Informationssicherheits-Managementsystem (ISMS) aufbauen und steuern

Um ein Informationssicherheits-Managementsystem – kurz ISMS sowie Information-Security-Management-System – in einem Unternehmen aufzubauen, hat sich eine stufenweise aufeinander aufbauende Vorgehensweise bewährt, von der Ihnen die Grafik auf der rechten Seite einen Überblick vermittelt. Dieses Vorgehensmodell orientiert sich an den gängigen Normen zum ISMS (ISO/IEC 27001 und 27002) und ist seit Jahren aufgrund seiner Praktikabilität anerkannt. Im Ergebnis entsteht ein Managementsystem, durch das sichergestellt werden kann, dass Informationssicherheit im Unternehmen gelebt wird, dass sie auf die Bedürfnisse des Unternehmens angepasst ist und dass dabei alle wichtigen Aspekte erfasst werden. Bei der Umsetzung hilft Ihnen UIMC als ISMS-Dienstleister umfassend.

ISMS-Tools mittels PDCA-Zyklus implementieren

Eine effiziente und effektive Entwicklung, Umsetzung und Verbesserung der Wirksamkeit des ISMS und der dazugehörigen Prozesse in einer Organisation ist durch den integrierten Prozessansatz, das sogenannte PDCA-Modell (Plan-Do-Check-Act oder "Deming Circle"), sichergestellt. Es umfasst folgende Komponenten:

  • Plan: Festlegen der Sicherheitspolitik, -ziele, -prozesse und Verfahren, die für das Risikomanagement und die Verbesserung der Informationssicherheit relevant sind.
  • Do: Ermittlung des aktuellen Stands der IT-Sicherheit und Umsetzung der zugrunde liegenden Politik, Maßnahmen, Prozesse und Verfahren.
  • Check: Prüfung der Angemessenheit und Qualität der Prozessleistung anhand der zugrunde liegenden Politik, Ziele und praktischen Erfahrungen.
  • Act: Etablierung von Verbesserungs- und Präventivmaßnahmen, basierend auf den Ergebnissen der vorherigen Prüfung.

Beim ISMS-Aufbau kann Sie UIMC in jeder Phase mit Erfahrung, Expertise und vielerlei nützlichen Tools unterstützen.

Welche Schritte beim ISMS-Aufbau insbesondere beachtet werden müssen

Risikoanalyse

Grundlage für alle Entscheidungen, die beim Aufbau eines ISMS getroffen werden müssen, ist die ganz individuelle Risikosituation der Institution. Deshalb muss im Rahmen einer Risikoanalyse erhoben und dokumentiert werden, welche informationsorientierten Prozesse, Gefährdungen und Risiken für die jeweilige Institution relevant sind (siehe auch risk.Checkup).

Strategiefestlegung

In Kenntnis der Risiken muss das Top-Management entscheiden, welche Informationssicherheits-Strategie es verfolgen will. Diese Strategie muss dann durch konkretere Ziele handhabbar bzw. operationalisierbar gemacht werden [siehe auch ziel.Checkup].

Status-quo-Bestimmung

Die Abhängigkeit von der Funktionsfähigkeit und Richtigkeit der technischen Informationsverarbeitung steigt ständig. Gleichzeitig schreiben Gesetze vor, welche Anforderungen an "sichere Systeme" zu stellen sind. Zu diesem Zweck ist es sinnvoll, zunächst den Status quo zu erheben, wodurch Schwachstellen erkannt und nur so auch gezielt und priorisiert behoben werden können (siehe auch isi.Checkup).

Maßnahmenkatalog

In der Folge muss definiert werden, welche Sicherheitsmaßnahmen zu ergreifen sind, um die definierten Ziele zu erreichen. Hierbei ist einerseits festzulegen, welche Maßnahmen angemessen erscheinen; andererseits ist zu erheben, welche Maßnahmen schon ergriffen worden sind. Auf Basis einer Analyse der Abweichungen ist ein Maßnahmenkatalog zu erarbeiten, der auflistet, welche Maßnahme in wessen Verantwortung bis wann umzusetzen ist.

