Was ist ein Information Security Management System (ISMS)?

Management der Informationssicherheit

Unternehmen in Deutschland sind nach dem deutschen IT-Sicherheitsgesetz (IT-SiG) und der europäischen Datenschutz-Grundverordnung (DSGVO) verpflichtet, sensible Informationen zu schützen. Darunter fallen Inhalte wie Kundendaten, Videos, elektronische und gedruckte Dokumente u. v. m.

Professionelles Informationssicherheits-Management (Information Security Management) gewährleistet, dass die Informationen Ihres Unternehmens geschützt sind und nur berechtigte Personen darauf zugreifen können. Mit einem Information Security Management System (ISMS, zu Deutsch Informationssicherheits-Managementsystem) sind Sie für den Fall der Fälle gut vorbereitet.

Bei der Implementierung eines ISMS sind bestimmte Standards, Leitlinien und Protokolle zu beachten. Diese leisten wertvolle Hilfestellung, um ein ISMS effizient zu betreiben. Sie haben im Unternehmen noch kein ISMS? Hier erfahren Sie, was dafür notwendig ist, und wie Sie ein ISMS implementieren.

 

Die Schutzziele der Informationssicherheit

Die internationale Norm ISO 27000 definiert die wesentlichen Schutzziele der Informationssicherheit:

Die drei Schutzziele laut ISO 27000: Image name: • Vertraulichkeit • Integrität • Verfügbarkeit

Der Begriff „Informationssicherheits-Management“ steht für alle Maßnahmen, die darauf abzielen, die drei Schutzziele gemäß ISO 27000 zu erreichen:

  • Vertraulichkeit: Sensible Informationen bleiben vertraulich. Sie werden vor unberechtigtem Zugriff und daher vor möglichem Missbrauch geschützt. Mit Kennwörtern, Verschlüsselung und Kontrolle der Zugriffsberechtigungen schützen Sie die Informationen Ihres Unternehmens.
  • Integrität: Falls Unbefugte tatsächlich auf Ihre Daten zugreifen, müssen Sie sich darauf verlassen können, dass die Daten nicht manipuliert oder verändert werden können. Informationssicherheit ist eine wichtige Voraussetzung für die Integrität der Daten. Falls Sie vermuten, dass Daten manipuliert wurden, sollten Sie sie im Ernstfall wiederherstellen können.
  • Verfügbarkeit: Berechtigte Nutzer müssen jederzeit auf die Daten, Dienste und Informationen im Unternehmen zugreifen können. Verfügbarkeit gewährleisten Sie, indem Sie regelmäßige Backups durchführen, Nutzern die richtigen Berechtigungen zuweisen und das Unternehmen vor Angriffen schützen, die seine IT-Infrastruktur lahmlegen könnten.

 

Was ist ein ISMS?

Was bedeutet ISMS? Mit einem Information Security Management System (ISMS) stellen Unternehmen sicher, dass sie die Schutzziele gemäß ISO 27000 erreichen, Risiken reduzieren und im Ernstfall noch arbeiten können.

ISMS steht für Information Security Management System und umfasst Richtlinien, Maßnahmen und Verfahren, mit deren Hilfe ein Unternehmen die Schutzziele gemäß ISO 27000 erreicht, Risiken reduziert und im Ernstfall einer Sicherheitsbedrohung noch arbeiten kann. Wie umfassend ein ISMS ist, hängt von Art und Umfang der Daten ab, die zu schützen sind. Im Allgemeinen basiert ein ISMS auf sechs Säulen:

 

1. Strategische Planung

Ihr Unternehmen benötigt eine solide Strategie, um Risiken zu minimieren und seine Informationen zu schützen. Skizzieren Sie den Umfang des ISMS und was es leisten sollte, damit die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten gewahrt ist.

 

2. Steuerung, Risiken und Compliance

Stimmen Sie die Prozesse, die die Informationssicherheit betreffen, auf die Ziele und Bedürfnisse Ihres Unternehmens ab. Stellen Sie sicher, dass das Unternehmen gesetzliche Vorgaben einhält und Risiken durch entsprechende Maßnahmen reduziert.

