:quality(80)/p7i.vogel.de/wcms/2b/73/2b736ac77e9eca550e3f73ed8d23df12/0112067098.jpeg "Mitarbeiter von AKDB und Living Data auf den Techniktagen 2023 in Fürth (© AKDB)")
:quality(80)/p7i.vogel.de/wcms/7d/22/7d22b84364a4e7dcfd3ae6fc0dd33968/0112006984.jpeg "Anke Domscheit-Berg (DIE LINKE) fordert einen „TÜV für KI-basierte Systeme“ (© Jesco Denzel)")
:quality(80)/p7i.vogel.de/wcms/36/f3/36f36a8efb1675ae44f1680656773dc4/0112003975.jpeg "„Privacy-Enhancing Technologies können der Öffentlichen Verwaltung dabei helfen, Daten zu nutzen und Daten zu schützen“ (Report von PUBLIC / Sopra Steria, 2023) (© Anastasia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/56/3256f119a365f610517d6b83ac7f2082/0111961694.jpeg "Markus Richter, Staatssekretär im Bundesministerium des Inneren und für Heimat und CIO der Bundesregierung: „BundID ist die modernste und sicherste ID im Netz“ (©Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/da/47/da47963725e72f53f4588ff1ecddb426/0111745771.jpeg "Spezialisierte eGovernement-Beratungen können bei der Digitalisierung im Public Sector unterstützen (©Impact Photography – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e6/12/e6128403ac070eadd6b5769c98369bce/0111998393.jpeg "In Frankfurt verbessern Straßenlaternen das Mobilfunknetz (© O2 Telefónica)")
:quality(80)/p7i.vogel.de/wcms/75/6a/756a50810f475a5419d5910733b18661/0111768414.jpeg "Das Rokoko-Schloss Dornburg war Schauplatz der openDVA 2023 (© Lapping Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/0d/130d624022f86b514e4bf4422207de84/0111671698.jpeg "Ein Studium im eGovernment oder Verwaltungsmangement? Für die meisten Studienanfänger bisher oft keine Alternative. (© Deejpilot – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/e8/d7/e8d7075a3d9c951b31eb2e7ea3dc49d7/0111745810.jpeg "30 Jahre LEARNTEC: Gut 13.500 Besucherinnen und Besucher kamen zur diesjährigen Veranstaltung vom 23. bis 25. Mai in der Messe Karlsruhe (©Messe Karlsruhe / Lars Behrendt)")
:quality(80)/p7i.vogel.de/wcms/23/31/23315307f48d378f483004a7074a1c27/0111672239.jpeg "Es ist einfach, Dinge schwierig zu machen, aber es ist schwierig, etwas einfach zu machen. (© Prosoz)")
:quality(80)/p7i.vogel.de/wcms/fe/02/fe02e5419a93d73bec3a0e051d76feae/0111672728.jpeg "(© Optimal Systems)")
:quality(80)/p7i.vogel.de/wcms/c8/4a/c84a7ecf0df24ccc36cd60c6d7b5f654/0111671850.jpeg "(© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/a0/21/a0219e077801ea3a97a91fa4847b7527/0111190125.jpeg "(© Computacenter)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/00/84/008499da62176484461a2e25407be021/0111256989.jpeg "Der Schirmherr des eGovernment Summit 2023, der Beauftragte der Bundesregierung für Informationstechnik, Dr. Markus Richter (Bild: Vogel IT-Akademir)")
:quality(80)/p7i.vogel.de/wcms/59/ea/59eaf92ed9991222146abe4a8cea85ab/0111200130.jpeg "Machen Sie mit und wählen Sie den CIO des Jahres 2023! (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/4c/0d/4c0de169fbce22d9a750037ed1d4d66b/0111495677.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/13/2b/132bb48c68be3db224a1608e8891bb4f/0111416944.jpeg "(© Maridav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/ea/4aeaf61fff726dbdc495e4ae61432ec4/0111416905.jpeg "(© regisafe)")
:quality(80)/p7i.vogel.de/wcms/16/b1/16b18e0e142172cd4ab6238ce91eb92d/0112147804.jpeg "eBO: Sichere Kommunikation zwischen Bürgern und Gerichten (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/e1/ebe1c7c630f3530fa2bfb52284df169f/0112110381.jpeg "Die elektronische Brieftasche: das ID-Wallet (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/3b/da3ba7ed74f63b61d367a962fa33b446/0112006966.jpeg "Multi-Faktor-Authentifizierung (MFA): Mehr Sicherheit durch mehrstufige Authentifikation (Bild: aga7ta – stock.adobe.com)")
Definitionen Was ist ein Information Security Management System?
Ein Information Security Management System (ISMS) definiert Regeln und Verfahren, mit denen die Informationssicherheit in Unternehmen und Behörden gewährleistet werden kann. Ziel ist es, ein angemessenes Schutzniveau für Vertraulichkeit, Verfügbarkeit und Integrität von Informationen zu erreichen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134400/134462/65.png "procilon_group_logo_400px_q.png ()")
:fill(fff,0)/p7i.vogel.de/companies/63/74/6374d80f8bf10/logo-jpg.jpeg "logo-jpg (DATAWIN GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Das Information Security Management System (zu Deutsch: Informationssicherheitsmanagementsystem) ist kein technisches System, sondern definiert Regel, Methoden, Prozesse und Tools, mit denen die Informationssicherheit in Unternehmen, Behörden und sonstigen Institutionen sichergestellt und regelmäßig optimiert werden kann. Das umfasst unter anderem die Ermittlung und Bewertung von Risiken, die Festlegung von Sicherheitszielen sowie eine klare Definition und Dokumentation von Verantwortlichkeiten, Kommunikationswegen und Abläufen. Die Anforderungen für ein ISMS sind in der ISO 27001 definiert.
