Informationssicherheits-Managementsystem (ISMS):
Der Schlüssel zum Schutz Ihrer sensiblen Daten
In der heutigen digitalen Ära, in der Daten zum Herzstück vieler Unternehmen geworden sind, ist der Schutz dieser Informationen von entscheidender Bedeutung. Ein drastisches Beispiel für die Konsequenzen von Verstößen gegen Datenschutzrichtlinien ist der Vorfall im Facebook-Konzern Meta, bei dem Strafen in Höhe von 1,2 Milliarden Euro verhängt wurden, was die Wichtigkeit von Informationssicherheitsmanagementsystemen (ISMS) verdeutlicht. Doch was ist ein ISMS, welche Ziele verfolgt es und welche weiteren Vorteile bietet es?
Was ist ein Informationssicherheitsmanagementsystem?
Ein ISMS ist ein Managementsystem, das die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen gewährleistet. Dazu gibt es Vorgaben, welche Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und die Weiterentwicklung eines ISMS zu erfüllen sind. Es beinhaltet zudem die Identifizierung von Sicherheitsrisiken, die Implementierung von Sicherheitsmaßnahmen und die regelmäßige Überwachung sowie Bewertung der Sicherheitslage.
Vorteile eines ISMS
Ein ISMS bietet sowohl interne als auch externe Vorteile, indem durch seine Vorgaben Daten und Informationen innerhalb und außerhalb der Organisation geschützt sind. Es schafft Vertrauen bei Interessengruppen und unterstützt das Unternehmen bei der Einhaltung von Verordnungen/Gesetzen wie z. B. der Datenschutz-Grundverordnung (EU-DSGVO), wodurch Strafzahlungen oder Reputationsverluste vermieden werden. Zudem setzen viele Kunden und Partner für eine Zusammenarbeit ein ISO 27001 Zertifikat oder eine Testierung nach TISAX voraus.
Ein weiterer wichtiger Punkt ist die Transparenz und ein detaillierter Überblick zu allen Themen im Bereich der Informationssicherheit. Eine genaue Kenntnis der Risiken führt dazu, dass bei einem Incident genaue Vorgehensweisen vorliegen, die dazu dienen, den Geschäftsbetrieb aufrechtzuerhalten. Das Thema der Informations- und insbesondere auch der IT-Sicherheit ist dabei ein Thema, das unbedingt im Management angesiedelt werden muss. Um das ISMS immer weiterzuentwickeln, ist deshalb festgelegt, dass die Geschäftsleitung die ISMS-Politik entwirft und über den jeweiligen Stand des ISMS informiert ist. Dabei ist die Risikobewertung und -reduzierung ist der essenzielle Ansatz des ISMS.
Welche Ziele hat das Informationssicherheitsmanagementsystem?
Das Informationssicherheitsmanagementsystem strebt den Schutz der Daten in Bezug auf Vertraulichkeit, Integrität und Verfügbarkeit von Informationen an. Unter Vertraulichkeit versteht man den Schutz sensibler Daten wie etwa personenbezogene Daten von Kunden und Mitarbeitern oder wichtige Unternehmensinformationen etwa zu Produkten und Dienstleistungen vor unbefugten Zugriff. Die Integrität stellt die Richtigkeit und Vollständigkeit von Daten sicher. Durch die Verfügbarkeit soll gewährleistet werden, dass Informationen bei Bedarf für jeden Stakeholder verfügbar sind.
Rolle des Informationssicherheitsbeauftragten (ISB)
Verantwortlich für die Implementierung und Aufrechterhaltung der Sicherheitsstandards des ISMS ist der ISB. Er überwacht Sicherheitsmaßnahmen und schafft Awareness bei den Mitarbeitern und beim Management über das wichtige Thema der Informationssicherheit.
Ein direktes und regelmäßiges Reporting an die Unternehmensleitung ist essentiell notwendig, damit diese immer auf dem neuesten Stand zu allen Informationssicherheits-Themen ist und die Vorgaben abgestimmt und implementiert werden können. Dazu muss der Informationssicherheitsbeauftragte stets auf dem neuesten Stand der Gesetzesvorgaben und der zurzeit besonders aktuellen Gefahren wie etwa Phishing Mails, Malware oder Sicherheitslücken im Code sein.