 

3. Sicherheitsmaßnahmen

Im Mittelpunkt des ISMS stehen Sicherheitsmaßnahmen, die das Risiko reduzieren, dass Unbefugte auf Daten zugreifen oder diese stehlen. Das ISMS umfasst drei Arten von Maßnahmen:

  • Präventive Maßnahmen sollen Zwischenfälle verhindern.
  • Korrekturmaßnahmen vermeiden, dass sich bestimmte Zwischenfälle wiederholen.
  • Erkennungsmechanismen sollen Zwischenfälle und mögliche Probleme rechtzeitig erkennen.

 

4. Risikosteuerung im Hinblick auf Dritte

Durch die Steuerung von Risiken, insbesondere durch Dritte, kontrollieren Sie Verhaltensweisen, die sich negativ auf Ihre Informationen oder das Unternehmen als Ganzes auswirken könnten. Externe Software könnte etwa das Risiko von Datenschutzverletzungen erhöhen oder ein Lieferant dem Ruf Ihres Unternehmens schaden.

 

5. Management des IT-Sicherheitsprogramms

Das IT-Sicherheitsprogramm Ihres Unternehmens umfasst alle Maßnahmen, Aktivitäten, Prozesse und Projekte im Rahmen des ISMS, die die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Unternehmensdaten sicherstellen.

 

6. Audit-Management

Das Audit-Management gestattet Ihrem Unternehmen, Audits schnell und leicht durchzuführen. So identifizieren Sie etwaige Risiken schnell und können angemessen auf Bedrohungen reagieren.

 

Warum ist ein ISMS wichtig?

Der unbefugte Zugriff auf die Daten eines Unternehmens kann unangenehme Folgen haben. Hacker könnten Kundendaten abgreifen, die Identität von Kunden stehlen oder die erbeuteten Daten verkaufen. Wenn Unbefugte vertrauliche Pläne für Ihr nächstes großes Produkt finden und es selbst realisieren, entsteht Ihrem Unternehmen ein wirtschaftlicher Schaden.

Datenschutzverletzungen und Datendiebstahl können sich auf einzelne Personen oder das Unternehmen negativ auswirken und die Reputation Ihres Unternehmens erheblich beeinträchtigen. Falls Ihre Daten manipuliert wurden, leidet möglicherweise die Qualität der Dienstleistungen oder Produkte, sodass sich der Ruf des Unternehmens verschlechtert.

Mit einem ISMS verhindern Sie unbefugten Zugriff, schützen die Integrität der Daten und gewähren nur ausgewählten Personen Zugriff auf bestimmte Informationen. Ein ISMS minimiert auf diese Art die Risiken des Unternehmens und bleibt potenziellen Cyber-Kriminellen stets einen Schritt voraus. Je nach Branche ist Ihr Unternehmen sogar gesetzlich verpflichtet, ein ISMS zu implementieren.

 

Wer ist am Informationssicherheitsmanagement beteiligt?

Das Management der Informationssicherheit geht alle im Unternehmen etwas an.

Ein gut funktionierendes Information Security Management System setzt voraus, dass alle in der Organisation unterstützen: Führungsebene, Personalwesen, IT-Abteilung, Finanzwesen und Customer Service. Informationssicherheit muss fest in der Unternehmenskultur verankert sein. Der sichere Umgang mit Informationen sollte zudem selbstverständlich sein – in allen Bereichen des Unternehmens und auf allen Ebenen:

