Datenschutz-Akademie » Datenschutz-Wiki » Informationssicherheits-Management-System

ISMS-Definition: Was ist ein Informationssicherheits Management System?

ISMS-Definition: Was ist ein Informationssicherheits Management System?

Eine Informationssicherheits-Management-System bzw. „ISMS“ (engl. „Information Security Management System“) definiert Regeln und Methoden zur Gewährleistung, Überprüfung und Verbesserung der Informationssicherheit. Informationssicherheitsbeauftragte steuern über das ISMS technische und organisatorische IT-Sicherheitsmaßnahmen und überwachen darüber regelmäßig die Umsetzung der geplanten Maßnahmen gemäß der  Anforderungen der Standardreihe ISO/IEC 2700x.

Im folgenden Beitrag erhalten Sie alle Informationen zum Informationssicherheits Management System, der Abgrenzung zum Datenschutz-Management-System, Hinweisen zur Umsetzung des ISMS sowie einen Überblick über wichtige Normen und Standards.

Wichtigste Informationen über Informationssicherheits Management Systeme

  • Das Informationssicherheits-Management-System wird als „ISMS“ abgekürzt und im englischen als „Information Security Management System“ bezeichnet
  • Bei der Umsetzung eines ISMS kommt dem Informationssicherheitsbeauftragten eine wichtige Rolle zu
  • Ein ISMS orientiert sich bei der Umsetzung an Normen und Gesetzen, wie der ISO-Reiche 2700x und den Vorgaben des BSI
  • Die Steuerung eines ISMS ist eine kontinuierliche Aufgabe und entspricht einem Management-Prozess der sich am PDCA-Zyklus orientiert.

Das Informationssicherheits Management System

Das Informationssicherheits Management System fällt in den Verantwortungsbereich der Unternehmensführung. Die Umsetzung von Maßnahmen der IT-Sicherheit, beinhaltet die Definition und Rollout von Security Policies durch das Management. Das Management wird bei der Ausarbeitung durch Informationssicherheitsbeauftragte, IT-Sicherheitsbeauftragte und Datenschutzbeauftragte unterstützt. Die im ISMS definierten Standards müssen in allen Bereichen der Organisation umgesetzt und eingehalten werden.

Häufig werden das Datenschutz-Management-System und das Informationssicherheits-Management-Systems gleichzeitig aufgesetzt, da es zu inhaltlichen Überschneidungen zwischen beiden Management-Systemen gibt. Ein moderner Ansatz zur Umsetzung eines ISMS ist die Umsetzung mittels Software-as-a-Service (SaaS) Lösungen, die den Informationssicherheitsbeauftragten aktiv bei der Koordination und Steuerung von Tätigkeiten unterstützt.

Der Unterschied zwischen ISMS und DSMS

Datenschutz und Informationssicherheit gehören zusammen unterscheiden sich aber in einem wesentlichen Punk: Die Informationssicherheit setzt im Vergleich zum Datenschutz keinen Fokus auf personenbezogene Daten. So kann ein ISMS kein DSMS ersetzen oder anders herum. Idealerweise setzen DSMS auf ISMS aufeinander auf, und ergänzen sich gemäß den in Art. 35 und 32 DSGVO beschriebenen datenschutzrechtlichen Vorgaben.

Ein ISMS ist zur Erfüllung der datenschutzrechtlichen Vorgaben nicht ausreichend, so werden keine rechtlichen Aspekte geklärt, sondern hauptsächlich technische Aspekte. Hinzu kommt, dass eine Erfüllung der Datenschutzanforderungen an die sichere Verarbeitung personenbezogener Daten allein durch ein ISMS nicht umzusetzen sind, da alle Daten gleichbehandelt werden.