Informationssicherheitshandbuch

Die Erfahrung zeigt, dass in vielen Unternehmen bereits diverse Richtlinien und Maßnahmen gelebt werden, jedoch nicht dokumentiert sind – z. B. mit Hilfe eines Informationssicherheitshandbuchs. Das UIMC-Informationssicherheitshandbuch ist daher eine ideale Basis, ein Regelwerk aller aufbau- und ablauforganisatorischen Fragestellungen zu schaffen. Das auf langjähriger Erfahrung (Best Practice) und verschiedenen Sicherheitsnormen (insbesondere ISO/IEC 27002) basierende Regelwerk ist modular aufgebaut, wodurch es an jede Institution spezifisch anpassbar ist.

Kontinuierliche Kontrolle

Wenn die Maßnahmen umgesetzt sind, muss regelmäßig überprüft werden, ob die in den ersten beiden Schritten dargestellte Risikosituation und definierte Sicherheitszielsetzung noch aktuell ist. Des Weiteren muss kontrolliert werden, ob die geplanten Maßnahmen richtig umgesetzt und die mit ihnen angestrebten Ziele erreicht werden. Erkenntnisse aus diesen Prüfungs- und Kontrollprozessen müssen wieder in das Verfahren einfließen.

PDCA-Zyklus

Hierdurch entsteht ein stetiger Zyklus, der zu einem funktionsfähigen und angemessenen ISMS führt. Der sogenannte PDCA-Zyklus (Plan-Do-Check-Act), dessen Tools wir oben bereits kurz skizziert haben, gewährleistet somit eine kontinuierliche Verbesserung der Informationssicherheit.

In allen aufgeführten Phasen auf dem Weg zum ISMS kann UIMC als Service-Anbieter unterstützend für Sie tätig werden. Ob Sie zunächst einmal Beratung zur Informationssicherheit benötigen oder direkt ein Informationssicherheits-Managementsystem implementieren möchten: UIMC steht Ihnen auch bei Notfällen zur Seite, um Ihre Business Continuity jederzeit sicherzustellen.

Jetzt Termin vereinbaren!

Welche Schritte muss ich beachten, wenn ich ein ISMS aufbauen möchte?

