Der Weg zum ISMS
Einleitung
Zielgruppe: Geschäftsführung, IT-Entscheider, IT-Dienstleister
InformationssicherheitAnsatz: istOrientierung heutean keineISO/IEC Frage27001 mehrohne derZertifizierungsziel.
Einleitung
Dieses früherinterne hauptsächlichHandbuch Konzernebeschreibt Zieleinen vonpraxisnahen CyberangriffenWeg waren,zum richtenAufbau sicheines AngriffeInformationssicherheits-Managementsystems heute zunehmend gegenfür kleine und mittelständischemittlere Unternehmen. DerEs Grundrichtet istsich einfach:an KMUIT-Entscheider, verfügen häufig über weniger Schutzmaßnahmen und sind dadurch ein attraktives Ziel.
Ein Informationssicherheits-Managementsystem (ISMS) hilft dabei, InformationenGeschäftsführungen und IT-SystemeDienstleister, systematischdie zubei schützen.einem DabeiUnternehmen gehtpraktisch esbei nichtNull darum,beginnen: jedeskeine RisikoDokumentation, vollständigkeine auszuschließengeregelte –Wartung, daskein iststrukturiertes inRisikomanagement und oft nur ein externer Dienstleister, der Praxisbei unmöglich.Störungen angerufen wird.
Das Ziel ist vielmehr,nicht, Risikenmöglichst schnell eine ISO-27001-Zertifizierung zu erkennen, zu bewerten und auf ein akzeptables Maß zu reduzieren.
Ein ISMS ist deshalb kein einmaliges Projekt, sondern ein kontinuierlicher Verbesserungsprozess.erreichen. Das Unternehmen überprüft regelmäßig seine Sicherheitsmaßnahmen, bewertet neue Risiken und passt seine Prozesse entsprechend an.
WasZiel ist ein ISMS?
belastbares, Einnachvollziehbares Informationssicherheits-Managementsystemund (ISMS)im istAlltag nutzbares Sicherheitsniveau. Die ISO/IEC 27001 dient dabei als Orientierung, wird aber bewusst pragmatisch auf die Gesamtheit aller organisatorischen und technischen Maßnahmen, mit denen ein Unternehmen seine Informationen schützt.
Dabei werden insbesondere die drei klassischen Schutzziele berücksichtigt:
Vertraulichkeit– Informationen dürfen nurRealität vonberechtigtenKMUPersonen eingesehen werden.übertragen.Integrität– Informationen dürfen nicht unbemerkt verändert oder beschädigt werden.Verfügbarkeit– Informationen und Systeme müssen verfügbar sein, wenn sie benötigt werden.
Ein ISMS besteht daher nicht nur aus Firewalls, Virenscannern oder Backups. Ebenso wichtig sind organisatorische Regelungen, Verantwortlichkeiten, Dokumentationen und definierte Prozesse.
Warum benötigtdieses ein Unternehmen ein ISMS?Handbuch?
EinViele funktionierendesKMU ISMSsind schafft Transparenz und reduziert Risiken.
Es hilft unter anderem dabei,
Cyberangriffe besser abzuwehren,Ausfallzeiten zu reduzieren,Datenverluste zu vermeiden,gesetzliche Anforderungen einzuhalten,Kundenanforderungen zu erfüllen,Verantwortlichkeiten eindeutig festzulegen,den Betrieb auch im Notfall aufrechterhalten zu können.
Ein weiterer Vorteil besteht darin, dass Sicherheitsmaßnahmen geplant und nachvollziehbar umgesetzt werden, anstatt erst nach einem Sicherheitsvorfall hektisch reagieren zu müssen.
Für wen ist ein ISMS sinnvoll?
Grundsätzlich profitiert nahezu jedes Unternehmen von einem strukturierten Umgang mit Informationssicherheit.
Besonders sinnvoll ist ein ISMS für Unternehmen,
die personenbezogene Daten verarbeiten,
verfügendievollständig von ihrer ITabhängigabhängig,sind,aber - nicht
über die
Kunden-organisatorischenoderStrukturen,Geschäftsgeheimnisse schützen müssen, die
wären.gesetzlichefürodereinenvertraglichesicherenAnforderungenBetrieberfüllennotwendigmüssen,Häufig - existieren
Asset-Liste,diekeineihreaktuellenITNetzwerkpläne,professionellerkeineorganisierenvollständigemöchten,keine - geprüften
dieBackups,wachsenkeine klaren Verantwortlichkeiten undihrekeinProzesse standardisieren möchten.Notfallplan.