Der Zusammenhang zwischen Datenschutz und Informationssicherheit

Datenschutz verfolgt das Ziel personenbezogene Daten vor Missbrauch zu schützen und das Recht auf informationelle Selbstbestimmung seitens der Betroffenen zu gewährleisten. Im Gegensatz dazu soll ein Informationssicherheit mittels geeigneter technisch und organisatorischen Maßnahmen die Sicherheit der Daten in Systemen von Unternehmen gewährleisten sowie die Vertraulichkeit, Verfügbarkeit und Integrität der Daten sicherstellen. Ob Daten einen Personenbezug aufweisen oder nicht, ist bei der Informationssicherheit nicht von Bedeutung, da alle zu schützenden Daten gleichbehandelt werden. In der Praxis kommt es häufig zu Überschneidungen zwischen Datenschutz und Informationssicherheit.

Externer Informationssicherheitsbeauftragter

Gern können Sie uns als externen Informationssicherheitsbeauftragten (ISB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits im Bereich Informationssicherheit an. Wir erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Informationssicherheitsbeauftragten finden Sie auf unserer Website.

Die Vorteile eines Informationssicherheits Management Systems

Steigerung der Informationssicherheit

Ein Informationssicherheitsmanagementsystem sorgt dafür, dass Informationen des Unternehmens, von Kunden oder von Dritten angemessen geschützt sind. Dabei geht es sowohl darum, Daten vor dem Verlust durch technische Fehler zu schützen, als auch durch Diebstahl.

Aufrechterhaltung der Handlungsfähigkeit

Wesentlicher Bestandteil eines ISMS ist die Betrachtung der Unternehmensprozesse und der Business Continuity Managements. Jedes Informationssicherheits Management System enthält einen Notfallplan, der konkrete Ablaufpläne und Maßnahmen für bestimmte Informationssicherheitsrisiken und Sicherheitsvorfälle vorsieht. Durch die Erstellung eines Notfallplans können Schäden minimiert und der der Betrieb nach einem Zwischenfall schnellstmöglich wieder aufgenommen werden.

Wettbewerbsvorteile durch Kostenreduzierung

Die strukturierte Umsetzung eines ISMS verbessert die Wirtschaftlichkeit Ihrer Organisation und reduziert langfristig Kosten. Durch die Maßnahmenplanung können Verantwortliche Prioritäten entsprechend der Eintrittswahrscheinlichkeit bestimmter Risiken setzen. Dadurch werden Ressourcen effizienter genutzt und koordiniert an wichtigen Stellen Investitionen getätigt. Weiterhin ist ein Informationssicherheits Management System an die Größe und Struktur von Organisationen anpassen. Sowohl für Konzerne und Behörden, als auch KMUs rentiert sich der Einsatz eines ISMS. Eine Auditierung nach Standards der ISO 2700x hat zudem positiven Effekte auf die Außenwirkung und sorgt für Vertrauen bei Kunden und Geschäftspartnern.

Weniger Sicherheitsvorfälle durch informierte Mitarbeitenden

Durch die Einführung eines ISMS werden Mitarbeitenden aktiv zum Thema Informationssicherheit informiert. Die zu definierten Prozesse erfordern eine gemeinsame Gestaltung und die Zusammenarbeit von Management und Mitarbeitenden. Dadurch entwickeln Mitarbeitende eine Sensibilität für Themen der Informationssicherheit.

Die Rolle des Informationssicherheitsbeauftragten im ISMS

Die Benennung eines Informationssicherheitsbeauftragten ist bei der Umsetzung eines ISMS unumgänglich. Dieser ist in alle ISMS-Prozesse integriert und die Anlaufstelle für alle Fragen zur Informationssicherheit. Der Informationssicherheitsbeauftragte arbeitet eng mit den IT-Verantwortlichen zusammen. Er ist erste Anlaufstelle für alle Fragen zur Informationssicherheit. Der Informationssicherheitsbeauftragte wird durch die Geschäftsführung benannt und ist dieser direkt unterstellt.