Bei akuten Gefahrenlagen ist er verantwortlich, die anfallenden Maßnahmen und Einhaltung der Regeln innerhalb der Organisation zu leiten und zu koordinieren.
Aufbau und Inhalte des Informationssicherheitsmanagementsystems
Ein ISMS ist immer nach demselben Muster aufgebaut. Schlüsselelemente sind:
- das Risikomanagement, welches Prozesse zur Identifikation, Bewertung und Behandlung von Risiken definiert;
- die Richtlinien, in denen die Vorgaben und Verfahren festgelegt werden;
- die Organisationsstruktur, in der die Zuständigkeiten und Verantwortlichkeiten geregelt sind und
- Schulungen, da der Mensch oft das größte Sicherheitsrisiko darstellt und somit die Sensibilisierung der Mitarbeiter für Informationssicherheit entscheidend ist.
Kontrolle, Überwachung und kontinuierliche Verbesserung sind dabei essenziell für die Effektivität des ISMS.
Die Bedeutung eines ISMS für den Datenschutz
Ein ISMS integriert Datenschutzaspekte und stellt sicher, dass der Umgang mit personenbezogenen Daten den Anforderungen der EU-DSGVO entspricht. Die Schnittstellen zwischen Informationssicherheit und Datenschutz sind dabei klar definiert, was die Verwaltung von Zugriffsrechten, Löschfristen und anderen relevanten Datenschutzpraktiken umfasst.
Während sich das ISMS nach ISO 27001 oder ähnlichen Standards mit allen schützenswerten Daten befasst, legt der Datenschutz den Schwerpunkt auf die personenbezogenen Daten und regelt z.B. weitere Themen wie etwa die Speicherung, Übertragung und rechtmäßige Verarbeitung personenbezogener Daten in Organisationen.
Vorgehensweise bei der Implementierung eines ISMS
Die Umsetzung und Einführung eines Informationssicherheitsmanagementsystems (ISMS) folgt einem systematischen Ansatz. Im Folgenden finden Sie einen Überblick über die einzelnen Schritte:
1. Analyse der Risiken und Definition von Sicherheitszielen
Risikoanalyse: Um die Risiken für eine Organisation umfassend zu verstehen, sollte man zunächst eine Risikoanalyse durchführen. Im Kontext des BSI-Grundschutzes werden hierfür typischerweise die im Grundschutzkatalog beschriebenen Gefährdungen wie Wasserschaden, Feuer, Erdbeben, Überschwemmung und menschlicher Fehler betrachtet. Diese Analyse erfolgt durch:
- Interviews: Befragung von Mitarbeitern und Führungskräften zu aktuellen Prozessen und wahrgenommenen Risiken.
- Analyse der Prozesse: Untersuchung, wie diese Risiken die internen Abläufe beeinflussen könnten.
- Analyse der Schnittstellen zur Außenwelt: Prüfung externer Abhängigkeiten wie Stromversorgung oder Kommunikationsleitungen, um zu verstehen, wie Ausfälle dieser Dienste die Organisation beeinträchtigen könnten.
Definition von Sicherheitszielen: Basierend auf den Ergebnissen der Risikoanalyse werden Sicherheitsziele definiert. Diese Ziele sollten klar, messbar und erreichbar sein und darauf abzielen, die identifizierten Risiken zu mindern oder zu eliminieren.
2. Implementierung von Sicherheitsmaßnahmen
Nachdem die Risiken identifiziert und die Sicherheitsziele festgelegt wurden, folgt die Auswahl und Implementierung geeigneter Sicherheitsmaßnahmen. Dies umfasst unter anderem:
- Technische Maßnahmen: Installation von Firewalls, Intrusion Detection Systemen, wasserdichten Brandschutzcontainern für kritische Hardware etc.
- Organisatorische Maßnahmen: Einführung von Richtlinien und Prozessesn für den Umgang mit sensiblen Informationen, Schulungen für Mitarbeiter zur Sensibilisierung für Sicherheitsrisiken.