Dieses
Grundprinzip
DabeiInformationssicherheit spieltbeginnt die Unternehmensgröße zunächst eine untergeordnete Rolle. Ein Unternehmennicht mit zehnTechnik. MitarbeitendenSie kannbeginnt durchmit einendem CyberangriffVerständnis genausodes handlungsunfähigUnternehmens, seiner Geschäftsprozesse, Informationen und Risiken. Erst danach werden wietechnische einMaßnahmen Unternehmensinnvoll mit tausend Beschäftigten.
Für wen ist eine ISO-27001-Zertifizierung sinnvoll?
Ein häufiger Irrtum besteht darin, ein ISMS mit einer ISO-27001-Zertifizierung gleichzusetzen.
Ein Unternehmen kann ein sehr gutes ISMS besitzen, ohne jemals eine Zertifizierung anzustreben.
Eine Zertifizierung lohnt sich insbesondere dann,
wenn Kunden diese verlangen,wenn öffentliche Ausschreibungen dies voraussetzen,wenn sie einen Wettbewerbsvorteil bietet,wenn regulatorische Anforderungen bestehen.
Viele kleineausgewählt und mittlere Unternehmen benötigen dagegen keine offizielle Zertifizierung. Sie profitieren dennoch erheblich davon, ihre Informationssicherheit nach den Grundprinzipien der ISO/IEC 27001 oder vergleichbarer Standards aufzubauen.umgesetzt.
Für wen ist ein vollständiges ISMS möglicherweise nicht geeignet?
Nicht jedes Unternehmen benötigt sofort ein umfangreich dokumentiertes Managementsystem.
Bei sehr kleinen Unternehmen mit wenigen Mitarbeitenden kann ein vollständiges ISMS schnell mehr Verwaltungsaufwand als Nutzen erzeugen.
In solchen Fällen empfiehlt sich ein pragmatischer Einstieg:
IT-Landschaft dokumentierenVerantwortlichkeiten festlegenBackups prüfenPatchmanagement etablierenBenutzerverwaltung verbessernNotfallmaßnahmen dokumentierenRisiken bewerten
Diese Maßnahmen bilden bereits die Grundlage eines späteren vollständigen ISMS.
Unser Ansatz
Wir orientieren uns grundsätzlich an den bewährten Grundsätzen der ISO/IEC 27001, verfolgen jedoch einen praxisnahen Ansatz.
Unser Ziel ist es nicht, möglichst viele Dokumente zu erstellen, sondern die tatsächliche Sicherheit des Unternehmens nachhaltig zu verbessern.
Deshalb beginnen wir jedes Projekt mit einer umfassenden Bestandsaufnahme. Erst wenn bekannt ist,
welche Systeme vorhanden sind,welche Informationen verarbeitet werden,welche Risiken bestehen undwelche Geschäftsprozesse kritisch sind,
können sinnvolle Maßnahmen geplant und priorisiert werden.
Das Ergebnis ist ein schrittweiser Weg zu einem individuell passenden Informationssicherheitsniveau – unabhängig davon, ob später eine Zertifizierung angestrebt wird oder nicht.
Der Weg zum ISMS
Diese Dokumentation beschreibt den Weg von einem Unternehmen ohne strukturierte Informationssicherheit bis hin zu einem professionell organisierten Informationssicherheits-Managementsystem.
Der Ablauf orientiert sich an folgenden Schritten:
Unternehmen verstehenRechtliche und vertragliche Anforderungen erfassenIT-Landschaft aufnehmenAssets identifizierenRisiken bewertenSicherheitsmaßnahmen planenDokumentation erstellenProzesse etablierenMitarbeitende sensibilisierenRegelmäßig überprüfen und verbessern
Jedes Kapitel dieser Dokumentation baut auf dem vorherigen auf und kann auch unabhängig als Nachschlagewerk verwendet werden.