  • Führungsebene: Mindestens ein Vertreter der Führungsebene ist für das ISMS zuständig, meist der Chief Security Officer (CSO) oder Chief Technology Officer (CTO). Der CSO bzw. CTO ist dafür verantwortlich, dass das System den Standards und geltenden Gesetzen entspricht. Zudem verdeutlicht der CSO bzw. CTO anderen Vorstandsmitgliedern, wie wichtig das ISMS ist, und wirbt dafür, die Vorgaben des ISMS einzuhalten.
  • Personalwesen: HR spielt eine entscheidende Rolle, um wichtige Erwartungen in puncto Informationssicherheit zu kommunizieren. Mitarbeiterschulungen wie auch das Onboarding neuer Mitarbeiter gehen auf Informationssicherheit ein. Dadurch ist allen im Unternehmen klar, wie wichtig bestimmte Regeln sind und, dass unter anderem die Installation unzulässiger Software auf Geräten des Unternehmens oder die Mitnahme vertraulicher Unterlagen nicht gestattet ist.
  • IT-Abteilung: Die IT gibt die Richtlinien und Schutzmaßnahmen vor, die das Rückgrat des ISMS bilden. Die IT kann das Verhalten der Mitarbeiter überwachen, ungewöhnliche Aktivitäten feststellen und verhindern, dass unberechtigte Software oder Hardware genutzt wird. Zudem kann die IT den Zugriff auf bestimmte Websites blockieren oder Downloads verhindern, um die Daten des Unternehmens zu schützen.
  • Finanzwesen: Im Finanzwesen eines Unternehmens liegen sensible Daten vor. Alle Mitglieder im Team sollten die Prozesse und Richtlinien zum Schutz von Informationen kennen. Zudem sind konkrete Maßnahmen erforderlich, um Finanz- und Kontodaten zu schützen und Betrug zu verhindern.
  • Customer Service: Erste Anlaufstelle für Kunden ist der Customer Service, auch wenn sie eine Datenschutzverletzung vermuten oder ein Vorfall bekannt wird. Informieren Sie stets Ihren Customer Service zum aktuellen Stand bei der Informationssicherheit. So können Servicemitarbeiter kompetent auf besorgte Anfragen oder Probleme reagieren. So schützen oder rehabilitieren sie die Reputation des Unternehmens nach einem Datenschutzvorfall.

 

Welchen Rahmen gibt es für das Management der Informationssicherheit?

Ein Rahmen für das Management der Informationssicherheit gibt Regeln und Leitlinien vor, wie eine Organisation die Vertraulichkeit, Verfügbarkeit und Integrität aller Informationen gewährleistet. Neben der ISO 27000 und verwandten internationalen Normen gibt es weitere Rahmenwerke wie der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelte IT-Grundschutz.

Darüber hinaus gibt es weitere Standards und Leitlinien, z. B. den globalen Datensicherheitsstandard von Kreditkartenfirmen (Payment Card Industry Data Security Standard, oder auch PCI DSS). Dieser wurde 2004 von fünf großen Kreditkartenanbietern eingeführt, um Betrug zu verhindern. COBIT ist ein international anerkannter Rahmen für IT-Governance und DIN EN ISO 27799 gibt auf internationaler Ebene Leitlinien für die Informationssicherheit im Gesundheitswesen vor.

 

Wie wird ein Informationssicherheits-Managementsystem implementiert?

Der PDCA-Zyklus Plan – Do – Check – Act

Ein ISMS kann auf unterschiedliche Weise implementiert werden. Der PDCA-Zyklus ist ein gängiger Ansatz dafür. Das Akronym steht für Plan, Do, Check, Act:

  1. Plan: Ermitteln Sie den Bedarf für ein ISMS und sichern Sie sich die Unterstützung der Führungsebene und wichtiger Abteilungen und Stakeholder. Schon in dieser Phase können Sie eine passende Content-Plattform wählen und Schutzmaßnahmen wie Verschlüsselung und Kennwortschutz vorgeben.
  2. Do: Etablieren Sie ein System wie die Box Content Cloud und setzen Sie die beschlossenen Schutzmaßnahmen um. Fangen Sie klein an: Wenn Sie sich vergewissert haben, dass das ISMS in einer Abteilung funktioniert, nehmen Sie sich die nächste vor.
  3. Check: Überprüfen Sie regelmäßig die Wirksamkeit Ihres ISMS. Funktionieren Ihre Maßnahmen und Prozesse? So erkennen Sie frühzeitig Schwachstellen im System und können gegensteuern.
  4. Act: Setzen Sie die erforderlichen Änderungen um, die sich aus der Überprüfung des ISMS ergeben. Gehen Sie abteilungsweise vor oder rollen Sie die Maßnahmen unternehmensweit aus.

