Informationssicherheits-Managementsystem (ISMS)
Ein Informationssicherheits-Managementsystem (Information Security Management System, ISMS) dient dazu, die Informationssicherheit in einem Unternehmen oder einer Organisation zu definieren, zu steuern und kontinuierlich zu verbessern.
Die Einführung und der Betrieb eines ISMS stellen viele Unternehmen und Organisationen vor Herausforderungen und oft bedarf es dabei externer Unterstützung. Wir beraten Sie gerne, ganz gleich, wo Sie beim Thema ISMS aktuell stehen: Von der Einführung eines ISMS über den Betrieb und die Optimierung bis hin zu internen Audits und der Vorbereitung auf eine Zertifizierung.
Wer ist zum Betrieb eines ISMS verpflichtet?
Die Betreiber Kritischer Infrastrukturen (KRITIS) sind nach dem Gesetz des Bundesamtes für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG) verpflichtet, „angemessene organisatorische und technische Vorkehrungen“ zu treffen, um „Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ zu vermeiden (§ 8a Abs. 1 BSIG) und diese Vorkehrungen mindestens alle zwei Jahre gegenüber dem Bundesamt auch nachzuweisen (§ 8a Abs. 3 BSIG).
Zu den KRITIS-Sektoren gehören u. a. die Bereiche Energie, Telekommunikation, Transport, Wasser, Ernährung und Gesundheit. Unternehmen und Organisationen, die in diesen Sektoren tätig sind, kommt eine zentrale Bedeutung für das Funktionieren des staatlichen Gemeinwesens zu, daher unterliegen sie im Hinblick auf die Informationssicherheit gesetzlichen Melde- und Nachweispflichten.
Aktuell: Neuerungen durch NIS 2 (Network and Information Security)
Die NIS-2-Richtlinie (EU 2022/2555) ist von den EU-Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umzusetzen. In Deutschland soll dies durch das „NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz“ (NIS2UmsuCG) erfolgen. Durch die Umsetzung wird die Zahl an regulierten Organisationen und Einrichtungen deutlich steigen.
Mit einem ISMS und einem Business Continuity Management System (BCMS) sind die dann vom Gesetzesentwurf umfassten Organisationen und Einrichtungen optimal vorbereitet, die neuen Anforderungen mit verhältnismäßig geringem zusätzlichem Aufwand zu erfüllen. Mehr Informationen zum Thema NIS2UmsuCG finden Sie auf unserer FAQ-Seite.
Welche Vorteile hat die Einführung eines ISMS?
Durch ein ISMS lassen sich Schwächen der Informationssicherheit sowie potenzielle Risiken für die IT-Systeme sehr gut aufdecken und beheben. Zudem können Sie ein ISMS auch zertifizieren lassen und damit gegenüber Kunden oder Geschäftspartnern nachweisen, dass die Informationssicherheit ein bestimmtes Niveau erfüllt. Die Einführung eines ISMS bedeutet aus unserer Sicht einen absoluten Mehrwert für Ihre IT- und Informationssicherheit. Voraussetzung für die erfolgreiche Einführung ist eine Leitung, die voll und ganz hinter diesem Projekt steht.
Normen und Standards für ein ISMS
Seit über 20 Jahren beraten wir Unternehmen und Organisationen aus ganz unterschiedlichen Bereichen und Branchen. Dabei orientieren wir uns an folgenden etablierten Normen und Standards:
ISMS nach ISO-Norm – branchenunabhängig und zertifizierbar
Die Norm ISO/IEC 27001:2022 „Information security, cybersecurity and privacy protection – Information security management systems – Requirements“ eignet sich für Unternehmen und Organisationen verschiedener Größen und Branchen.
Erstmals veröffentlich hat die ISO diesen Standard im Jahre 2005 und die Norm wurde seither fortlaufend angepasst, was sich auch im jeweiligen Titel widerspiegelt: Die aktuelle Norm trägt nicht nur der Tatsache Rechnung, dass Informationssicherheit und Cybersicherheit heute für Unternehmen und Organisationen von zentraler Bedeutung sind, auch der Datenschutz rückt verstärkt in den Mittelpunkt. Gerade personenbezogene Daten sind inzwischen oftmals das Ziel von Cyberangriffen.