- Physische Maßnahmen: Sicherung von Räumlichkeiten gegen Feuer oder Wasserschäden und Zugangskontrollen.
3. Überwachung und kontinuierliche Verbesserung
Das Ziel eines Informationssicherheitsmanagementsystems ISMS, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten im Unternehmen zu gewährleisten, kann nur durch Überwachung und kontinuierliche Verbesserung der Maßnahmen gewährleistet werden. Unter den verschiedenen Methoden bietet das Vorgehen beim PDCA-Zyklus (Plan-Do-Check-Act) eine gute Voraussetzung für die Weiterentwicklung eines ISMS. Hierbei werden die implementierten Sicherheitsmaßnahmen regelmäßig überprüft und angepasst:
- Plan: Festlegung der Sicherheitsstrategie und Maßnahmen.
- Do: Umsetzung der geplanten Maßnahmen.
- Check: Kontrolle der Effektivität der Maßnahmen durch regelmäßige Audits und Monitoring.
- Act: Anpassung der Strategie und Maßnahmen basierend auf den Ergebnissen der Überprüfung.
Ergebnisse: Durch die fortlaufende Anpassung und Verbesserung des ISMS sinkt das Risiko von Sicherheitsvorfällen, und das Sicherheitsniveau innerhalb der Organisation steigt. Dies kann auch eine günstigere Versicherung und eine Verringerung potenzieller Schäden zur Folge haben.
Die erfolgreiche Einführung und Aufrechterhaltung eines ISMS erfordert eine starke Unterstützung durch die Unternehmensleitung sowie eine klare Kommunikation und Schulung aller Mitarbeiter in Bezug auf ihre Rollen und Verantwortlichkeiten innerhalb der Organistion in Bezug auf Informationsicherheit.
Vorhandene Standards (ISO, TISAX)
Für die Gewährleistung der Informationssicherheit existieren mehrere Standards, unter den wichtigsten sind ISO 27001 für alle und TISAX für Unternehmen im Automobilsektor.
ISO 27001: Internationale Norm für Informationssicherheit
ISO/IEC 27001 ist ein international anerkannter Standard für ein ISMS der von der Internationalen Organisation für Normung (International Organization for Standardization – ISO) und der Internationalen Elektrotechnischen Kommission (International Electrotechnical Commission – IEC) entwickelt wurde. Der Standard legt Anforderungen fest, um Organisationen zu helfen, ihre Informationen sicher zu verwalten und den Schutz von Daten vor Bedrohungen zu gewährleisten. ISO/IEC 27001 dient auch als Rahmenwerk, das Organisationen bei der Einhaltung weiterer gesetzlicher und regulatorischer Anforderungen bezüglich Datensicherheit unterstützt.
TISAX: Spezifische Norm für die Automobilindustrie
TISAX (Trusted Information Security Assessment Exchange) ist ein Standard, der von und für die Automobilindustrie entwickelt wurde und von der ENX Association verwaltet wird. Er basiert auf den Anforderungen des VDA (Verband der Automobilindustrie) und zielt darauf ab, ein einheitliches Niveau der Informationssicherheit innerhalb der Automobilzulieferkette sicherzustellen. Hauptziele von TISAX sind die Schaffung von Transparenz und Vertrauen zwischen den Herstellern und ihren Zulieferern in Bezug auf die Informationssicherheit, sowie die Vereinheitlichung und Vereinfachung des Austauschs von Informationssicherheitsbewertungen. TISAX umfasst Bewertungen in den Bereichen Informationssicherheit, Prototypenschutz und Datenschutz. Die Teilnahme und Zertifizierung durch TISAX ist für viele Zulieferer in der Automobilbranche erforderlich, um als vertrauenswürdiger Partner anerkannt zu werden und Aufträge zu erhalten.
