Information Security Management System (ISMS)

Unter einem Information Security Management System (ISMS) versteht man einen Teilbereich des Unternehmens-Managementsystems, das die IT-Sicherheit behandelt. Hierbei werden auf Basis einer Risikobetrachtung die Entwicklung, Implementierung, Durchführung, Überwachung, und Überprüfung der Prozesse verstanden. Ziel ist die Erreichung, Aufrechterhaltung und stetige Verbesserung der Gesamtsicherheit der IT-Infrastruktur.

Das ISMS beschreibt und behandelt dabei Strukturen, Richtlinien, Planungsaktivitäten, Verantwortlichkeiten, Praktiken, Verfahren, Prozesse und Ressourcen einer Organisation.

Im Rahmen der IT Sicherheitsgesetz (ITSiG) werden dabei die geforderten branchenspezifischen Mindeststandards für die Informationssicherheit durch die Anforderungen an ein ISMS flankiert, sowie durch eine Meldepflicht für Unternehmen gegenüber Kunden und dem BSI ergänzt.

Security by Design

Um im Sinne des ITSiG ein nachhaltiges und angemessenes Sicherheitsniveau zu erreichen, sind Anforderungen an die Absicherung von Systemen in allen Phasen eines Prozesses zu berücksichtigen, zu überprüfen und durch verantwortliche Sicherheitsverantwortliche freizugeben.

Sicherheitsaudits, Prüfungen oder Zertifizierungen sind als Nachweis für die Erfüllung der Anforderungen vorgeschrieben. Dies setzt jedoch voraus, dass entsprechende Maßnahmen dem Stand der Technik entsprechend geplant und umgesetzt sind.  Deming hat mit seinem „Plan-Do-Check-Act“ die Grundlage vieler Management Systeme gelegt. Und die Planung, Umsetzung und der Nachweis im Sinne des IT-Sicherheitsgesetzes greift dies ebenfalls auf. Eine fortlaufende Verbesserung der Systeme soll das zentrale Bestreben jeden Unternehmens sein. Das Management und die Fachbereiche müssen bei der Einführung eines ISMS dabei aktiv unterstützen.

Dokumentation ist wichtig

Ein effektives und effizientes ISMS benötigt eine durchgängige und konsequente Dokumentation der wesentlichen Elemente und Aktivitäten. Dies sollte durch eine Protokollierung der organisatorischen und technischen Maßnahmen ergänzt werden, die zur Umsetzung der Informationssicherheit realisiert werden. Diese dient als Nachweise für die gewissenhafte Umsetzung fungieren als Voraussetzung für eine mögliche Zertifizierung.

Darüber hinaus Ein steht und fällt ein erfolgreiches ISMS mit einem etablierten Risikomanagementsystem. Sicherheitsmaßnahmen werden anhand der Risiken ausgewählt und priorisiert. Dabei ist es notwendig, das IS-Risikomanagement in das unternehmensweite Risikomanagement und in die bestehenden Betriebsprozesse einzubinden. So kann kann eine durchgängige Unternehmens- und IT-Strategie entwickelt und angepasst werden.

Ein erfolgreiches ISMS senkt Projektkosten

Im Rahmen der laufenden IT-Projekte dienen eine vorausschauende Vermeidung und eine Reduktion von sicherheitskritischen Fehlern, sowie eine schnellere Überführung der Lösung in das ISMS, als weitere Kennzahlen für einen wirksamen Sicherheitsprozess. Wird der neue Prozess durchgängig angewandt, wird sich außerdem das Grundverständnis der Mitarbeiter zum Thema Informationssicherheit erhöhen und so in Folgeprojekten ein kürzerer Projektzyklus erreicht. Denn eine konsequente Betrachtung der Sicherheitsanforderungen führt zu einer Vermeidung von kosten- und zeitintensiven Nacharbeiten, so dass Budget-Überschreitungen und Projektverzögerungen minimiert werden. Projekt- und operative Kosten werden so nachhaltig gesenkt.