ISMS in a Nutshell – Teil 2: Das ISMS im Unternehmen

16. April 2021

Bei Informationssicherheit geht es in erster Linie um den Schutz Ihrer Unternehmenswerte. In unserer Miniserie erläutern wir Ihnen Begrifflichkeiten, Konzepte und Wissenswertes rund um Informationssicherheitsmanagement in Unternehmen.

Teil 1: Die Basics
Teil 3: Schwachstellen, Bedrohungen und Risiken
Teil 4: Risikomanagement im Unternehmen


Implementierung eines ISMS im Unternehmen

Zur Verbesserung ihrer Informationssicherheit streben immer mehr Organisationen den Aufbau eines eigenen Informationssicherheitsmanagementsystems (ISMS) an. Hierfür kann es unterschiedliche Motivationen geben, wie gesetzliche Auflagen (zum Beispiel durch das IT-Sicherheitsgesetz), Forderungen von Kunden oder schlicht ein vom Unternehmen selbstauferlegter Anspruch an ein starkes Informationssicherheitsniveau.

In Unternehmen müssen nicht nur IT-Systeme, sondern auch alle anderen Assets des Unternehmens in Bezug auf die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit geschützt werden. Innerhalb eines ISMS werden dazu Regeln, Prozesse, Maßnahmen und Tools definiert, mit denen die Informationssicherheit im gesamten Unternehmen gesteuert, aufrechterhalten, kontrolliert und stetig verbessert werden kann. Maßnahmen zur Informationssicherheit betreffen dabei alle Prozesse, Richtlinien, Verfahren, Praktiken oder Organisationsstrukturen, die potenziell Einfluss auf Risiken für die Informationssicherheit haben.

Normen und Best Practices

Das Management der Informationssicherheit im Unternehmen kann nach verschiedenen Vorgaben und Best Practices erfolgen. Der bekannteste und am häufigsten angewendete Standard zum Informationssicherheitsmanagement ist die ISO/IEC 27001:2013. Ein nach ISO 27001 betriebenes ISMS kann durch akkreditierte Unternehmen zertifiziert werden.

Der PDCA-Zyklus

Der Aufbau eines ISMS nach ISO 27001 orientiert sich an einem PDCA-Zyklus:

PLAN – Der organisatorische Kontext und die Verantwortlichkeiten werden definiert. Es wird die Unterstützung für Sicherheitsrichtlinien sowie das Engagement der Führung sichergestellt. Zudem wird ein Umsetzungsplan ausgearbeitet, der die Risikobewertung und -behandlung im Rahmen des ISMS festsetzt.

DO – Das ISMS wird im Unternehmen implementiert und umgesetzt. Durch eine gezielte unternehmensweite Kommunikation und Trainings wird unter allen Mitarbeitern Awareness für Informationssicherheit aufgebaut.

CHECK – Um das ISMS kontinuierlich zu verbessern, ist es notwendig, seine Leistung fortlaufend zu überwachen. Nur durch eine genaue Analyse der Prozesse können gezielte Korrekturen erfolgen. Unterstützt wird diese gegebenenfalls durch interne Audits. Im Rahmen des Risikomanagements werden Risiken identifiziert, analysiert und anschließend gemäß festgelegter Methodik behandelt.

ACT – Hierbei werden die Maßnahmen zur Korrektur und Verbesserung des ISMS umgesetzt und neue strategische Ziele festgelegt um das ISMS des Unternehmens stetig zu optimieren.

Maßnahmen (Security Controls), die gemäß ISO 27001 umgesetzt werden müssen, sind im Annex der Norm aufgeführt. Anhand des sogenannten „Statement of Applicability“ (SoA), müssen Unternehmen zunächst identifizieren, welche von der Norm geforderten Maßnahmen auf ihr Unternehmen anwendbar sind. Steht eine Maßnahme beispielsweise im Widerspruch zu am Geschäftsort geltenden Recht, oder führt ein Unternehmen eine durch eine Maßnahme geregelte Tätigkeit nicht aus, so ist es auch von der Umsetzung der entsprechenden Maßnahme ausgenommen.

Definition des Geltungsbereichs

Bei der Definition des Geltungsbereichs (auch Scope genannt) wird die Grenze des ISMS definiert, in dem es angewendet wird. Hierzu müssen alle relevanten Assets, Prozesse, Schnittstellen und internen und externen Interessensgruppen definiert und dokumentiert werden.

