Definitionen Was ist ein Information Security Management System?

Von Natalie Ziebolz

Ein Information Security Management System (ISMS) definiert Regeln und Verfahren, mit denen die Informationssicherheit in Unternehmen und Behörden gewährleistet werden kann. Ziel ist es, ein angemessenes Schutzniveau für Vertraulichkeit, Verfügbarkeit und Integrität von Informationen zu erreichen.

Anbieter zum Thema

Mithilfe eines Information Security Management System werden in Organisationen Regeln und Verfahren aufgestellt, mit denen die Informationssicherheit dauerhaft definiert, gesteuert, kontrolliert, aufrechtzuerhalten und verbessert werden kann
Mithilfe eines Information Security Management System werden in Organisationen Regeln und Verfahren aufgestellt, mit denen die Informationssicherheit dauerhaft definiert, gesteuert, kontrolliert, aufrechtzuerhalten und verbessert werden kann
(© aga7ta – stock.adobe.com)

Das Information Security Management System (zu Deutsch: Informations­sicherheits­management­system) ist kein technisches System, sondern definiert Regel, Methoden, Prozesse und Tools, mit denen die Informations­sicherheit in Unternehmen, Behörden und sonstigen Institutionen sichergestellt und regelmäßig optimiert werden kann. Das umfasst unter anderem die Ermittlung und Bewertung von Risiken, die Festlegung von Sicherheitszielen sowie eine klare Definition und Dokumentation von Verantwortlichkeiten, Kommunikationswegen und Abläufen. Die Anforderungen für ein ISMS sind in der ISO 27001 definiert.

Abgrenzung von der IT-Sicherheit

Auch wenn IT-Sicherheit und Informationssicherheit oftmals synonym verwendet werden, geht letztere sogar noch einen Schritt weiter. Denn die IT-Sicherheit bezieht sich lediglich auf die Sicherheit der eingesetzten Technologien, während es bei der Informationssicherheit allgemein um den Schutz von Informationen in einem Unternehmen geht. Dazu zählen auch solche, die nicht in technischen Systemen vorliegen – zum Beispiel auf Papier.

Schutzziele nach ISO 27000

Was genau schützenswert ist, wird in der ISO 27000 definiert. Der Fokus liegt dabei auf drei Aspekten:

  • Vertraulichkeit: Es muss sichergestellt sein, dass vertrauliche Informationen nur von autorisierten Personen eingesehen werden können. Der Zugang zu diesen muss daher entsprechend abgesichert sein.
  • Integrität: Informationen müssen so geschützt werden, dass sie nicht manipuliert werden können. Nur so lassen sich Richtigkeit und Vollständigkeit sicherstellen.
  • Verfügbarkeit: Sämtliche Informationen müssen jederzeit verfügbar und nutzbar sein.

Aber auch Authentizität, Verbindlichkeit und Verlässlichkeit spielen eine Rolle.

Umsetzung eines ISMS

Daher sollte bei der Umsetzung zunächst geklärt werden, was das ISMS leisten soll – also welche Anwendungsbereiche es umfasst, wie die Zielvorgaben aussehen und wo die Grenzen liegen. Dies obliegt im Normalfall der Unternehmensleitung (Top-Down-Ansatz). Dabei ist auch wichtig zu definieren, welche Werte genau geschützt werden sollen: Informationen, Service, physische Vermögenswerte oder auch Fähigkeiten und Erfahrungen der Mitarbeiter. Das heißt, es müssen alle Assets ermittelt werden, die geschäftskritisch und somit für das Überleben des Unternehmens oder der Organisation essentiell sind.

Für jeden dieser Werte müssen anschließend die Risiken identifiziert und anhand gesetzlicher Vorgaben eingeordnet werden. Auf dieser Grundlage werden die sie dann priorisiert und geeignete technische und organisatorische Maßnahmen zur Risikominderung umgesetzt. Wichtig: Auch Zuständigkeiten und Verantwortlichkeiten müssen klar definiert und verteilt werden. So ist eine Aufgabe des ISMS auch die Benennung des IT-Sicherheitsbeauftragten. Dieser ist dem Vorstand unterstellt und berichtet regelmäßig an diesen. Zudem wird der Sicherheitsbeauftragte von den IT-Verantwortlichen miteinbezogen – etwa bei der Auswahl neuer IT-Komponenten- und Anwendungen.

Die getroffenen Maßnahmen müssen nun überwacht und regelmäßig auf ihre Wirksamkeit überprüft werden. Ergeben sich dabei Mängel oder fallen neue Risiken auf, beginnt der Umsetzungsprozess von neuem.

ISMS nach dem IT-Grundschutz

Behörden und öffentliche Einrichtungen können sich dabei auch auf den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) beziehen. Dieser setzt sich aus den BSI-Standards und dem IT-Grundschutz-Kompendium zusammen.

Ersteres enthält Methoden und Vorgehensweisen zu verschiedenen Themen aus dem Bereich Informations­sicherheit. Darunter unter anderem die allgemeinen Anforderungen an ein Managementsystem für Informations­sicherheit, bewährte IT-Grundschutz-Vorgehensweisen und einen Leitfaden zur Basis-Absicherung.

Das IT-Grundschutz-Kompendium enthält hingegen die sogenannten IT-Grundschutz-Bausteine, in denen jeweils ein Thema zu allen relevanten Sicherheitsaspekten beleuchtet wird. Dabei werden sowohl die möglichen Gefährdungen als auch wichtige Sicherheitsanforderungen berücksichtigt. In den Umsetzungshinweisen erfahren die IT-Beauftragten zudem, wie die einzelnen Maßnahmen umzusetzen sind. Nach der Risikoanalyse können hier also die relevante Bausteine übernommen werden.

(ID:48127340)