ISO 27001 ISMS

ISO 27001 ISMS – Das Informationssicherheits-Managementsystem

/ ISO 27001 / Von

Was ist ein ISMS Informationssicherheitsmanagementsystem?

Bei einem ISO 27001 ISMS handelt es sich um ein nach ISO/IEC 27001 zertifiziertes Informationssicherheitsmanagementsystem (ISMS). Dieses dient der Sicherheit von Informationen, Daten und Systemen. 

Die ISO-Norm 27001 wurde entwickelt, um die Sicherheit der Daten Ihres Unternehmens zu verbessern und den Schutz, die Überwachung und die Kontrolle des Zugriffs auf die Daten zu verstärken, die sie normalerweise genießen. Im Fokus steht ein Informationssicherheits-Managementsystem (ISMS). Es ist ein skalierbares Modell, das sich mit dem Gesamtbild der Informationssicherheitsstrategie Ihres Unternehmens befasst.

Weitere Infos zur ISO 27001 Zertifizierung finden Sie auf unserer Übersichtsseite.

Ziele des Informationsmanagementsystems

Das Ziel des Informationsmanagementsystems ist die Sicherstellung der Informationssicherheit, dazu zählen insbesondere:

  • Vertraulichkeit
  • Integrität
  • Verfügbarkeit von Informationen

Vorteile des ISO 27001 Informationssicherheitsmanagementsystems (ISMS)

Ein Informationssicherheits-Managementsystem (ISMS) ist ein dokumentierter Plan zur Verwaltung der technologie bezogenen Sicherheit Ihres Unternehmens. Dazu gehört die Dokumentation der Risiken und die Ergreifung von Maßnahmen zu deren Bewältigung. Ziel ist es, die Daten Ihres Unternehmens zu schützen und Sicherheitsverletzungen zu verhindern. Unternehmen müssen laufend Risikobewertungen durchführen, um Sicherheitsrisiken und Schwachstellen zu ermitteln. Unternehmen müssen Schutzmaßnahmen ergreifen, indem sie ein IT-Team zur Überwachung dieser Risiken einsetzen.

Ein etabliertes, ISO 27001-konformes ISMS hilft Ihnen, die Vertraulichkeit, Integrität und Verfügbarkeit aller Unternehmensdaten auf optimierte und kostengünstige Weise zu verwalten.

ISO 27001 ISMS Informationssicherheitsmanagementsystem

Warum benötigt ein Unternehmen ein ISO 27001 ISMS?

Ein Informationssicherheitsmanagementsystem (ISMS) ist ein Regelwerk, das ein Unternehmen einrichten muss, um:

  • die Interessengruppen und ihre Erwartungen an das Unternehmen in Bezug auf die Informationssicherheit zu identifizieren
  • zu ermitteln, welche Risiken für die Informationen bestehen
  • Kontrollen (Sicherheitsvorkehrungen) und andere Methoden zur Risikominderung zu definieren, um die ermittelten Erwartungen zu erfüllen und Risiken zu bewältigen
  • klare Ziele für die Informationssicherheit zu setzen
  • Umsetzung aller Kontrollen und anderer Methoden zur Risikobehandlung
  • kontinuierliche Messung, ob die implementierten Kontrollen wie erwartet funktionieren
  • kontinuierliche Verbesserung, damit das gesamte ISMS besser funktioniert

Dieses Regelwerk kann in Form von Richtlinien, Verfahren und anderen Arten von Dokumenten niedergeschrieben werden, es kann aber auch in Form von etablierten Prozessen und Technologien vorliegen, die nicht dokumentiert sind. ISO 27001 legt fest, welche Dokumente erforderlich sind, d.h. welche mindestens vorhanden sein müssen.

Die Gründe für ein ISMS nach ISO 27001 sind vielseitig. Die Mehrzahl der Unternehmen möchte sich aufgrund von Kundenanforderungen zertifizieren lassen, um Wettbewerbsvorteile zu erlangen oder ihr Image zu verbessern. Auch Schwachstellen und mögliche Risiken können durch die Einrichtung eines ISMS identifiziert und beseitigt werden.

