Aufbau eines Informationssicherheits-Managementsystem (ISMS)

Um ein ISMS in einem Unternehmen aufzubauen, hat sich eine stufenweise aufeinander aufbauende Vorgehensweise bewährt: [siehe Grafik rechts]

Dieses Vorgehensmodell orientiert sich an den gängigen Normen zum Informationssicherheits-Managementsystem (ISO/IEC 27001 und 27002) und ist seit Jahren aufgrund seiner Praktikabilität anerkannt. Im Ergebnis entsteht ein Managementsystem, durch das sichergestellt werden kann, dass die Informationssicherheit im Unternehmen gelebt wird, dass sie auf die Bedürfnisse des Unternehmens angepasst ist und dass alle wichtigen Aspekte erfasst werden.

Welche Schritte muss ich beachten, wenn ich ein ISMS aufbauen möchte?

1. Grundlage für alle Entscheidungen, die beim Aufbau eines ISMS getroffen werden müssen, ist die ganz individuelle Risikosituation der Institution. Deshalb muss im Rahmen einer Risikoanalyse erhoben und dokumentiert werden, welche informationsorientierten Gefährdungen und Risiken für die jeweilige Institution relevant sind.

2. In Kenntnis der Risiken muss das Top-Management entscheiden, welche Informationssicherheits-Strategie es verfolgen will. Diese Strategie muss dann durch konkretere Ziele handhabbar/operationalisierbar gemacht werden.

3. In der Folge muss definiert werden, welche Sicherheitsmaßnahmen ergriffen werden müssen, um die definierten Ziele zu erreichen. Hierbei ist einerseits festzulegen, welche Maßnahmen angemessen sind, es ist zu erheben, welche Maßnahmen schon ergriffen werden und auf Basis der Analyse der Abweichungen ist ein Maßnahmenkatalog zu erarbeiten, in dem aufgelistet wird, welche Maßnahme in wessen Verantwortung bis wann umzusetzen ist.

4. Wenn die Maßnahmen umgesetzt sind, muss regelmäßig überprüft werden, ob die in den ersten beiden Schritten dargestellte Risikosituation und definierte Sicherheitszielsetzung noch aktuell ist. Des weiteren muss kontrolliert werden, ob die geplanten Maßnahmen richtig umgesetzt werden und die mit ihnen angestrebten Ziele erreicht werden. Erkenntnisse aus diesen Prüfungs- und Kontrollprozessen müssen wieder in das Verfahren einfließen.

Hierdurch entsteht ein stetiger Zyklus, der zu einem funktionsfähigen und angemessenen ISMS führt. Der sog. PDCA-Zyklus (Plan-Do-Check-Act) stellte eine kontinuierliche Verbesserung der Informationssicherheit sicher.

In all diesen Phasen kann die UIMC unterstützend tätig werden.

Welche Maßnahmen muss ich auswählen?

Beste Basis zur Unterstützung der Entscheidung, welche Maßnahmen einzusetzen sind, bieten die verschiedenen Normen im Umfeld des ISMS. Die wichtigste Norm hierbei ist die ISO/IEC 27001 in Verbindung mit der ISO/IEC 27002. In dieser Norm werden die wichtigsten Sicherheitsanforderungen dargelegt und korrespondierende Maßnahmen – auf einer aggregierten Ebene – aufgeführt. Diese Norm erlaubt es dem fachkundigen Anwender, alle wichtigen Maßnahmen zu berücksichtigen, ohne durch enge Vorgaben in den Gestaltungsspielräumen zu stark eingeschränkt zu werden. Alternativ oder ergänzend hierzu kann das Grundschutzkonzept des Bundesamts für Sicherheit in der Informationstechnik (BSI) Anwendung finden. Dieses hat stärker „Kochbuch“-Charakter ist aber in seiner Anwendung mit sehr hohen Aufwänden verbunden, da es eine streng vorgegebene Vorgehensweise mit extremer Detaillierung verbindet.

Wie weiß ich, welche Norm für mich die richtige ist?

Bei einem Vergleich der beiden Normen im Hinblick auf die Vorgehensweise stellen sich erhebliche Unterschiede dar. Einerseits sind die Anforderungen an das Know-how der mit der Umsetzung der Norm betrauten Mitarbeiter erheblich divergierend, andererseits ist der Aufwand für die Erarbeitung eines Sicherheitskonzeptes auf Basis der jeweiligen Norm deutlich unterschiedlich. Auch sind die Möglichkeiten, das Vorgehen an Größe, Branche und Komplexität des Informationssystems anzupassen, in beiden Normen nicht von gleichem Umfang.

Es hat sich bewährt, in einem frühen Stadium eine Gegenüberstellung beider Normen vorzunehmen und ihre Anwendbarkeit für die eigene Institution zu betrachten. Für diese Fragestellung hat die UIMC einen entsprechenden Workshop vorbereitet, den sie mit den relevanten Personen des Hauses durchführen kann.