Ein Informationssicherheits-Managementsystem ist der Grundstein des ISO 27001 Standards. Das Framework ist darauf ausgelegt, Anleitung zum Aufbau, zur Bewertung, zur Wartung und zur Verbesserung eines sicheren ISMS zu geben.

Im Folgenden werden wir erklären, was ein ISMS ist und erläutern, wie man eines aufbaut, das den Anforderungen des internationalen Standards ISO 27001 entspricht.

Was ist ein Informationssicherheits-Managementsystem? (ISMS)

Wenn die Informationsressourcen einer Organisation ihre Kronjuwelen sind, dann ist das ISMS der Tresor. Es sind die Menschen, Systeme, Technologien, Prozesse und Informationssicherheitsrichtlinien, die zusammenkommen, um sensible Daten in der gesamten Organisation zu schützen.

Aber ein ISMS ist mehr als nur die Hardware und Software, die Sie verwenden, um Informationen sicher zu halten - es ist auch eine Reihe von Prinzipien, die leiten und regeln, wie Sie:

  • Information verwenden
  • Daten speichern und abrufen
  • Risiken bewerten und behandeln
  • Die Datensicherheit kontinuierlich verbessern

Der Prozess des Aufbaus eines ISMS hilft Ihnen:

  • Wichtige Stakeholder und ihre Informationssicherheitsanforderungen zu identifizieren
  • Klare Erwartungen und Verantwortlichkeiten in Bezug auf Informationssicherheit in der gesamten Organisation festzulegen
  • Bedrohungen für Informationsressourcen zu identifizieren
  • Kontrollen zur Minderung von Schwachstellen zu definieren und umzusetzen
  • Die Leistung der Informationssicherheitskontrollen zu überwachen und zu messen
  • Das ISMS kontinuierlich zu verbessern

Was sind die Komponenten eines ISMS?

Ein ISMS umfasst die vier Ps:

  1. Menschen
  2. Richtlinien und Prozesse
  3. Produkte und Technologien
  4. Partner und Drittanbieter

In der Praxis umfasst ein ISMS alles, von HR-Prozessen wie Hintergrundüberprüfungen bis hin zur Datenverschlüsselung und sicheren Entwicklungspraxis, zur Notfallplanung und Risikomanagement von Anbietern. Es umfasst alles, was eine Organisation tut, um Informationssicherheitsrisiken zu identifizieren und zu handhaben.

Die Vorteile eines konformen ISMS gehen über die ISO 27001 Zertifizierung hinaus. Es kann Ihnen helfen, die Effizienz des Unternehmens zu verbessern, Redundanzen zu identifizieren und Kosten zu senken sowie skalierbare Sicherheitspraktiken einzuführen.

Wie erstelle ich ein ISMS, das den Anforderungen von ISO/IEC 27001:2013 entspricht

Der ISO 27001 Informationssicherheitsstandard definiert, was Organisationen tun müssen, um ein konformes ISMS zu erstellen und aufrechtzuerhalten.

  • ISMS-Geltungsbereich festlegen. Nicht jedes einzelne Informationsstück fällt unter den Geltungsbereich Ihres ISMS. Gemäß Klausel 4.3 müssen Organisationen zunächst festlegen, welche Informationsressourcen geschützt werden müssen.
  • Risikobewertung durchführen. Als nächstes müssen Sie Schwachstellen für jede Informationsressource identifizieren. Eine Risikobewertung hilft Ihnen dabei, spezifische Bedrohungen zu identifizieren, damit Sie einen Plan zur Minderung dieser erstellen können.
  • Behandlungsplan für Risiken erstellen. Sobald die Risiken identifiziert sind, können Sie entscheiden, was Sie dagegen tun möchten. Je nach Risikobereitschaft Ihrer Organisation können Sie das Risiko entweder akzeptieren, behandeln, vermeiden oder übertragen.
  • Sicherheitskontrollen entwerfen und umsetzen. Anhang A enthält Gruppen von Sicherheitskontrollen, die Organisationen bei der Entscheidung helfen, welche Kontrollen verwendet werden sollen. ISO 27002 bietet detailliertere Informationen zu jeder Kontrolle, einschließlich deren Umsetzung.
  • Führen Sie regelmäßige interne Audits durch. Sobald Sie Ihr ISMS aufgebaut haben, müssen Sie seine Wirksamkeit durch regelmäßige interne Audits überwachen. Die Ergebnisse dieser internen Audits helfen Ihnen, Ihr ISMS zu verbessern und sicherzustellen, dass es weiterhin den Bedürfnissen Ihrer Organisation entspricht.
  • Definieren Sie einen Prozess zur kontinuierlichen Verbesserung. In der Regel überprüft das Management die Ergebnisse jedes internen Audits, um mögliche Verbesserungen des ISMS zu besprechen.