ISMS

ISMS – Unternehmensdaten verwalten und schützen mit einem Information Security Management System

Was ist ein ISMS?​

ISMS steht abgekürzt für Information Security Management System. Ein ISMS ist eine Reihe von Prinzipien oder Verfahren, mit denen Risiken identifiziert und Schritte zur Risikominderung definiert werden. Es stellt sicher, dass Unternehmen Schritte systematisch angehen, um Daten und Informationen abzusichern. Dabei kann es sich um Informationen handeln, wie Kundendaten, interne Prozesse oder Zahlungsdetails.

Organisationen schaffen Vertrauen, vermeiden Risiken und unterstützen die Einhaltung von Vorschriften durch die Implementierung eines ISMS.

ISO/IEC 27001-Normen als Leitfaden für die ISMS-Implementierung

Was sind die grundlegenden Komponenten eines ISMS nach ISO/IEC 27001?

ISO/IEC 27001 ist der internationale Standard, der definiert, was die Komponenten eines Information Security Management Systems sein sollten und wie es genutzt werden sollte. Die Standards skizzieren schützende Informations­sicherheits­maßnahmen, die für Planungszwecke berücksichtigt werden sollten, sogenannte ISMS Controls. Davon ausgehend, weisen die ISO/IEC 27001-Standards darauf hin, wie man das System in Betrieb nimmt und dessen Leistung im Laufe der Zeit überprüft.

ISMS ist nicht einfach nur IT-Sicherheit.

Wichtig zu beachten ist, dass die ISO/IEC 27001-Normen die Informationssicherheit aus einer ganzheitlichen Perspektive betrachten. Es konzentriert sich nicht nur auf IT Sicherheit. Insgesamt empfiehlt das Framework über 100 ISMS Controls zum Schutz von Informationswerten – in erster Linie bezogen auf Prozesse und Informationen der Organisation. Diese sind in 14 „Control Sets“ oder Gruppen organisiert, wie z. B. Human Resources Security, Asset Management oder Physical and Environmental Security.

Was sind ISMS Controls?

ISMS Controls sind die Schritte, die unternommen werden, um die Risiken für Geschäftsdaten und Informationswerte zu mindern. Diese werden oft durch die Anforderungen der ISO/IEC 27001 initiiert, können aber auch durch eine vertragliche Vereinbarung, gesetzliche Vorschriften oder sogar andere Controls angetrieben werden. Bekannte Beispiele für Controls sind:

  1. Eine Richtlinie, die die Verwendung eines VPNs erfordert
  2. Sicherheitszugangskarten, um ein Gebäude zu betreten
  3. Die Verwendung von Antiviren-Software

Wie implementiert man ein ISMS?

ISO/IEC 27001 ist ein flexibles Rahmenwerk für das Informations­sicherheits­management, das von Unternehmen jeder Größe genutzt werden kann, wenn es darum geht, Abläufe zu prüfen, Informationswerte zu schützen und das Informationssicherheitsmanagement durch ein ISMS zu verbessern. Dies umfasst folgende Schritte:

1. Erstellung von Richtlinien: eine Informations­sicherheits­politik, eine Erklärung zur Anwendbarkeit (Statement of Applicability - SoA) und ein Risiko­behandlungs­plan (Risk Treatment Plan - RTP).
2. Definieren Sie den Geltungsbereich des ISMS. Was deckt das ISMS ab?
3. Legen Sie eine Methode zur Identifizierung von Risiken fest.
4. Beginnen Sie mit der Bewertung der Risiken, die für Ihr Unternehmen relevant sind.
5. Bewerten und definieren Sie die ISMS Controls in Bezug auf diese Risiken.
6. Dokumentieren und verfolgen Sie die Bemühungen zur Risikominderung.
7. Laufende Überprüfung und Neubeurteilung.
Voriger
Nächster

Die ISO/IEC 27001 bietet zwar eine Orientierungshilfe, doch steht es den Unternehmen frei, den Umfang des ISMS, ihre Methode zur Ermittlung von Risiken und die zu verwaltenden Controls festzulegen, um ihre Geschäftsdaten bestmöglich zu schützen.

Wie sichert ein ISMS Unternehmensdaten ab?

Die Einführung eines Information Security Management Systems für die Informations­sicherheit gibt der Sicherheitsplanung und den Bemühungen um Risikominderung eine Struktur. Ohne eine solche Struktur erkennen Unternehmen oft ein Risiko, gehen es sofort an und wenden sich dem nächsten Brandherd zu. Dies führt zu Ineffizienzen, Fehlinformationen und unerkannten Schwachstellen.

Mit einem ISM-System gehen Unternehmen gezielt vor:

  1. Identifizieren möglicher Bedrohungen und Schwachstellen,
  2. Analysieren, wie diese Risiken vermieden werden,
  3. Ergreifen proaktiver Maßnahmen, um Risiken zu mindern, und
  4. Konsequentes Überprüfen geplanter Maßnahmen, um sicherzustellen, dass sie mit moderner Arbeit übereinstimmen.

Es gibt weniger Lücken, die Stakeholder verstehen die kritische Natur der Informationssicherheit und das Management hat einen Überblick darüber, wie gut das Unternehmen geschützt ist.