Informationssicherheits-Management-System (ISMS) aufbauen und steuern

Standards wie die ISO-2700-Familie aber auch der IT-Grundschutz des BSI helfen ein ISMS zu konzipieren und dabei auf alle notwendigen Sicherheitsmaßnahmen zu achten. Ziel ist es potenzielle Gefahren frühzeitig zu erkennen und mit geeigneten Gegenmaßnahmen den Schaden zu vermeiden oder zu minimieren. Da sich Gefahren im Laufe der Zeit ändern betrachten die Standards die Informationssicherheit als kontinuierlich anpassbaren Prozess. Dieser ist dementsprechend abhängig von bestimmten Faktoren wie – Änderungen in den Abläufen innerhalb eines Unternehmens, veränderten gesetzlichen Rahmenbedingungen, neuen Gefahren, aber auch von neuen Technologien.  Um das ISMS kontinuierlich zu verbessern, empfiehlt sich die Anwendung des PDCA-Zyklus.

ISMS-Tools mittels PDCA-Zyklus  implementieren 

Der PDCA-Zyklus ist Teil der Norm ISO 27001 und besteht aus vier Phasen, welche dazu beitragen das ISMS kontinuierlich zu verbessern.  Im Anschluss an die Act-Phase folgt wieder die Plan-Phase. Alle Phasen werden nacheinander durchlaufen und der ganze Zyklus wiederholt sich fortlaufend.  

  • P

    Plan: Planung

    In diesem Teil des Zyklus erfolgt die Festlegung der Sicherheitspolitik,-ziele,-prozesse und Verfahren, welche für das Risikomanagement sowie die Verbesserung der Informationssicherheit relevant sind.

  • D

    D: Umsetzung

    Im Anschluss an die Plan-Phase, werden die in ihr beschlossenen Maßnahmen umgesetzt

  • C

    Check: Überprüfung

    Die Maßnahmen werden in dieser Phase auf ihre Wirksamkeit, Angemessenheit und die Qualität der Prozessleistung hin geprüft.

  • A

    Act: Handeln

    Funktionierende, wirksame Prozesse können nun als Standard etabliert werden, während auf jene Prozesse die unwirksam waren reagiert werden muss.

Die Umsetzung eines ISMS

Bei der Umsetzung eines ISMS werden Planung, Umsetzung und Aufrechterhaltung in einzelne Prozessschritte unterteilt. Zur Dokumentation aller Richtlinien und Maßnahmen empfiehlt sich ein Informationssicherheitshandbuch. Die Umsetzung eines Informationssicherheits-Management-System ist ein komplexer Prozess und kann mittels folgender Schritte durchgeführt werden:

Im ersten Schritt erfolgte eine Festlegung was das ISMS leisten soll, welche Werte und Informationen zu schützen sind und welche Schutzbereiche ihr ISMS abdecken soll. Dies beinhaltet die Identifikation der Anwendungsbereiche, Grenzen und Schnittstellen. Analysieren Sie die Prozesse Ihrer Organisation und betrachten Sie auch die Zugriffe durch Mitarbeiter, Kunden oder Dritte.

Im zweiten Schritt muss eine Risikoanalyse für jedes schützenwerte Asset erfolgen, in welcher die Risiken innerhalb des Anwendungsbereiches identifiziert und bewertet werden. Die Einschätzung erfolgt mittels gesetzlicher Anforderungen oder Compliance-Richtlinien. Dabei werden auch die Eintrittswahrscheinlichkeiten, Vertraulichkeit, Integrität und Verfügbarkeit sowie die Schadensszenarien bei Eintritt betrachtet. Erfassen und dokumentieren Sie ihm Rahmen der Risikoanalyse, welche Prozesse, Gefährdungen und Risiken für Ihre Organisation relevant sind. Am Ende der Risikoanalyse haben Sie einen Überblick darüber,  welche Risiken vertretbar sind und bei welchen Risiken die Eintrittswahrscheinlichkeit durch geeignete Maßnahmen reduziert werden muss.