Abgrenzung von der IT-Sicherheit
Auch wenn IT-Sicherheit und Informationssicherheit oftmals synonym verwendet werden, geht letztere sogar noch einen Schritt weiter. Denn die IT-Sicherheit bezieht sich lediglich auf die Sicherheit der eingesetzten Technologien, während es bei der Informationssicherheit allgemein um den Schutz von Informationen in einem Unternehmen geht. Dazu zählen auch solche, die nicht in technischen Systemen vorliegen – zum Beispiel auf Papier.
Schutzziele nach ISO 27000
Was genau schützenswert ist, wird in der ISO 27000 definiert. Der Fokus liegt dabei auf drei Aspekten:
- Vertraulichkeit: Es muss sichergestellt sein, dass vertrauliche Informationen nur von autorisierten Personen eingesehen werden können. Der Zugang zu diesen muss daher entsprechend abgesichert sein.
- Integrität: Informationen müssen so geschützt werden, dass sie nicht manipuliert werden können. Nur so lassen sich Richtigkeit und Vollständigkeit sicherstellen.
- Verfügbarkeit: Sämtliche Informationen müssen jederzeit verfügbar und nutzbar sein.
Aber auch Authentizität, Verbindlichkeit und Verlässlichkeit spielen eine Rolle.
Umsetzung eines ISMS
Daher sollte bei der Umsetzung zunächst geklärt werden, was das ISMS leisten soll – also welche Anwendungsbereiche es umfasst, wie die Zielvorgaben aussehen und wo die Grenzen liegen. Dies obliegt im Normalfall der Unternehmensleitung (Top-Down-Ansatz). Dabei ist auch wichtig zu definieren, welche Werte genau geschützt werden sollen: Informationen, Service, physische Vermögenswerte oder auch Fähigkeiten und Erfahrungen der Mitarbeiter. Das heißt, es müssen alle Assets ermittelt werden, die geschäftskritisch und somit für das Überleben des Unternehmens oder der Organisation essentiell sind.
Für jeden dieser Werte müssen anschließend die Risiken identifiziert und anhand gesetzlicher Vorgaben eingeordnet werden. Auf dieser Grundlage werden die sie dann priorisiert und geeignete technische und organisatorische Maßnahmen zur Risikominderung umgesetzt. Wichtig: Auch Zuständigkeiten und Verantwortlichkeiten müssen klar definiert und verteilt werden. So ist eine Aufgabe des ISMS auch die Benennung des IT-Sicherheitsbeauftragten. Dieser ist dem Vorstand unterstellt und berichtet regelmäßig an diesen. Zudem wird der Sicherheitsbeauftragte von den IT-Verantwortlichen miteinbezogen – etwa bei der Auswahl neuer IT-Komponenten- und Anwendungen.
Die getroffenen Maßnahmen müssen nun überwacht und regelmäßig auf ihre Wirksamkeit überprüft werden. Ergeben sich dabei Mängel oder fallen neue Risiken auf, beginnt der Umsetzungsprozess von neuem.
ISMS nach dem IT-Grundschutz
Behörden und öffentliche Einrichtungen können sich dabei auch auf den IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) beziehen. Dieser setzt sich aus den BSI-Standards und dem IT-Grundschutz-Kompendium zusammen.
Ersteres enthält Methoden und Vorgehensweisen zu verschiedenen Themen aus dem Bereich Informationssicherheit. Darunter unter anderem die allgemeinen Anforderungen an ein Managementsystem für Informationssicherheit, bewährte IT-Grundschutz-Vorgehensweisen und einen Leitfaden zur Basis-Absicherung.
Das IT-Grundschutz-Kompendium enthält hingegen die sogenannten IT-Grundschutz-Bausteine, in denen jeweils ein Thema zu allen relevanten Sicherheitsaspekten beleuchtet wird. Dabei werden sowohl die möglichen Gefährdungen als auch wichtige Sicherheitsanforderungen berücksichtigt. In den Umsetzungshinweisen erfahren die IT-Beauftragten zudem, wie die einzelnen Maßnahmen umzusetzen sind. Nach der Risikoanalyse können hier also die relevante Bausteine übernommen werden.
(ID:48127340)
:quality(80)/images.vogel.de/vogelonline/bdb/1963600/1963691/original.jpg "Landtagswahlen 2022: IT-Sicherheit auf dem Prüfstand (weerapat1003 – stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1952900/1952908/original.jpg "Im Rahmen der Umsetzung des Onlinezugangsgesetzes hat das BSI in Zusammenarbeit mit dem Bundesministerium des Innern und für Heimat das Antragsverfahren für die Personenzertifizierung digitalisiert (momius – stock.adobe.com)")