{"type":"template", "config":{"type":"preset", "templateType":"detail", "templateName":"detail"}}

{"config":{"type":"attribute", "attribute":"name"}} Was ist ein Information Security Management System (ISMS)?

Ein Information Security Management System (ISMS) etabliert Regeln und Methoden, mit denen die Informationssicherheit in einem Unternehmen oder in einer Organisation sichergestellt werden soll. Dazu gehören die richtigen Vorgehensweisen sowie die Durchführung organisatorischer und technischer Maßnahmen, die fortlaufend kontrolliert und optimiert werden müssen.

Das heißt: Das ISMS bildet die Basis für die Informationssicherheit innerhalb eines Unternehmens und sorgt für die Einhaltung von Sicherheitsstandards. Risiken für die Informationssicherheit werden dadurch identifiziert, analysiert und lassen sich beseitigen, noch bevor daraus eine Gefahr entsteht.

Warum ein Information Security Management System (ISMS)?

Ein ISMS soll in erster Linie für mehr Transparenz und Kontrolle sorgen. Darüber hinaus bildet es die Grundlage für mehr Informationssicherheit. Das Ziel eines ISMS ist es, für ein angemessenes Schutzniveau für Vertraulichkeit, Verfügbarkeit und Integrität von Informationen zu sorgen.

Ein ISMS steht für drei Ziele:
Vertraulichkeit: Nur ausgewählten Personen stehen die Informationen zur Verfügung.
Integrität der Daten: Alle Informationen sind sicher vor Manipulation.
Verfügbarkeit: Die Informationen stehen den berechtigten Personen zur Verfügung.

Wie funktioniert ein ISMS?

Ein ISMS ist prozessorientiert und verfolgt einen Top-Down-Ansatz. D.h. es wird von der Unternehmensführung gesteuert. Das Erstellen der Security Policies erfolgt durch das Top-Management. Die Ausarbeitung der Details und Umsetzung kann aber an andere Mitarbeitende übertragen werden, beispielsweise Datenschutzbeauftragte. Das Management entscheidet aber letztlich, wie weit die Risiken mithilfe eines ISMS reduziert werden sollen.

Wie funktioniert ein ISMS? Welche Schritte sind zur Einführung eines ISMS notwendig?

Zuerst muss festgelegt werden, was das ISMS überhaupt leisten soll und welche Informationen schützenswert sind. Anschließend werden die Risiken identifiziert, z. B. EU-Verordnungen, Gesetze, Compliance-Richtlinien, Datenschutz, und eine Risikobewertung erstellt.

Dazu können auch Maßnahmen zur Risikovermeidung definiert werden.
Die einzelnen Schritte zur ISMS-Einführung:

Leistungsumfang ermitteln
Schützenswerte Informationen bestimmen
Informationssicherheits-Strategie festlegen
Risiken ermitteln und analysieren
Maßnahmen festlegen
Informationssicherheits-Handbuch zur Dokumentation und zum Aufbau eines Regelwerks erstellen
Audits zur Überprüfung der Maßnahmen
Optimierungen

Das Bundesamt für Sicherheit in der Informationstechnik bzw. der IT-Grundschutz bieten hierzu einen ISMS-Ratgeber an: BSI-Standard 100-1: Information Security Management Systems (ISMS)
Der IT-Grundschutz ermöglicht zudem Zertifizierungsmöglichkeiten. Ein ISO 27001-Zertifikat auf Basis von IT-Grundschutz belegt, dass eine Institution die Anforderungen der Norm ISO 27001 erfüllt und die Anforderungen aus dem IT-Grundschutz umsetzt.

Der IT-Sicherheitsbeauftragte im ISMS?

Zu einem effizienten ISMS gehört auch die Benennung eines IT-Sicherheitsbeauftragten. Er ist innerhalb des Unternehmens der Ansprechpartner und Verantwortliche für Fragen bzgl. der IT- und Informationssicherheit. Meistens wird der IT-Sicherheitsbeauftragte vom Vorstand oder der Geschäftsführung benannt.

Beinhaltet ein ISMS auch den Datenschutz?

Jein, ein ISMS soll alle Daten gleichermaßen schützen. Personenbezogene Daten werden dabei nicht gesondert aufgeführt. Ein Informations-Sicherheitssystem ersetzt kein Datenschutz-Managementsystem. Für den Datenschutz sind weitere Maßnahmen notwendig. Außerdem ist ein Datenschutzbeauftragter zu benennen.

Welche Funktionen beinhaltet eine ISMS-Software?

Organisationsverwaltung
Anforderungsmanagement
Risikomanagement
Verwaltung und Analyse schützenswerter und unternehmenskritischer Informationen
Zu ergreifende Maßnahmen
Incident Management
Audits

Welche Vorteile bietet ein ISMS?

Mittels eines ISMS lässt die Informationssicherheit im Unternehmen enorm verbessern:

Schutz unternehmenskritischer Informationen
Zertifizierte Sicherheit dank ISO 27001
Weniger Sicherheitsrisiken
Einhaltung der EU-DSGVO
Ein zentraler Ort für den Schutz und das Management aller Unternehmensinformationen
Sicherung der Business Continuity
Erfüllung von Compliance- und weiteren regulatorischen Anforderungen
Dokumentation und Nachweisbarkeit der Informationssicherheit

ISMS leicht gemacht mit AirIT-ONE

AirIT-ONE ist eine Software-Plattform zum Aufbau und Betrieb von Managementsystemen und internen Kontrollsystemen – und damit ideal, um ein ISMS schnell, einfach und kosteneffizient aufzubauen.
Basis dieser Lösung ist die cloudbasierte Awaro-Technologie, die als Projekt- und Datenraumlösung speziell für den Einsatz in Bau- und Immobilienprojekten verwendet wird.

Welche Vorteile bietet AirIT-ONE?

Einfache und zeitsparende Integration von Managementsystemen
Skalierbar und flexibel
Methodisches Vorgehen nach der PDCA-Methode
Revisionssichere lückenlose Historisierung
Einheitliche Darstellung von Audit Dokumentation, Kontrollen und Nachweisen
Umfassende, standardisierte Templates
Erprobte Struktur und Vorgehensweise
Workflow-Automatisierung: Standardisierte und automatisierte Prozesse, Datenerhebung
Aussagekräftige Reportings
u.v.m.

Weitere Informationen zum ISMS und was ist AirIT-ONE:

Wie kann man ein ISMS installieren?

eGovernment Plus – hochsichere IT-Lösung für Behörden und Kommunen

AirIT-ONE | ISMS Informationssicherheit schnell, wirksam und sicher aufbauen