Die Bewahrung der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen ist Sinn und Zweck eines ISMS, so formuliert es die ISO. Mithilfe der ISO-Norm für ISMS lässt sich für jedes Unternehmen ein individuell abgestimmtes Informationssicherheitskonzept erarbeiten, welches über den Prozess Plan-Do-Check-Act (PDCA-Zyklus) kontinuierlich weiterentwickelt und verbessert wird.
Wir unterstützen Sie bei der Einführung eines ISMS nach ISO/IEC 27001 und der Vorbereitung auf eine ISO-Zertifizierung.
IT-Grundschutz für Unternehmen (auch KMU) und öffentliche Einrichtungen
Der IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist ein bewährter Standard zum Aufbau eines ISMS. Zielsetzung des IT-Grundschutzes ist es, innerhalb von Unternehmen und Organisationen ein bestimmtes Niveau der Informationssicherheit zu etablieren und aufrechtzuerhalten, um insbesondere die Verfügbarkeit, Vertraulichkeit und Integrität (Korrektheit) der Informationen zu gewährleisten.
Dafür liefert das IT-Grundschutz-Kompendium die konkreten Anforderungen, während die sog. BSI-Standards die bewährten Methoden, Prozesse, Vorgehensweisen/Verfahren und Maßnahmen bieten. Die BSI-Standards und das Kompendium bilden zusammen die Hauptwerke im IT-Grundschutz. Im BSI-Standard 200-1 werden die allgemeinen Anforderungen an ISMS festgelegt und dieser Standard ist kompatibel zur aktuellen Norm ISO/IEC 27001 für ein ISMS. In den anderen drei Standards der Reihe 200-x geht es um die IT-Grundschutz-Methodik (BSI-Standard 200-2), die Risikoanalyse (BSI-Standard 200-3) und das Business Continuity Management (BSI-Standard 200-4). Relevant für den Aufbau eines ISMS sind die BSI-Standards 200-1 bis 200-3, das BCM bzw. Notfallmanagement (200-4) kann zusätzlich oder auch separat eingeführt werden.
Anders als bei der ISO-Norm, zielt das BSI darauf ab, in bestimmte Themen der Informationssicherheit vertiefend einzusteigen und auch branchenspezifische Hilfestellungen zu bieten über die sog. IT-Grundschutz-Profile, die als Mustersicherheitskonzepte verwendet werden können. Des Weiteren gibt es verschiedene Vorgehensweisen für ein ISMS, die sich am tatsächlichen Sicherheitsbedürfnis orientieren (Basis-, Standard- und Kern-Absicherung) und dadurch auch für Einsteiger sowie für kleine und mittlere Unternehmen (KMU) geeignet sind.
Durch das BSI kann eine ISO 27001 Zertifizierung auf Basis von IT-Grundschutz erfolgen. Wir beraten Sie gerne ausführlich zum Aufbau eines ISMS nach IT-Grundschutz.
Anforderungen an die Informationssicherheit in der Automobilindustrie
Der Verband der Automobilindustrie (VDA) hat Maßnahmen zur Datensicherung und zum Schutz von Prototypen für die Automobilindustrie erarbeitet und im sog. „Information Security Assessment“ (ISA) Katalog zusammengestellt. Der VDA ISA Katalog wurde auf Basis der Norm ISO/IEC 27001 für ISMS entwickelt und dient mehreren Zielen: Zum einen zur Beurteilung des Ist-Zustandes der Informationssicherheit im Unternehmen, zum anderen ist er die Grundlage für Audits durch interne Fachabteilungen sowie für eine Prüfung nach TISAX®.
ISMS speziell für KMU, Institutionen und Behörden
Die Richtlinie „VdS 10000 – Informationssicherheitsmanagementsystem für kleine und mittlere Unternehmen (KMU)“ ist auf diese und auf kleine bis mittlere Institutionen und Behörden ausgelegt. Die VdS Schadenverhütung GmbH bietet in der von ihr entwickelten Richtlinie Vorgaben und Hilfestellungen für die Einführung eines ISMS sowie Maßnahmen, um die IT-Infrastruktur abzusichern. So soll mit möglichst geringem finanziellen und organisatorischen Aufwand ein angemessenes Schutzniveau in KMU und anderen kleineren bis mittleren Organisationen erreicht werden können.
Die VdS ist Herausgeberin dieser und weiterer Richtlinien, die sich speziell an KMU richten. Die „VdS 10000“ basiert auf den etablierten Standards ISO/IEC 27001 und BSI-Grundschutz und ein gemäß der Richtlinie aufgebautes ISMS kann vom VdS zertifiziert werden.