Fazit
Ein ISMS nach ISO oder TISAX ist für Unternehmen also nicht nur eine gute Möglichkeit, die Informationssicherheit in ihrer Organisation zu gewährleisten und damit ihre Zukunfts- und Wettbewerbsfähigkeit zu sichern. Es ist auch eine Grundvoraussetzung, um in Bezug auf Informationssicherheit als Partner und Lieferant in Frage zu kommen. Nur Unternehmen, die ihr Informationssicherheitsmanagementsystem kontinuierlich weiterentwickeln und verbessern, sind gegen die immer neuen Gefahren durch externe Angriffe oder auch weltweite Katastrophen und Krisen gewappnet.
Inhalt:
TISAX Version 6: Die wichtigsten Änderungen auf einen Blick
Ab dem 1. April gelten für neu bestellte Testierungen die Anforderungen des TISAX Version 6-Katalogs. Damit sind viele Automobilzulieferer gefragt, Teile ihres Informationssicherheitsmanagementsystems (ISMS) entweder anzupassen oder neu aufzusetzen. Die größten Änderungen der neuen Version betreffen die Anpassung des Incident und Crisis Management. Damit reagiert der Verband der Automobilindustrie auf die zahlreichen globalen und regionalen Krisen wie etwa die Corona-Pandemie oder auch den Ukraine-Krieg.
Verbesserungen im Incident und Crisis Management
Die Verbesserung bei der Neugestaltung des Incident und Crisis Managements zielen darauf ab, Unternehmen effektiver auf Krisensituationen vorzubereiten und angemessen darauf zu reagieren. Durch klare Prozesse und Richtlinien wird die Handhabung von Vorfällen optimiert, um mögliche Auswirkungen zu minimieren. Das Incident Management legt den Fokus auf eine schnelle Identifizierung und Bewertung von Sicherheitsvorfällen, während das Crisis Management eine strukturierte Herangehensweise an Krisen bietet. Unternehmen, die diese neuen Anforderungen erfolgreich implementieren, profitieren nicht nur von einer erhöhten Sicherheit, sondern auch von einem gestärkten Vertrauen ihrer Kunden und Partner.
Einführung der Änderungen in TISAX Version 6
Die Definition und Einführung von neuen Prozessen stellen Unternehmen auf verschiedenen Ebenen vor Herausforderungen. Einerseits müssen bestehende Prozesse angepasst werden, andererseits muss durch eine entsprechende Kommunikation gewährleistet sein, dass alle Stakeholder über die Veränderungen informiert und auch von deren Sinnhaftigkeit überzeugt sind. Wie die Erfahrung zeigt, werden die Prozesse nur dann auch entsprechend gelebt. Um eine kontinuierliche Verbesserung zu erreichen, hat sich der PDCA Zyklus mit seinen Plan-Do-Check-Act-Schritten als eine sehr zielführende Methode erwiesen. So stellen Unternehmen sicher, dass sie die Anforderungen des TISAX-Katalogs gezielter und effizienter erfüllen können.
Die Rolle von Schulungen und Trainings
Doch nicht nur die Anpassung und Verbesserung der Prozesse spielen eine Rolle bei der Implementierung von Änderungen. Durch gezielte Weiterbildungsmaßnahmen wie Schulungen und Trainings können Mitarbeiter optimal auf mögliche Krisensituationen vorbereitet werden. Dabei geht es nicht nur um die Vermittlung von theoretischem Wissen, sondern auch um praktische Übungen, um im Ernstfall angemessen reagieren zu können. Schulungen helfen dabei, das Bewusstsein für Sicherheitsrisiken zu schärfen und das richtige Verhalten in kritischen Situationen zu trainieren. Zudem ermöglichen Trainings ein besseres Verständnis der Prozesse und Abläufe im Umgang mit Incidents und Krisen gemäß den Anforderungen von TISAX Version 6.
Mit dem richtigen Ansatz zum sicheren Umgang mit Krisen
In der heutigen immer komplexeren Geschäftswelt ist ein effektives Incident und Crisis Management entscheidend für den langfristigen Erfolg eines Unternehmens. Mit der Einführung von TISAX Version 6 wird die Bedeutung dieses Prozesses weiter unterstrichen. Unternehmen, die das TISAX Testat anstreben, müssen sich intensiv mit dem neuen Incident Management Prozess auseinandersetzen und diesen umsetzen. Denn Krisenmanagement wird zunehmend als Schlüssel zum Umgang mit Herausforderungen angesehen, da es Unternehmen hilft, flexibel auf unvorhergesehene Situationen zu reagieren. Deshalb kann eine proaktive Haltung in Bezug auf Krisenbewältigung ein entscheidender Erfolgsfaktor für Organisationen sein, um langfristig erfolgreich zu agieren.
