ISMS bedeutet Information Security Management System (im Deutschen Managementsystem für Informationssicherheit). Es handelt sich um eine Sammlung von Regeln und Methoden, um ganzheitliche Informationssicherheit in einem Unternehmen zu schaffen und diese kontinuierlich zu verbessern. Ein ISMS besteht aus Vorgaben, Prozessen und Tools, mit denen die IT-Risiken beherrscht und die IT-Sicherheit hergestellt werden sollen. International standardisiert ist das Information Security Management System in der Normenreihe ISO/IEC 2700x. Während ISO/IEC 27001 das ISMS definiert, beschreibt ISO/IEC 27003 Verfahren zur Entwicklung und Implementierung eines Information Security Management Systems.
Anforderungen eines ISMS
Inhaltsverzeichnis
Für ein wirksames und zertifizierbares Information Security Management System sind mehrere Anforderungen zu erfüllen.
Die umzusetzenden Anforderungen eines ISMS:
- Übernahme der Gesamtverantwortung für die Informationssicherheit durch die Leitungsebene
- Festlegung der Leitlinien und der Sicherheitsziele
- Benennung eines Informationssicherheitsbeauftragten
- Aufbau einer Organisationsstruktur für die Informationssicherheit
- Festlegung der Sicherheitsmaßnahmen
- Integration der Mitarbeiter in die Sicherheitsprozesse
- Integration der Informationssicherheit in alle Unternehmensprozesse
Grundsätzlich verfolgt das ISMS einen Top-Down-Ansatz. Das Information Security Management System fällt in den Verantwortungsbereich der Unternehmensführung. Sie hat die Gesamtverantwortung für die Informationssicherheit zu übernehmen. Sämtliche Sicherheitsprozesse sind vom Top-Management zu initiieren, zu steuern und zu kontrollieren. Nur die Detaillierung und Umsetzung der Maßnahmen kann Mitarbeitern übertragen werden. Hierfür sind sie mit den benötigten Ressourcen und Kompetenzen auszustatten. Die Unternehmensführung trägt die Sicherheitsstrategie und legt Leitlinien und Ziele fest. Zur Koordination und Steuerung der Sicherheitsprozesse ist ein Informationssicherheitsbeauftragter zu benennen. Die Erreichung der Sicherheitsziele ermöglicht der Aufbau einer Organisationsstruktur für die Informationssicherheit, die Rollen, Aufgaben, Verantwortungen, Kommunikationswege und Kompetenzen eindeutig benennt. Festgelegte Sicherheitsmaßnahmen sind in den Sicherheitskonzepten dokumentiert und werden ständig aktualisiert. Alle Mitarbeiter des Unternehmens müssen über die ihren Arbeitsplatz betreffenden Sicherheitsmaßnahmen informiert sein. Sie gestalten die Informationssicherheit aktiv mit und kennen Hintergründe und Risiken. In den verschiedenen Geschäftsprozessen ist die Informationssicherheit berücksichtigt und integriert.
Die Rolle des Informationssicherheitsbeauftragten im ISMS
Eine zu erfüllende Anforderung ist die Benennung eines Informationssicherheitsbeauftragten. Er ist bei allen größeren Projekten und bei der Einführung neuer IT-Systeme oder -Anwendungen beteiligt. Innerhalb des Unternehmens ist er zentraler Ansprechpartner für alle Fragen, die die Informationssicherheit betreffen. Hierfür arbeitet er eng mit den IT-Verantwortlichen zusammen und ist in die ISMS-Prozesse integriert. Die Benennung des Beauftragten erfolgt durch die Unternehmensführung, die das komplette Information Security Management System verantwortet. Der Informationssicherheitsbeauftragte ist der Führung unterstellt und berichtet dieser in regelmäßigen Abständen. Um seinen vielfältigen Aufgaben nachzukommen, verfügt er meist über ein selbst verwaltetes Finanzbudget.
Notwendige Schritte zur Etablierung eines ISMS
Die Einführung eines ISMS erfolgt in mehreren Schritten. Zunächst legt das Unternehmen fest, welche Informationswerte das ISMS schützen soll. Unter Berücksichtigung der internen und externen Schnittstellen werden die Grenzen und Anwendungsbereiche definiert. Aufbauend auf diesen Festlegungen werden die Risiken innerhalb des Anwendungsbereichs identifiziert und bewertet. Für jeden zu schützenden Wert ist zu bestimmen, welche Risiken durch die Beeinträchtigung von Integrität, Vertraulichkeit oder Verfügbarkeit von Daten und Systemen entstehen. Das Unternehmen legt verbindlich fest, welche Risiken noch vertretbar sind und welche unbedingt ausgeschlossen werden müssen. Auf Basis der Risikoabschätzung erfolgt in einem weiteren Schritt die Auswahl geeigneter Maßnahmen zur Risikovermeidung. Jede Maßnahme verfolgt bestimmte Ziele und wird kontinuierlich kontrolliert. In einem regelmäßigen Prozess ist die Wirksamkeit des ISMS zu überprüfen. Sich verändernde Anwendungsbereiche und Risiken finden im Prozess Berücksichtigung. Die Einbeziehung von Optimierungspotenzialen und die Beseitigung erkannter Mängel führt zu einer stetigen Verbesserung des ISMS.
Abgrenzung zwischen ISMS und Datenschutz
Für das Information Security Management System sind grundsätzlich alle zu schützenden Daten gleich. Personenbezogene Daten genießen keine Sonderstellung und werden vom ISMS gleich wie andere Daten behandelt. Daher beinhaltet ein ISMS nicht zwingend den Datenschutz eines Unternehmens. Grundsätzlich sind zwar alle Daten durch technische und organisatorische IT-Sicherheitsmaßnahmen geschützt, doch garantiert das ISMS nicht die Einhaltung der gesetzlichen Vorgaben oder Regelungen zur Verarbeitung personenbezogener Daten. Zur Einhaltung des Datenschutzes ist es erforderlich, ein Datenschutz-Managementsystem einzuführen beziehungsweise das ISMS dahingehend zu erweitern. Zusätzlich ist ein Datenschutzbeauftragter zu benennen. Das Information Security Management System ersetzt kein Datenschutz-Managementsystem.
Zusammenfassung
- Das ISMS ist eine Sammlung von Richtlinien, Maßnahmen und Tools zur Einhaltung der IT-Sicherheit und Beherrschung der IT-Risiken
- Definiert und beschrieben ist das ISMS in der Normenreihe ISO 2700x
- Das ISMS verfolgt einen Top-Down-Ansatz. Die Gesamtverantwortung für die Informationssicherheit trägt die Unternehmensführung
- Die Benennung eines Informationssicherheitsbeauftragten ist zwingend erforderlich
- Das Information Security Management System ersetzt kein Datenschutz-Managementsystem. Es behandelt alle Daten, auch personenbezogene, gleich