Die Einrichtung eines ISMS nach ISO 27001 stellt somit einen absoluten Mehrwert für Ihre IT-Sicherheit bzw. Informationssicherheit dar. Voraussetzung für die Umsetzung ist jedoch ein Management, das voll hinter diesem Vorhaben steht.

Bestandteile des Informationsmanagementsystems

Das Informationsmanagementsystem umfasst verschiedene Elemente der Organisation, um dessen Ziele zu erreichen. Dazu zählen neben den eigentlichen Zielen des Managementsystems auch Richtlinien, Prozesse, Verfahren, Ressourcen und Regulationen.

Dabei sollte das Informationsmanagementsystem (ISMS) immer als Teil der gesamten Organisation bzw. des übergeordneten Managementsystems verstanden werden.

Informationssicherheitsmanagementsystem

1. Information Assets – Die Informationswerte der Organisation

Als ein Hauptbestandteil des Informationsmanagements sind die Informationen zu sehen, die einen Wert für das Unternehmen darstellen. Dazu zählen auch Informationen, die geschützt werden müssen, um einen Schaden für die Organisation abzuwenden.

Die ISO 27001 versteht unter dem Begriff Information Assets auch Geräte und Einrichtungen, die zur Informationsverarbeitung dienen. Mögliche Assets sind:

  • Informationen
  • Server, Computer, Mobiltelefone, Telefone
  • Software / Applikationen, Computerprogramme
  • Mitarbeiter und ihre Fähigkeiten
  • Reputation und andere immaterielle Werte der Organisation

2. Richtlinien, Prozesse, Verfahren

Zu dem Informationsmanagementsystem gehören zudem definierte Richtlinien, Prozesse und Verfahren.

Unter den Begriffen kann folgendes verstanden werden:

  • Richtlinien: Dokumentierte generelle Zielsetzungen und Strategien der Organisation bzw. des Managements
  • Prozesse: Vorgang oder Ablauf mit einem definierten Anfang und Abschluss bzw. einem entsprechendem Output
  • Verfahren: Art und Weise, wie ein Prozess oder eine Tätigkeit auszuführen ist

3. Dokumentation

Die Dokumentation ist ein integraler Bestandteil des ISMS Informationssicherheitssystems. Alle relevanten Richtlinien, Prozesse und Verfahren müssen im Rahmen des ISMS sinnvoll und verhältnismäßig dokumentiert werden.

Dabei muss neben geeigneten Dokumentationsorten auch der Umgang mit Dokumenten geregelt sein. Die Dokumentation sollte stets einen Mehrwert bieten.

4. Verantwortlichkeiten

Die Festlegung von Verantwortlichkeiten ist essentiell für ein Informationssicherheitsmanagementsystem. Teilweise bietet es sich an Rollen zu definieren, die auch von mehr als einer Person wahrgenommen werden können.

Nach der ISO 27001 ist die Definition und Zuweisung der Rollen Aufgabe des Managements.

Auch wenn in der ISO 27001 keine Rollen vorgegeben werden, hat es sich etabliert, dass es meist einen Hauptverantwortlichen für die Informationssicherheit der Organisation gibt. Diese Rolle wird meist als Informationssicherheitsbeauftragter oder CISO Chief Information Security Officer benannt.

5. Maßnahmen

Ein weiterer Bestandteil des ISO 27001 Informationssicherheitsmanagementsystems ist die Definition und Implementierung von angemessenen Maßnahmen.

Dabei muss es nicht immer eine perfekte Lösung zum Schutz geben, sondern vielmehr eine ausreichende und akzeptable Lösung zur Reduzierung von Risiken.

About The Author

Achim Haller Bild
ISO 27001 Experte und Auditor. Achim Haller ist seit 2007 als Berater im Bereich Informationssicherheit tätig. Als Consultant unterstützt er mittelständische Unternehmen und Konzerne bei der Implementierung der ISO 27001 und ISO 9001. Für zwei der führenden DAX-Konzerne trägt er als Internal Auditor seit 2015 zur wiederholten Zertifizierung der ISO-Standards bei.