Inhalt:
Neuauflage ISO 27001 kommt
Was sich ändert und was es zu beachten gilt
Die ISO/IEC-Norm 27001 bekommt nicht nur eine Auffrischung und Neustrukturierung, es gibt auch einige Änderungen, die es zu beachten gilt. Allerdings haben alle, die bereits zertifiziert sind, noch Zeit, sich auf die Neuerungen einzustellen, denn der Release der neuen Norm ist erst im Ende des Jahres geplant. Danach gilt voraussichtlich eine Übergangsfrist von drei Jahren. Wer jedoch eine Erstzertifizierung bzw. Einführung eines ISMS (Informationssicherheitsmanagementsystem) plant, sollte dies auf Grundlage des aktualisierten Leitfadens, der ISO 27002, tun. Denn diese ist bereits seit dem Februar 2022 veröffentlicht und bietet eine gute Grundlage für die Umsetzung.
Neuer Titel und Neustrukturierung der ISO/IEC 27002
Neu bei der ISO 27002 ist bereits der Titel: Von nun an lautet er „Informationssicherheit, Cybersicherheit und Datenschutz – Informationssicherheits‐Maßnahmen“. Damit reagiert die Norm auf die neuen Herausforderungen, denen sich Unternehmen im Rahmen der Datensicherheit gegenübersehen. Während es in der alten Version noch vierzehn Themenbereiche und 35 Maßnahmenziele gab, sind diese nun in die vier Hauptbereiche Organisatorische Maßnahmen, Maßnahmen in Verbindung mit Menschen, Physische Maßnahmen und Technische Maßnahmen unterteilt. So soll eine bessere Lesbarkeit garantiert werden. Darüber hinaus ändert sich die Anzahl der Controls von 114 auf 93. Diese Änderung ergibt sich daraus, dass einige Controls zusammengefasst wurden. Allerdings beinhaltet die Neufassung der ISO 27002 nicht weniger geforderte Maßnahmen, sondern es kommen elf Controls hinzu.
Neuerungen und notwendige Schritte für eine ISMS Zertifizierung
Neu sind Controls wie etwa Webfiltering, Data Masking, Physical security monitoring oder Information Deletion. Doch was bedeutet das für die Re- oder Neuzertifizierungen eines ISMS? Gerade einige der neuen Controls wie das Physical security monitoring, bei dem gewährleistet werden muss, dass jederzeit klar ist, wer wann in den Räumen des Unternehmens war, könnte kleinere Unternehmen vor neue Herausforderungen stellen. Wie groß der Aufwand für die Umstellung ist, hängt sicherlich genauso von der Größe des Unternehmens wie von seinen Strukturen ab. Dies lässt sich erst nach einem genauen Blick auf bestehende Maßnahmen bestimmen. Sicher ist jedoch, dass Unternehmen bereits jetzt damit beginnen sollten, den Gap zwischen dem vorhandenen ISMS und dem von der neuen Norm geforderten zu analysieren. Wer eine Erstzertifizierung nach ISO 27001 plant, sollte sofort auf Grundlage der neuen Regelungen arbeiten, um zu vermeiden, bestehende, neu implementierte Prozesse und Dokumentationen anpassen zu müssen.
Sie planen eine Rezertifizierung auf Grundlage der neuen Norm oder möchten ein ISMS einführen? Wir unterstützen Sie mit einer Gap-Analyse und begleiten Sie auf dem Weg zur erfolgreichen ISMS Zertifizierung.