Der Unterschied zwischen ISO/IEC 27001, HIPPA, GDPR, LGPD, TISAX oder CCPA​

Diese sind zwar nicht alle gleich, erfordern aber ein ähnliches Management.

ISO/IEC 27001 ist ein Standard, der einen umfassenden Blick auf die gesamte Sicherheitslage des Unternehmens und die Maßnahmen zum Schutz von Daten und Informationen wirft. Es hilft Unternehmen bei der Implementierung eines ISMS, damit sie ihre eigenen, unabhängig identifizierten Sicherheitsmaßnahmen auf der Grundlage der vorgeschlagenen Controls strukturieren, dokumentieren und einhalten können.

Einige Unternehmen müssen je nach Standort oder Branche auch rechtlich verbindliche Datenschutz­bestimmungen einhalten, wie z. B. HIPPA, GDPR, LGPD, TISAX oder CCPA. Jede dieser Vorschriften legt Sicherheits­maßnahmen fest, die von Unternehmen ergriffen werden müssen, um ihren Betrieb aufrechtzuerhalten. Ähnlich wie bei den von ISO/IEC 27001 identifizierten ISMS Controls muss jede Anforderung dieser Vorschriften nachverfolgt, Aktionsschritte dokumentiert und fortlaufend überprüft werden.

Was passiert, wenn Ihre Bemühungen um Infosec-Mitigation fehlschlagen?

Ein ISMS ist der Ausgangspunkt für die Definition, Dokumentation und Verbesserung Ihrer Informations­sicherheit. Natürlich ist kein System zu 100 % ausfallsicher, daher muss ein Teil Ihres ISMS Schritte zur Schadensbegrenzung im Fall eines Incidents definieren.

  • Welche Sicherheitsverfahren gibt es?
  • Wie werden diese gehandhabt?
  • Welche Benachrichtigungen und Eskalationen sind erforderlich?
  • Können und sollen diese automatisiert werden?
  • In welchen Systemen – einem SOAR, Ihrem ITSM Tool oder in der ISMS Software?
  • Wie ist das Verfahren und wie lauten die Zugangs­­kontroll­anforderungen für die Übergabe eines Incidents von einem Team an ein anderes?

Was ist eine ISMS Software?

ISO/IEC 27001 beschreibt zwar Controls und Überlegungen zur Implementierung, gibt aber nicht genau an, wie dies zu geschehen hat. Einige Unternehmen fangen damit an, ihre Controls in einer Tabellen­kalkulation zu erfassen. Dies wird schnell sehr viel: Jedes Control kann am Ende praktisch zu einem Miniprojekt werden, mit eigenen Dokumentations­­­anforderungen, Status­anforderungen, Schulungsbedarf, etc.

isms-software-stoppt-chaos-vorher

Bei einem ISMS wird jede Control in einem eigenen Business Object verwaltet. Die gesamte Kommunikation im Zusammenhang mit einer Control, einschließlich aller erforderlichen Dokumente, wird innerhalb dieses zentralen Business Objects nachverfolgt:

Die Verwaltung der ISMS Controls ist einfach, da jede Aktualisierung der Control-Dokumentation organisiert und mit einem Datums-/Zeitstempel versehen ist.

Benachrichtigungen über Anforderungen können automatisch ausgelöst werden, so dass jeder weiß, wenn eine ISMS Control Aufmerksamkeit erfordert.

Automatisierte Workflows können damit zusammenhängende Aufgaben, wie das Einholen von Genehmigungen, beschleunigen.

Sicherheitsüberlegungen und Zugriffskontrollmöglichkeiten, die in ein ISMS integriert sind, sorgen dafür, dass die Kommunikation zwischen allen Beteiligten – ob intern oder extern – stets sicher und strukturiert verläuft.

Der gesamte Risiko­­management­­prozess wird schneller und die Auf­zeich­nungen sind immer auf dem neuesten Stand, so dass Sie für ein Audit gerüstet sind.

ISO 27001-Zertifizierung

Der Einsatz eines Information Security Management Systems, wie es in der ISO 27001 beschrieben ist, ist für Unternehmen wichtig, weil es ihren Partnern, Kunden und anderen Stakeholdern zeigt, dass das Unternehmen systematisch Risiken identifiziert, verwaltet und abmildert. Es schafft Vertrauen.

Um die erfolgreiche Implementierung und Anwendung der ISO/IEC 27001-Normen und eines ISMS weiter zu verifizieren, streben Unternehmen häufig eine ISO 27001-Zertifizierung an. Zugelassene Registrierungs- oder Zertifizierungsstellen überprüfen das ISMS, um sicherzustellen, dass wesentliche Dokumente vorhanden sind (Stufe 1), dass das ISMS korrekt konfiguriert und überwacht wird (Stufe 2) und dass das Unternehmen seine Bemühungen zum Schutz von Informationswerten fortsetzt (laufende Überprüfung).

Das Interesse an einer Zertifizierung ist ein weiterer Grund, warum ISMS-Software nützlich ist. Auditoren können schnell den Status und die notwendigen Informationen zu jeder Control finden, was sowohl dem Auditor als auch Ihrem Sicherheitsteam während des Prozesses viel Zeit erspart.

Erfahren Sie mehr über CONTROL, unsere ISMS Software.