  1. Grundlage für alle Entscheidungen, die beim Aufbau eines ISMS getroffen werden müssen, ist die ganz individuelle Risikosituation der Institution. Deshalb muss im Rahmen einer Risikoanalyse erhoben und dokumentiert werden, welche informationsorientierten Gefährdungen und Risiken für die jeweilige Institution relevant sind [siehe auch risk.Checkup].
  2. In Kenntnis der Risiken muss das Top-Management entscheiden, welche Informationssicherheits-Strategie es verfolgen will. Diese Strategie muss dann durch konkretere Ziele handhabbar/operationalisierbar gemacht werden [siehe auch ziel.Checkup].
  3. Die Abhängigkeit von der Funktionsfähigkeit und Richtigkeit der technischen Informationsverarbeitung steigt ständig. Gleichzeitig schreiben Gesetze vor, welche Anforderungen an „sichere Systeme“ zu stellen sind. Zu diesem Zweck ist es sinnvoll, zunächst den Status quo zu erheben, wodurch Schwachstellen erkannt und nur so auch gezielt und priorisiert behoben werden können [siehe auch isi.Checkup].
  4. In der Folge muss definiert werden, welche Sicherheitsmaßnahmen ergriffen werden müssen, um die definierten Ziele zu erreichen. Hierbei ist einerseits festzulegen, welche Maßnahmen angemessen sind; andererseits ist zu erheben, welche Maßnahmen schon ergriffen werden und auf Basis der Analyse der Abweichungen ist ein Maßnahmenkatalog zu erarbeiten, in dem aufgelistet wird, welche Maßnahme in wessen Verantwortung bis wann umzusetzen ist.
  5. Die Erfahrung zeigt, dass in Unternehmen bereits viele Richtlinien und Maßnahmen gelebt werden, jedoch nicht dokumentiert sind; wie z. B. mit Hilfe eines Informationssicherheitshandbuchs. Das UIMC-Informationssicherheitshandbuch ist daher eine ideale Basis, ein Regelwerk aller aufbau- und ablauforganisatorischen Fragestellungen zu schaffen. Das auf langjähriger Erfahrung (Best Practice) und verschiedene Sicherheitsnormen (insbesondere ISO/IEC 27002) basierende Regelwerk ist modular aufgebaut, wodurch es an jede Institution spezifisch anpassbar ist.
  6. Wenn die Maßnahmen umgesetzt sind, muss regelmäßig überprüft werden, ob die in den ersten beiden Schritten dargestellte Risikosituation und definierte Sicherheitszielsetzung noch aktuell ist. Des weiteren muss kontrolliert werden, ob die geplanten Maßnahmen richtig umgesetzt werden und die mit ihnen angestrebten Ziele erreicht werden. Erkenntnisse aus diesen Prüfungs- und Kontrollprozessen müssen wieder in das Verfahren einfließen.
  7. Hierdurch entsteht ein stetiger Zyklus, der zu einem funktionsfähigen und angemessenen ISMS führt. Der sog. PDCA-Zyklus (Plan-Do-Check-Act) stellte eine kontinuierliche Verbesserung der Informationssicherheit sicher.
  8. In all diesen Phasen kann die UIMC unterstützend tätig werden.

Welche Maßnahmen muss ich auswählen?

Beste Basis zur Unterstützung der Entscheidung, welche Maßnahmen einzusetzen sind, bieten die verschiedenen Normen im Umfeld des ISMS. Die wichtigste Norm hierbei ist die ISO/IEC 27001 in Verbindung mit der ISO/IEC 27002. In dieser Norm werden die wichtigsten Sicherheitsanforderungen dargelegt und korrespondierende Maßnahmen – auf einer aggregierten Ebene – aufgeführt. Diese Norm erlaubt es dem fachkundigen Anwender, alle wichtigen Maßnahmen zu berücksichtigen, ohne durch enge Vorgaben in den Gestaltungsspielräumen zu stark eingeschränkt zu werden. Alternativ oder ergänzend hierzu kann das Grundschutzkonzept des Bundesamts für Sicherheit in der Informationstechnik (BSI) Anwendung finden. Dieses hat stärker „Kochbuch“-Charakter ist aber in seiner Anwendung mit sehr hohen Aufwänden verbunden, da es eine streng vorgegebene Vorgehensweise mit extremer Detaillierung verbindet.

Wie weiß ich, welche Norm für mich die richtige ist?

Bei einem Vergleich der beiden Normen im Hinblick auf die Vorgehensweise stellen sich erhebliche Unterschiede dar. Einerseits sind die Anforderungen an das Know-how der mit der Umsetzung der Norm betrauten Mitarbeiter erheblich divergierend, andererseits ist der Aufwand für die Erarbeitung eines Sicherheitskonzeptes auf Basis der jeweiligen Norm deutlich unterschiedlich. Auch sind die Möglichkeiten, das Vorgehen an Größe, Branche und Komplexität des Informationssystems anzupassen, in beiden Normen nicht von gleichem Umfang.

Es hat sich bewährt, in einem frühen Stadium eine Gegenüberstellung beider Normen vorzunehmen und ihre Anwendbarkeit für die eigene Institution zu betrachten. Für diese Fragestellung hat die UIMC einen entsprechenden Workshop vorbereitet, den sie mit den relevanten Personen des Hauses durchführen kann.

Hierbei kann Ihnen unser Schwesterunternehmen UIMCert mit dem Normen-Strukturoerungs-Workshop weiterhelfen.