 

Wiederholen Sie den PDCA-Zyklus, um das ISMS weiter zu optimieren und an die neuesten Technologien und Angriffsmethoden anzupassen. So bleiben Sie Cyber-Kriminellen stets eine Nasenlänge voraus.

ISO 27001 Die einzige internationale Norm, nach der eine Zertifizierung möglich ist.

Die Norm 27001 der International Organization for Standardization (ISO) skizziert die Anforderungen an ein ISMS. Wenn Sie das Information Security Management System nach dieser Norm im Unternehmen implementieren, sind sämtliche Informationen bestens geschützt. Die Norm beschreibt auch die Voraussetzungen für eine Zertifizierung nach ISO 27001.

Schutzmaßnahmen für eine Zertifizierung • Kryptographie • Lieferantenbeziehungen • Physischer Schutz von Gebäuden und Arbeitsumgebung • Betriebssicherheit • Richtlinien für die Informationssicherheit

Die für eine Zertifizierung nach ISO 27001 erforderlichen Schutzmaßnahmen:

  • Verschlüsselung aller Daten
  • Lieferantenbeziehungen: In einem Vertrag wird der sichere Austausch von Daten zwischen Ihrem Unternehmen und Ihren Lieferanten geregelt
  • Physische Sicherheit von Gebäuden und Arbeitsumgebung
  • Betriebssicherheit: Der sichere und ordnungsgemäße Betrieb von Einrichtungen, die Informationen verarbeiten, muss sichergestellt sein.
  • Informationssicherheitsrichtlinie: Dokument, das den Gesamtansatz des Unternehmens zur Informationssicherheit festlegt.

 

Entdecken Sie das Potenzial der Content Cloud für ein effektives ISMS

Box unterstützt Sie dabei, den gesamten Content-Lebenszyklus zu verwalten – von der Dateierstellung über die gemeinsame Bearbeitung von Dokumenten bis hin zu Freigabe, elektronischen Unterschriften, Klassifizierung und der sicheren Aufbewahrung. Die intelligente Content Cloud erleichtert Ihnen die sichere Zusammenarbeit im Team und mit Externen enorm, beispielsweise mit nativen Funktionen wie Box Sign für elektronische Unterschriften oder Box Relay für den Aufbau effektiver und zeitsparender Workflows. Durch die lückenlose Sicherheit und Compliance Box sind Ihre Daten jederzeit bestens geschützt. Damit Ihre Teams so arbeiten können, wie es für sie am besten passt, lassen sich über 1.500 bekannte und oft genutzte Programme und Apps nahtlos integrieren.

Nutzen Sie Box als Gamechanger für Ihre gesamte Organisation und steigern Sie die Effizienz und die Produktivität aller Teams. Kontaktieren Sie Box noch heute, und erfahren Sie mehr über die Vorteile der Content Cloud.

 

 

** Wir sind stets bestrebt, Produkte und Services anzubieten, die den besten Datenschutz sowie die höchste Sicherheit und Compliance gewährleisten, jedoch stellen die in diesem Blogbeitrag enthaltenen Informationen keine Rechtsberatung dar. Wir empfehlen potenziellen und aktuellen Kund:Innen dringend, ihre eigene Sorgfaltspflicht bei der Einhaltung geltender Gesetze zu erfüllen.

Die Content Cloud vereinfacht die Zusammenarbeit, Produktivität, Workflows und vieles mehr

Kontaktieren Sie uns
Icon Trending 20x20px
Trending topics