Rollen und Verantwortlichkeiten

Da Informationssicherheit alle Unternehmensbereiche betrifft und dementsprechend unternehmensweit umgesetzt werden muss, fällt das ISMS in den Verantwortungsbereich des Top-Managements. Dieses definiert die gewünschte Sicherheitspolitik, angestrebte Sicherheitsziele und die übergeordnete Sicherheitsstrategie. Initial gibt das Top-Management Sicherheitsleitlinien vor und delegiert die Aufgaben der spezifischen Ausarbeitung an bestimmte Führungskräfte, wie den Information Security Officer (ISO). Nur, wenn das Management die Einführung eines ISMS voll unterstützt, kann ein solches Projekt mit allen notwendigen Ressourcen erfolgreich umgesetzt werden.

Der ISO fungiert im Unternehmen als zentraler Ansprechpartner für die Informationssicherheit. Seine Aufgabe ist es, den Rahmen für die konkrete Ausgestaltung des ISMS für Mitarbeiterinnen und Mitarbeiter der unterschiedlichen Abteilungen im Unternehmen zu schaffen. Der ISO koordiniert und überwacht die Umsetzung von Aufgaben im Kontext des ISMS und berichtet hierüber an die Unternehmensleitung.

Richtlinien und Dokumentenlenkung

Die ISO 27001 gibt vor, dass die Anforderungen an die Fachbereiche und an das Unternehmen sowie alle das ISMS betreffende Prozesse dokumentiert werden müssen. Üblicherweise orientieren sich diese Anforderungen am Annex und bestehen aus einer übergeordneten Leitlinie sowie detaillierteren Dokumenten, die bestimmte Aspekte des ISMS konkretisieren und der Leitlinie untergeordnet sind.

Risikomanagement

Ein wesentlicher Bestandteil beim erfolgreichen Aufbau eines ISMS ist das Risikomanagement. Risiken entstehen dadurch, dass Bedrohungen auf Schwachstellen eines Assets wirken. Wird nun eine Schwachstelle durch einen Angreifer ausgenutzt, kann dadurch ein Schaden für das Unternehmen entstehen, man spricht auch von einem Informationssicherheitsvorfall. Diesen gilt es im Risikomanagement vorzubeugen. Daher ist es notwendig, Risiken im Unternehmen zu identifizieren, zu bewerten und anschließend zu behandeln.

Wenn Risiken bereits frühzeitig erkannt werden, können rechtzeitig geeignete Maßnahmen erarbeitet werden, die die Kontinuität der Geschäftsprozesse gewährleisten und Schaden durch Informationssicherheitsvorfälle vermindern bzw. vermeiden.

Überwachung und Verbesserung

Um festzustellen, ob das ISMS wie vorgesehen funktioniert, werden verschiedene Methoden zu seiner Überwachung und Bewertung angewendet. Die ISO 27001 sieht drei Werkzeuge zur Überwachung des ISMS vor:

  • Kennzahlensystem (KPIs)
    Messung des ISMS-Zustandes mithilfe von Kennzahlen
  • Interne Audits
    Überprüfung des ISMS auf Konformität durch eine unabhängige Partei
  • Management Review
    Überprüfung der Wirksamkeit des ISMS durch die oberste Leitung

Zertifizierungen

Unternehmen können ihr ISMS durch eine unabhängige, externe Prüfstelle nach der ISO/IEC 27001:2013 zertifizieren lassen. Die akkreditierte Zertifizierungsstelle überprüft dazu in einem mehrstufigen Audit, ob das ISMS im Unternehmen allen Kriterien des Standards entspricht und gemäß dessen Vorgaben betrieben wird. Bevor solch ein Audit stattfinden kann, muss das ISMS im Unternehmen seit mindestens drei Monaten in Betrieb sein und ein internes Audit sowie ein Management Review bereits stattgefunden haben. Durch ein unabhängiges Audit mit anschließender Zertifizierung können nachhaltig Risiken in der Informationsverarbeitung minimiert und Vertrauen bei Kunden und Anwendern gestärkt werden.

Auch interessant:

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

Sunset des PCI DSS v4.0 am 31.12.2024: Seien Sie bereit!

PCI DSS v4.0: Im März 2024 wurde Version 4.0 des Payment Card Industry Data Security Standard nach einer zweijährigen Übergangsphase verpflichtend. Bereits wenige Monate später erschien mit Version 4.0.1 ein Minor Update des Standards, das zum 01.01.2025 verpflichtend...

mehr lesen

Kategorien

Kategorien