ISMS – unsere
Informationssicherheitsleitlinie
Zertifiziert nach ISO 27001:2013
Wir, die think tank Business Solutions AG, Messerschmittstraße 7, 80992 München (folgend: think tank) haben ein Information Security Management System (ISMS) nach ISO 27001:2013 implementiert. Das ISMS soll die Grundlage bilden, um vorhandene Risiken systematisch zu identifizieren und zu beherrschen. Das ISMS hat darüber hinaus die Funktion, die kontinuierliche Verbesserung der Schutzziele für Informationssicherheit – Vertraulichkeit, Integrität, Verfügbarkeit – zu gewährleisten. Das ISMS der think tank gilt für alle Organisationseinheiten. Es sind daher alle Verfahren, Prozesse und Tätigkeiten des Unternehmens beinhaltet. Werden Dritte mit der Erbringung von Leistungen beauftragt, ist durch vertragliche Vereinbarungen sicher zu stellen, dass die Informationssicherheitsleitlinie in den Leistungsbeziehungen berücksichtigt wird.
Geltungsbereich des ISMS nach ISO27001:2013
Der Vorstand verantwortet die Informationssicherheit der think tank. Im Rahmen dieser Verantwortung erlässt die Vorstandschaft diese Informationssicherheitsleitlinie. Nach Maßgabe dieser Leitlinie ist nach der Vorstandschaft jeder Bereich der think tank für die Sicherheit und einen angemessenen Schutz der Informationen zuständig. Diese Maßnahmen sind nicht nur gesetzlich vorgeschrieben, sondern auch Teil unserer Verpflichtungen gegenüber unseren Kunden. Jeder Mitarbeiter muss sich daher an diese Leitlinie und die daraus abgeleiteten Standards halten.
Zielgruppe
Die vorliegende Leitlinie gilt verbindlich für alle Mitarbeiter der think tank. Alle Mitarbeiter sind seitens der Vorstandschaft aufgefordert, Informationssicherheit auf Basis dieser Leitlinie und nach ISO 27001, Datenschutz nach BDSG und EU-DSGVO und materielle Sicherheit nach Kräften aktiv im jeweiligen Tätigkeitsbereich umzusetzen.
Verantwortlichkeiten
Die Verantwortung für die Informationssicherheit tragen neben der Vorstandschaft als Gesamtverantwortliche zudem alle an den Geschäftsprozessen Beteiligten. Die Vorstandschaft unterstützt die Maßnahmen und Strategien der Informationssicherheit aktiv und treibt die Umsetzung der Sicherheitsmaßnahmen im Unternehmen voran. Jeder Verantwortliche hat in seinem Bereich vor allem folgendes zu beachten:
- Die Einschätzung und Festlegung der geschäftlichen Relevanz der von ihm verantworteten Informationen und Daten,
- die Festsetzung und Genehmigung des Sicherheits- und Kontrollumfangs, um in angemessener Weise die Verfügbarkeit, Vertraulichkeit und Integrität der von ihm verantworteten Informationen und Daten zu gewährleisten,
- die Sicherstellung, dass Verantwortlichkeiten explizit definiert und Sicherheits- und Kontrollmaßnahmen zur Verwaltung und zum Schutz der von ihm verantworteten Informationen und Daten implementiert werden,
- die Sicherstellung, dass die Systeme, mit denen die von ihm verantworteten Informationen und Daten bearbeitet werden, regelmäßig hinsichtlich der Einhaltung der Informationssicherheitsleitlinie geprüft werden.
Alle Mitarbeiter sind bei der Erstellung, Nutzung und Verwaltung von Informationen und Daten verpflichtet, die Leitlinie und alle abgeleiteten Richtlinien einzuhalten. Die Mitarbeiter sind für sämtliche Maßnahmen verantwortlich, die sie bei der Nutzung von Informationen und den damit verbundenen Systemen ergreifen. Die Mitarbeiter müssen verstehen, dass Informationssicherheit ein zentraler Faktor der Unternehmensphilosophie darstellt und ein entsprechendes Sicherheitsbewusstsein entwickeln. Mitarbeiter, die eine Verletzung der Informationssicherheit und der damit verbundenen Informationssicherheitsstandards vermuten oder Kenntnis davon erlangt haben bzw. annehmen, dass Informationen nicht in geeigneter Weise geschützt sind, müssen dies unverzüglich ihrem Vorgesetzten und/oder dem Informationssicherheitsbeauftragten melden. Die Nichteinhaltung oder bewusste Verletzung der Unternehmensvorgaben kann entsprechend ihrem Umfang zu Disziplinarmaßnahmen, Entlassung und straf- und/oder zivilrechtlichen Verfahren führen.