So können wir Sie unterstützen:
Jede Beratung ist individuell. Gemeinsam mit Ihnen loten wir in einem kostenlosen Vorgespräch aus, wie wir Sie am besten unterstützen können. Dabei legen wir besonderen Wert auf Praxisnähe. Unser Vorgehen gliedert sich im Wesentlichen in die folgenden Schritte:
Durchführung einer Gap-Analyse
Im Rahmen eines Workshops werden die bereits bestehenden Maßnahmen zur Informationssicherheit auf Interviewbasis erfasst und die Konformität zu den anzuwendenden Normen bewertet. Als Ergebnis der Gap-Analyse werden der Ist-Stand in Bezug auf die Anforderungen dokumentiert, der Konformitäts- bzw. Umsetzungsgrad bewertet sowie Abweichungen vom Soll-Zustand identifiziert.
Einführung eines ISMS
Nach der Gap-Analyse unterstützen wir Sie beim Aufbau und der Etablierung eines Managementsystems zur Informationssicherheit, kurz ISMS, und helfen Ihnen, die im Rahmen der GAP-Analyse festgestellten Abweichungen zu behandeln.
Zentraler Aspekt bei der Einführung eines ISMS ist der Aufbau einer geeigneten Organisationsstruktur. Wir unterstützen Sie bei der Etablierung der Prozesse, der Definition der Rollen (z. B. Informationssicherheits-Beauftragten) und der Erstellung der notwendigen Dokumentation. Bei der Durchführung der Risikoanalyse und der Erstellung des daraus abgeleiteten Sicherheitskonzeptes unterstützen wir genauso, wie bei der Umsetzung der Maßnahmen.
Weiterhin führen wir für Sie interne Audits durch und unterstützen Sie bei den notwendigen Berichten und Managementreviews. Auf Wunsch versetzen wir Sie in die Lage, Ihr ISMS zukünftig selbstständig und effizient betreiben und nutzen zu können oder bieten Ihnen dazu die dauerhafte Unterstützung als externer Informationssicherheits-Beauftragter (ISB) an.
Unterstützung des ISMS-Betriebes als externer Informationssicherheits-Beauftragter (ISB)
Nach bzw. während der Einführung des ISMS müssen der Betrieb der zentralen Prozesse und die Umsetzung von Maßnahmen sichergestellt werden. Wir übernehmen gerne die Funktion als externer Informationssicherheits-Beauftragter (ISB) oder unterstützen Ihren internen Informationssicherheits-Beauftragten.
Wir unterstützen Sie auch bei Projekten zur Informationssicherheit
Wenn sich im Rahmen des Projekts weitere Anforderungen ergeben, wie z. B.
- eLearning und Sensibilisierungsmaßnahmen zur Informationssicherheit,
- toolbasiertes ausrollen von Richtlinien und Regelungen inklusive Dokumentation der Kenntnisnahme durch die jeweiligen Adressaten,
- Dienstleisteraudits oder
- Penetrationstests (kurz Pentests),
können wir Sie auch hier mit vorhandenen Lösungen unterstützen. Sprechen Sie uns an!
Ihre Ansprechpartner
Sie haben Fragen zur Einführung eines ISMS oder möchten prüfen lassen, ob es Verbesserungspotenziale in Ihrem bestehenden ISMS gibt? Dann nehmen Sie gerne Kontakt mit uns auf. Wir freuen uns auf Ihre Anfrage!
Thomas Wennemann
Leiter Informationssicherheit | Beratung
E-Mail: twennemann@re-move-this.datenschutz-nord.de
Telefon: +49 421 69 66 32-346
Lars Meyer, M.Sc.
Senior Berater Informationssicherheit
E-Mail: lmeyer@re-move-this.datenschutz-nord.de
Telefon: +49 421 69 66 32-337
FAQ: Welche branchenspezifischen Pflichten für ein ISMS gibt es?
Auch interessant:
Weitere ausgewählte Leistungen aus dem Bereich Informationssicherheit finden Sie über diese Buttons. Bei Fragen stehen wir Ihnen jederzeit zur Verfügung.
Kennen Sie schon unseren Blog?
Mit unserem Blog „datenschutz notizen“ informieren wir Kunden und Interessierte über aktuelle Themen in den Bereichen Datenschutz, Informationssicherheit und Compliance. Hier finden Sie unsere neuesten Beiträge über Informationssicherheit, Cybersicherheit und Pentests: