Aufbau und Einführung eines ISMS.

Der Aufbau eines Informationssicherheitsmanagementsystems (kurz: ISMS) und deren Mehrwert ist vielfältig. Dabei geht es nicht zwingend nur darum, dass man das eigene Unternehmen gegen Angriffe und Bedrohungen schützt, sondern auch darum, dass sowohl interne als auch externe Prozesse optimiert werden. Auch gegenüber Kundinnen und Kunden bietet das ISMS einen Mehrwert.

Basis eines ISMS.

Die Grundlage für ein Informationsmanagementsystem bildet die ISO/IEC 27001. Diese ist die international führende Norm für das ISMS und eine wichtige Zertifizierung für Cyber Security. Mit der ISMS haben Unternehmen Leitlinien für die Planung, Umsetzung, Überwachung und Verbesserung der Informationssicherheit. Dabei ist die individuelle Situation des Unternehmens der Ausgangspunkt für den Aufbau des ISMS.

Bestandteile eines ISMS.

Das Informationssicherheitssystem besteht im Wesentlichen aus unterschiedlichen Prozessen und Dokumentationen, einem Risikomanagement sowie unterschiedlichen Maßnahmen, die getroffen werden müssen. Unter den Prozessen und Dokumentationen fällt die ISMS-Organisation, die Schulungen mit beispielsweise Mitarbeitenden und deren Awareness. Gleichzeitig sind beim Aufbau eines ISMS auch interne Audits sowie das Management von Sicherheitsvorfällen ein wesentlicher Bestandteil. In diesem Atemzug sind auch Kennzahlen ausschlaggebend, die sich wiederum in einem Managementbericht wiederfinden. Im Risikomanagement gilt es ein Risikoverzeichnis zu verfassen und die Risiken zu bewerten sowie deren Behandlung. Bei den Maßnahmen ist es ein wesentlicher Bestandteil, dass beispielsweise Korrekturmaßnahmen vorgenommen werden.

Beteiligte beim Aufbau eines ISMS.

Um eine Informationssicherheitsmanagement zu implementieren, sind neben der Geschäftsleitung auch die Informationssicherheitsbeauftragten zwingend erforderlich. Daneben ist es notwendig ein Team zu bilden, dass sich ebenso um das ISMS kümmert und hierfür Sorge trägt. Die Geschäftsleitung übernimmt jedoch die Verantwortung für das ISMS und die Informationssicherheitsbeauftragten sorgen für die Qualität.

Darauf sollten Sie achten.

Beim Aufbau eines ISMS sollten Sie darauf achten, dass die Richtlinien und Normen der ISO27001 eingehalten werden, damit diese auch einen wirksamen Schutz bieten. Dabei ist eine sachbezogene Herangehensweise notwendig. Die Prozesse sollten sich an der Realität orientieren, einfach und verständlich sein. Die Gegebenheiten des Unternehmens wie weiche und quantitative Faktoren haben bei der Implementierung eines ISMS höchste Priorität. Die Prozesse sollten sich an der Realität orientieren und verständlich sein. In den Prozessen sind auch Vertretungsregelungen zu definieren und transparent darzustellen.  Bei der Implementierung einer ISMS sind auch regelmäßige Schulungen und Trainings durchzuführen, um ein dauerhaftes Bewusstsein für die Mitarbeitenden zu schaffen.

So bauen Sie ein ISMS auf.

Nach erfolgreicher Implementierung ist vor dem Zyklus der Prozessoptimierung. Dies erfolgt über den Plan-Do-Check-Zyklus.

Im ersten Schritt „Plan“ wird der Geltungsbereich festgelegt und Anforderungen definiert. Um Risiken definieren und bewertet werden zu können, müssen zunächst die Geschäftswerte festgestellt werden. Daraus können Ziele und Maßnahmen festgelegt werden und die notwendigen Ressourcen können bereitgestellt werden.

Im Schritt „Do“ werden die Maßnahmen sowie organisatorische Maßnahmen umgesetzt. Nun werden im dritten Schritt „Check“ Prozesse und Regelungen überwacht, geprüft und bewertet sowie die Zielerreichung geprüft, Im vierten Schritt „Act“ werden die Prozesse kontinuierlich reflektiert, verbessert und Folgemaßnahmen angestoßen.

Fazit.

An einem Informationsmanagementsystem (ISMS) kommen Unternehmen nicht mehr vorbei. Mit der ersten Hürde – der Implementierung - ist es jedoch noch nicht vorbei. Eine kontinuierliche Verbesserung und Optimierung des bestehenden ISMS führt kein Weg vorbei. Auch sind Geschäftsleitung, Informationssicherheitsbeauftragte sowie das gesamt Team rund um das ISMS gefragt, um dieses passend auf Ihr Unternehmen anzupassen.

Gerne unterstützen wir Sie bei der Implementierung sowie Optimierung Ihres ISMS.