Information Security Management System (ISMS)

Risikomanagement für Informationssicherheit

Was ist ein ISMS?

Ein ISMS (Informationssicherheits-Managementsystem) besitzt verbindliche Regeln und Verfahren , Informationswerte in Unternehmen und Organisationen auf Grundlage einer Risikobetrachtung angemessen und strukturiert zu schützen.

Das implementierte ISMS bündelt das Wissen einer Organisation, Informationswerte mit den Schutzzielen Vertraulichkeit, Verfügbarkeit und Integrität vor Kompromittierung abzusichern und damit Konsequenzen wie wirtschaftlicher Schaden oder Verlust des Leumunds abzuwenden.

Die Zertifizierung eines ISMS, die für Betreiber Kritischer Infrastrukturen (KRITIS) verpflichtend ist, verstärkt die Resilienz einer Organisation vor Betriebsunterbrechungen, die auch das Ergebnis einer gezielten Cyber-Attacke sein können.
Ein gepflegtes ISMS, das jährlich auditiert wird, ist die stabile Grundlage, Informationssicherheit und IT-Sicherheit strukturiert zu optimieren und veränderte Anforderungen zu integrieren.

Dieses strukturierte Vorgehen im Umgang mit Informationswerten können Unternehmen und Organisationen durch eine externe Stelle zertifizieren lassen. Geeignete Standards sind ISO/IEC 27001, BSI-Grundschutz und VdS 10000.

Was sind Informationswerte?

Unternehmen und Organisationen besitzen (Vermögens-)Werte, die in materieller und immaterieller Form vorliegen können.
Diese Informationswerte (Assets) können zum Beispiel Patente sein, das Firmengebäude, Hard und Software, Stammdaten von Mitarbeitern oder Zugangsdaten zu Konten.

Ein ISMS beinhaltet Regeln, innerhalb eines Anwendungsbereichs (Scope) Risiken für Informationswerte zu identifizieren und diese in angemessener Form vor Bedrohungen wie Cyberangriffe, Diebstahl, Elementarschäden oder Sabotage zu schützen.

 

Was ist der Schutzbedarf eines Informationswertes ?

Informationswerte (Assets) unterscheiden sich in ihrer Bedeutung für das Unternehmen, seine Geschäftstätigkeit auszuführen. Stellt der Verlust eines Informationswertes ein hohes Risiko für das Unternehmen dar, wird der Schutzbedarf dieses Informationswertes bezüglich Verfügbarkeit entsprechend als „hoch“ eingestuft (Primary Asset). Patente eines Unternehmens sind ein Beispiel für ein weiteres Primary Asset, das in der Vertraulichkeit einen besonderen Schutzbedarf besitzt.

Im Regelwerk eines ISMS können Schutzbedarfe vererbt werden, wenn Abhängigkeiten zwischen Informationswerten bestehen.
 

Was ist Informationssicherheit?

Der Begriff Informationssicherheit fasst verschiedene technische und nicht technische Maßnahmen zusammen, mit denen Unternehmen und Organisationen ihre Informationswerte schützen.

Die Maßnahmen der Informationssicherheit dienen dazu, die drei Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu erreichen. Beispiele für Maßnahmen der Informationssicherheit sind Vorkehrungen, um den Zutritt Unbefugter zum Firmengebäude zu unterbinden oder das Unternehmensnetzwerk nur Berechtigten zugänglich zu machen.

 

Informationssicherheit und IT-Sicherheit – wo ist der Unterschied?

IT-Sicherheit bezieht sich auf IT-Systeme und elektronisch gesicherte Informationen, während der Begriff Informationssicherheit weiter gefasst ist. Informationssicherheit bezieht nicht-technische Systeme mit ein, zum Beispiel Papierakten, oder das Firmengelände.

 

Welche sind die Schutzziele der Informationssicherheit?

Vertraulichkeit  bedeutet, dass nur befugte Personen Daten (Informationen) einsehen, bearbeiten und verwalten dürfen.

Integrität  bedeutet, dass Daten (Informationen) korrekt bleiben und nicht unerkannt verändert werden dürfen.

Verfügbarkeit  bedeutet, dass Daten (Informationen) befugten Personen zugänglich sind und nicht verloren gehen dürfen.


Brauche ich für die Umsetzung eines ISMS einen externen Berater?

Grundsätzlich bieten die vorgestellten Normen die Möglichkeit ein ISMS – eventuell mit Unterstützung von Fachlektüre - in Eigenregie umzusetzen.
Ein externer Berater ist sicher eine gute Wahl, wenn Unternehmen und Organisationen eine Zertifizierung anstreben.

Gute externe Berater besitzen die Fähigkeit, das Essentielle vom weniger Wichtigen zu unterscheiden. Mit dieser Eigenschaft können sie den gesamten Prozess (Aufbau und Betrieb eines ISMS) zielführend moderieren und gestalten.
 

    Erfahren Sie mehr über die Standards für Informationssicherheit!