. für mittelständische Unternehmen und Organisationen entwickelt und umfasst einen stark reduzierten Maßnahmenkatalog verglichen mit BSI IT Grundschutz. Es findet im kommunalen Bereich Anwendung.

 

VdS10000 Informationssicherheits-Managementsystem für kleine und mittlere Unternehmen (KMU) der VdS Schadenverhütung GmbH ist speziell für KMU sowie für kleinere und mittlere Organisationen ausgelegt mit der Zielsetzung, ein angemessenes Schutzniveau zu gewährleisten, ohne die KMU organisatorisch oder finanziell zu überfordern.

 

Sie merken, es gibt eine Vielzahl von Standards. Wir unterstützen Sie bei der Auswahl des für Sie Passenden.

 

Was umfasst ein ISMS

Grundsätzlich folgen alle ISMS den vier Phasen des PDCA oder Deming Zyklus.

  1. Plan: Es werden die Rahmenbedingungen geschaffen, Geltungsbereich, Zielsetzung, Unterstützung des Managements, Governance, Rollen werden geregelt. Des weiteren werden die Unternehmenswerte erfasst, Risiken bewertet und Maßnahmen definiert.

  2. Do: Das Geplante wird umgesetzt. Es wird kommuniziert und dokumentiert. Entscheidend ist alle Beteiligte an Bord zu haben und überflüssige Bürokratie zu vermeiden. Prozesse und Verfahren werden verankert.

  3. Check: Es erfolgt eine Überwachung und Reviews werden durchgeführt, interne Audits und Bewertung durch das Management

  4. Act: Stetige Verbesserung der Prozesse nach Effektivität und Effizienz und Kontrolle und Überwachung der Umsetzung. Alle Tätigkeiten werden ausreichend dokumentiert .

Welche Schritte sind nötig um ein ISMS zu erstellen

Das Wichtigste ist, das die Unternehmensleitung ein ISMS möchte, bzw. als notwendig erachtet und die Einführung und den Betrieb unterstützt.

 

Bestimmen Sie mit der Unternehmensleitung Zielsetzung und schreiben Sie eine verständliche Leitlinie und kommunizieren Sie frühzeitig mit allen Beteiligten.

 

Setzen Sie das Regelwerk des entsprechenden ISMS um. Basis hierzu ist in der Regel immer die Bestimmung der Unternehmenswerte (Assets) und die Betrachtung und Behandlung der Risiken.

 

Das gesamte ISMS wird ausreichend und verständlich dokumentiert und kommuniziert.

 

Eine ausführliche Beschreibung für die ISO 27001 finden Sie auf unserer Webseite dazu.

 

Werden die Technischen und Organisatorischen Maßnahmen, die Basis für das Regelwerk sind, bereits im Unternehmen gelebt, kann das ISMS in kurzer Zeit eingeführt werden. Oft müssen jedoch erst die technischen Voraussetzungen geschaffen werden, z.B. Installation einer Zutrittskontrolle, was dann in einer längeren Projektlaufzeit resultiert.

 

Nach der Planung wird ein PDCA-Zyklus komplett durchlaufen und entsprechend nachjustiert.

Was sind unsere Leistungen für Ihr ISMS?

  1. Wir unterstützen Sie beim Aufbau eines geeigneten ISMS und führen sie durch den gesamten Prozess bis hin zur Zertifizierungsreife

  2. Wir bauen dazu mit Ihnen ein geeignetes IT-Risikomanagement auf

  3. Wir helfen Ihnen ihr ISMS wirtschaftlich zu betreiben und stetig zu verbessern. 

Kontakt

Falls wir Ihr Interesse geweckt würden wir uns auf ein Gespräch freuen.  

Rufen Sie uns an oder kontaktieren Sie uns per Email und vereinbaren Sie einen Termin mit uns.

 

Telefon: (0821) 5675041

Email: Info@secobit.de