Sicherheitsbewusstsein
Aufgrund der Wichtigkeit der Informationssicherheit wird von jedem Mitarbeiter ein hohes Sicherheitsbewusstsein erwartet. Ihre Einhaltung wird überprüft. Sicherheitsbewusstsein ist durch folgendes Verhalten gekennzeichnet:
- Erkennen, dass Informationssicherheit ein kritisches und wesentliches Element der Unternehmensphilosophie und des Unternehmenserfolgs ist,
- stets vorhandenes Sicherheitsbewusstsein bei allen täglich anfallenden Arbeiten,
- persönliche Verantwortlichkeit für proaktive sowie effektive reaktive Maßnahmen in Bezug auf sämtliche Risiken, Schwachstellen, Vorfälle für Mitarbeiter, Informationen, Vermögenswerte und die Fortführung der Geschäftstätigkeit im Notfall,
der Informationssicherheitsbeauftragte wird bei Unregelmäßigkeiten umgehend informiert.
Ziele
Da die Bedeutung der Informationssicherheit für die Durchführung der Geschäftsprozesse zentral ist, ergeben sich folgende zentrale, strategische Informationssicherheitsziele:
- Schutz vertraulicher Daten sowohl von Kunden als auch des Unternehmens und dessen Mitarbeiter,
- Verfügbarkeit sämtlicher Dienstleistungen und damit gegeben die Verfügbarkeit der involvierten Daten,
- Integrität sämtlicher Dienstleistungen und damit gegeben die Integrität der involvierten Daten,
- Erhaltung der in Technik, Informationen, Arbeitsprozesse und Wissen investierten Werte,
- Einhaltung der aus gesetzlichen, vertraglichen und aufsichtsrechtlichen Verpflichtungen resultierenden Anforderungen,
- Sicherstellung der Kontinuität der Arbeitsabläufe innerhalb des Unternehmens,
- Etablierung und Erhaltung eines guten Rufs des Unternehmens bzgl. Informationssicherheit im öffentlichen Bewusstsein,
- Reduzierung der im Schadensfall entstehenden Kosten.
- Minimal- bzw. Need-to-know-Prinzip: Der Zugriff auf sicherheitskritische Systeme, Applikationen und Informationen ist auf einen minimalen Personenkreis einzuschränken. Dabei ist prinzipiell verboten, was nicht explizit erlaubt ist (Verbot mit Erlaubnisvorbehalt).
- Einführung und fortlaufender Erhalt des ISMS in Anlehnung an den kontinuierlichen Verbesserungsgedanken im Sinne des PDCA-Modells (Plan-Do-Check-Act).
Bereitstellung ausreichender Ressourcen zur Erreichung der gesetzten Ziele.
Risikomanagement
Das Risikomanagement ist die Grundlage des ISMS nach ISO 27001. Die Risikoanalyse im Rahmen des ISMS dient der systematischen Betrachtung potenzieller Risiken, gefolgt von deren Bewertung und gegebenenfalls der Einleitung von Gegenmaßnahmen. Die für die Informationstechnologie und -sicherheit existierenden Risiken werden festgehalten und nach einem vorgegebenen Schema bewertet. Die Anwendung angemessener, wirtschaftlicher Maßnahmen, die Verlagerung geschäftlicher Risiken und das Senken bzw. das bewusste Hinnehmen von Risiken unterhalb eines festgelegten, akzeptablen Niveaus werden in der Risikoanalyse beschrieben und von der Vorstandschaft gegengezeichnet.
Kontinuierlicher Verbesserungsprozess
Das ISMS auf Basis des PDCA-Modells wird implementiert, um die Informationssicherheit zu erhalten und kontinuierlich zu verbessern. In den PDCA-Kreislauf fließen Verbesserungsmaßnahmen aus verschiedenen Quellen ein, die in ihrer Umsetzung fortlaufend dokumentiert werden.
