Aufbau eines Informationssicherheits-Managementsystem (ISMS)

Um ein ISMS in einem Unternehmen aufzubauen, hat sich eine stufenweise aufeinander aufbauende Vorgehensweise bewährt: [siehe Grafik rechts]

Dieses Vorgehensmodell orientiert sich an den gängigen Normen zum Informationssicherheits-Managementsystem (ISO/IEC 27001 und 27002) und ist seit Jahren aufgrund seiner Praktikabilität anerkannt. Im Ergebnis entsteht ein Managementsystem, durch das sichergestellt werden kann, dass die Informationssicherheit im Unternehmen gelebt wird, dass sie auf die Bedürfnisse des Unternehmens angepasst ist und dass alle wichtigen Aspekte erfasst werden.

Der PDCA-Zyklus

Eine effiziente und effektive Entwicklung, Umsetzung und Verbesserung der Wirksamkeit des ISMS einer Organisation ist durch den integrierten Prozessansatz, das sog. PDCA-Modell (Plan-Do-Check-Act oder „Deming Circle“), sichergestellt.

  • Plan: Festlegen der Sicherheitspolitik, -ziele, -prozesse, Verfahren, die für das Risikomanagement und die Verbesserung der Informationssicherheit relevant sind.
  • Do: Ermittlung des aktuellen Stands der IT-Sicherheit und Umsetzung der Politik, Maßnahmen, Prozesse und Verfahren.
  • Check: Prüfung der Angemessenheit und Qualität der Prozessleistung anhand der Politik, Ziele und praktischen Erfahrungen.
  • Act: Etablierung von Verbesserungs- und Präventivmaßnahmen, basierend auf den Ergebnissen der vorherigen Prüfung.

Wir können Sie in jeder Phase mit unserer Erfahrung, Expertise und mit nützlichen Tools unterstützen. Fordern Sie noch heute ein unverbindliches Angebot an.

Sie streben eine Zertifizierung an?

Wir unterstützen Sie beim Aufbau, bei der Verbesserung und Optimierung Ihres Informationssicherheits-Managementsystems; bis zur Zertifizierungsreife. Egal ob ISO 27001, Grundschutz, KRITIS oder TISAX.

Welche Schritte muss ich beachten, wenn ich ein ISMS aufbauen möchte?

  1. Grundlage für alle Entscheidungen, die beim Aufbau eines ISMS getroffen werden müssen, ist die ganz individuelle Risikosituation der Institution. Deshalb muss im Rahmen einer Risikoanalyse erhoben und dokumentiert werden, welche informationsorientierten Gefährdungen und Risiken für die jeweilige Institution relevant sind [siehe auch risk.Checkup].
  2. In Kenntnis der Risiken muss das Top-Management entscheiden, welche Informationssicherheits-Strategie es verfolgen will. Diese Strategie muss dann durch konkretere Ziele handhabbar/operationalisierbar gemacht werden [siehe auch ziel.Checkup].
  3. Die Abhängigkeit von der Funktionsfähigkeit und Richtigkeit der technischen Informationsverarbeitung steigt ständig. Gleichzeitig schreiben Gesetze vor, welche Anforderungen an „sichere Systeme“ zu stellen sind. Zu diesem Zweck ist es sinnvoll, zunächst den Status quo zu erheben, wodurch Schwachstellen erkannt und nur so auch gezielt und priorisiert behoben werden können [siehe auch isi.Checkup].
  4. In der Folge muss definiert werden, welche Sicherheitsmaßnahmen ergriffen werden müssen, um die definierten Ziele zu erreichen. Hierbei ist einerseits festzulegen, welche Maßnahmen angemessen sind; andererseits ist zu erheben, welche Maßnahmen schon ergriffen werden und auf Basis der Analyse der Abweichungen ist ein Maßnahmenkatalog zu erarbeiten, in dem aufgelistet wird, welche Maßnahme in wessen Verantwortung bis wann umzusetzen ist.
  5. Die Erfahrung zeigt, dass in Unternehmen bereits viele Richtlinien und Maßnahmen gelebt werden, jedoch nicht dokumentiert sind; wie z. B. mit Hilfe eines Informationssicherheitshandbuchs. Das UIMC-Informationssicherheitshandbuch ist daher eine ideale Basis, ein Regelwerk aller aufbau- und ablauforganisatorischen Fragestellungen zu schaffen. Das auf langjähriger Erfahrung (Best Practice) und verschiedene Sicherheitsnormen (insbesondere ISO/IEC 27002) basierende Regelwerk ist modular aufgebaut, wodurch es an jede Institution spezifisch anpassbar ist.
  6. Wenn die Maßnahmen umgesetzt sind, muss regelmäßig überprüft werden, ob die in den ersten beiden Schritten dargestellte Risikosituation und definierte Sicherheitszielsetzung noch aktuell ist. Des weiteren muss kontrolliert werden, ob die geplanten Maßnahmen richtig umgesetzt werden und die mit ihnen angestrebten Ziele erreicht werden. Erkenntnisse aus diesen Prüfungs- und Kontrollprozessen müssen wieder in das Verfahren einfließen.
  7. Hierdurch entsteht ein stetiger Zyklus, der zu einem funktionsfähigen und angemessenen ISMS führt. Der sog. PDCA-Zyklus (Plan-Do-Check-Act) stellte eine kontinuierliche Verbesserung der Informationssicherheit sicher.
  8. In all diesen Phasen kann die UIMC unterstützend tätig werden.

Welche Maßnahmen muss ich auswählen?

Beste Basis zur Unterstützung der Entscheidung, welche Maßnahmen einzusetzen sind, bieten die verschiedenen Normen im Umfeld des ISMS. Die wichtigste Norm hierbei ist die ISO/IEC 27001 in Verbindung mit der ISO/IEC 27002. In dieser Norm werden die wichtigsten Sicherheitsanforderungen dargelegt und korrespondierende Maßnahmen – auf einer aggregierten Ebene – aufgeführt. Diese Norm erlaubt es dem fachkundigen Anwender, alle wichtigen Maßnahmen zu berücksichtigen, ohne durch enge Vorgaben in den Gestaltungsspielräumen zu stark eingeschränkt zu werden. Alternativ oder ergänzend hierzu kann das Grundschutzkonzept des Bundesamts für Sicherheit in der Informationstechnik (BSI) Anwendung finden. Dieses hat stärker „Kochbuch“-Charakter ist aber in seiner Anwendung mit sehr hohen Aufwänden verbunden, da es eine streng vorgegebene Vorgehensweise mit extremer Detaillierung verbindet.