Anhand der Einordnung und Priorisierung der Risiken, können Sie definieren, welche Maßnahmen zu ergreifen sind. Dabei gilt es nicht nur neue Maßnahmen sondern auch bereits durchgeführte Maßnahmen zu erfassen.

Für jedes Risiko können Sie nun Maßnahmen aus dem Maßnahmenkatalog wählen. Definieren Sie das Ziel der jeweiligen Maßnahme und wie durch die Umsetzung dieser, die Eintrittswahrscheinlichkeit bzw. der Schaden des Risikos vermindert werden kann. Legen Sie gleichzeitig verantwortliche Personen und zeitliche Fristen für die Umsetzung fest.

Die definierten Maßnahmen werden durch den Informationssicherheitsbeauftragten regelmäßig auf Wirksamkeit überprüft, dazu empfehlen sich insbesondere interne Audits. Sollten in Folge des Audits Mängel oder neue Risiken identifiziert werden, wird das ISMS an die geänderten Anforderungen angepasst werden.

Notwendige Normen und Standards

Die Internationale Organisation für Normung (ISO) sowie die Internationale Elektrotechnische Kommission (IEC) führen mehr als 20,für die Informationssicherheit relevante, Normen, welche mit dem Nummernkreis 2700x zusammengefasst sind. Darin beschrieben werden die Teilgebiete des Information Security Management bzw. der IT-Sicherheit.

Normen bieten eine gute Unterstützung für den Entscheidungsprozess. Die wichtigsten Sicherheitsanforderungen sowie die korrespondierenden Maßnahmen sind in der Norm ISO/IEC 27001 in Verbindung mit der ISO7IEC 27002 aufgeführt. Alternativ oder ergänzend kann das Grundschutzkonzept des BSI genutzt werden. Durch die streng vorgegebenen Vorgehensweisen mit extremer Detaillierung ist die Orientierung daran mit sehr hohem Aufwand verbunden.

Bei der Auswahl der richtigen Norm, empfiehlt es sich in Frage kommende Normen gegenüberzustellen. Betrachten Sie die Frage der Anwendbarkeit für Ihre Organisation, es unterscheiden sich Normen hinsichtlich der organisatorischen Anforderungen an das Know-How bei der Umsetzung der Norm, dem Aufwand für die Erarbeitung eines Sicherheitskonzept sowie hinsichtlich der Möglichkeit das Vorgehen unternehmensspezifisch anzupassen.

ISO 27001

Für Information Security Management Systeme ist vor allem diese Norm von Interesse. Darin sind Vorgaben für die Umsetzung, Aufrechterhaltung und die fortlaufende Verbesserung eines dokumentieren ISMS festgelegt, sowie Anforderungen für die die Beurteilung von Sicherheitsrisiken. Unternehmen können eine Zertifizierung gemäß ISO 27001 vornehmen lassen.

ISO 27005

Diese Norm steht unter der Überschrift „Risikoanalysemanagement“, wobei der Schwerpunkt auf der Einschätzung und dem Umgang mit Risiken liegt.  In dieser Norm erfolgte

  • eine genaue Anleitung zur Risikoanalyse,
  • genaue Beschreibung des Prozesses zum etablieren einer effizienten Risikoanalyse
  • eine detaillierte Schilderung der einzelnen Prozessschritte

IT-Grundschutzkompendium BSI

Das IT-Grundschutzkompendium des Bundesamt für Sicherheit in der Informationstechnik umfasst eine umfangreiche Sammlung an Texten. Diese Texte werden als „IT-Grundschutz-Bausteine“ bezeichnet und behandeln jeweils alle sicherheitsrelevanten Aspekte zu einem spezifischen Thema, wie bspw. ISMS. Die darin enthaltenen Anforderungen sind unterteilt in Basis-, Standard und Anforderungen bei erhöhtem Schutzbedarf. Somit können Unternehmen spezifisch und individuell für sich entscheiden, welches Schutzniveau erreicht werden soll.

Der IT-Grundschutz-Katalog des Bundesamtes für Sicherheit der Informationstechnik (kurz BSI) stellt Konzepte für die Umsetzung von ISMS. Hilfestellung für die Einführung, Umsetzung und Aufrechterhaltung bietet der BSI-Standard 100-1, welcher an die internationale Norm ISO/IEC 27001 angepasst ist.  

BSI Standard 100 vs. 200

Die „100er-Reihe“ des BSI befasst sich mit dem Aufbau eines ISMS sowie dem Riskmanagement. Im Oktober 2017 wurde die Reihe vollständig durch die BSI-Standards 200-1, 200-2 und 200-3 abgelöst.

  • BSI 200-1 – „Managementsysteme für Informationssicherheit“ beschriebt die allgemeinen – Anforderungen an ein ISMS und ist kompatibel mit ISO/IEC 27001
  • BSI 200-2 – Die „IT-Grundschutz-Methodik“ bildet die Basis für den IT-Grundschutz. Enthalten sind drei bewährte Vorgehensweisen für die Realisierung des IT-Grundschutzes.
  1. Basis-Absicherung: betrachten Einführung eines ISMS
  2. Kern-Absicherung: Beschreibung Weg, wie ein kleiner Teil eines größeren IT-Verbundes mit einem ISMS abgedeckt werden kann.
  3. Standard-Absicherung: Beschreibung eines vollständigen Sicherheitsprozesses
  • BSI 200-3 – „Risikomanagement“ – Bündelung aller risikobezogenen Arbeitsschritte für die Umsetzung des IT-Grundschutzes. Darin inbegriffen sind die Ermittlung von elementaren Gefährdungen, die Risikoeinstufung zbd die Behandlung von Risiken

Zur Übersichtsseite des IT-Grundschutz-Kompendiums des BSI

Branchenspezifischen Sicherheitsstandards (B3S) des BSI

Die branchenspezifischen Sicherheitsstandards sind von Betreibern oder deren Verbänden entwickelte Standards, die Aufschluss über die Anforderungen und den umzusetzenden Stand der Technik geben. Die erstellten Branchenstandards werden auf Anfrage durch das BSI geprüft und anerkannt. Sie dienen als Orientierungshilfe für Organisationen der selben Branche. Anhand der Umsetzung der B3S können Organisationen dem BSI nachweisen, dass die Branchenstandards zum Stand der Technik umgesetzt wurden. Nach Prüfung der Umsetzung der jeweiligen B3S durch das BSI, erlangen Organisationen Rechtssicherheit.

Zur Übersichtsseite B3S des BSI (externer Link)

ISMS-Audit und ISO 27001 Audit

Regelmäßige Überprüfungen Ihres Informationssicherheits-Systems tragen zur Optimierung Ihrer Informationssicherheit bei. Mittels eines ISMS-Audits wird der aktuelle Stand Ihres Informationssicherheits-Managements von unseren TÜV / DEKRA zertifizierten Beratern in Ihrem Unternehmen analysiert und dokumentiert. Offene Maßnahmen werden erfasst, priorisiert und in einem konkreten Maßnahmenplan festgehalten. Informieren Sie sich über Vorteile, Ablauf und Kosten mit Robin Data.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

Datenschutz und Datensicherheit im Homeoffice

Was müssen Arbeitgeber und Arbeitnehmer beachten? Konkrete Tipps zum Datenschutz und Hinweise zur Datensicherheit.

Datenschutz in der USA – Teil 3 der Delegationsreise

Datenschutz in den USA: Wie werden Start-Ups in den USA unterstützt und welche Cybersecurity-Unternehmen gibt es.

Datenschutz in der USA – Teil 2 der Delegationsreise

Datenschutz in den USA: Erfahren Sie welche Rolle die DSGVO bei Microsoft und Amazon spielt.