Was ist ein ISMS
Zielgruppe: Geschäftsführung, IT-Entscheider, IT-Dienstleister
Ansatz: Orientierung an ISO/IEC 27001 ohne Zertifizierungsziel.
Was ist ein ISMS?
Ein Informationssicherheits-Managementsystem, kurz ISMS, ist ein System aus Regeln, Verantwortlichkeiten, Prozessen, Dokumentationen und technischen Maßnahmen zum Schutz von Informationen.
Ein ISMS ist kein einzelnes Produkt und keine reine IT-Lösung. Es besteht nicht nur aus Firewall, Virenschutz und Backup. Diese technischen Maßnahmen sind wichtig, bilden aber nur einen Teil des gesamten Systems.
Die drei Schutzziele
Vertraulichkeit
Informationen dürfen nur von berechtigten Personen eingesehen werden. Beispiele sind Kundendaten, Personaldaten, Verträge, Angebote, Zugangsdaten oder interne Kalkulationen.
Integrität
Informationen müssen korrekt und unverändert bleiben. Werden Daten unbemerkt manipuliert, kann dies zu falschen Entscheidungen, fehlerhaften Rechnungen oder Problemen in der Produktion führen.
Verfügbarkeit
Informationen und Systeme müssen verfügbar sein, wenn sie benötigt werden. Ein Unternehmen, das ohne ERP, E-Mail, Telefonie oder Warenwirtschaft nicht arbeiten kann, muss diese Systeme besonders schützen.
Warum braucht man ein ISMS?
Ein ISMS schafft Transparenz. Es zeigt, welche Informationen und Systeme wichtig sind, welche Risiken bestehen und welche Maßnahmen bereits vorhanden sind.
Gleichzeitig hilft ein ISMS dabei, Verantwortlichkeiten zu klären. Es wird festgelegt, wer Benutzer freigibt, wer Backups prüft, wer Sicherheitsvorfälle bearbeitet und wer Entscheidungen im Notfall trifft.
Für wen ist ein ISMS sinnvoll?
Ein ISMS ist für nahezu jedes Unternehmen sinnvoll, das von Informationen, IT-Systemen oder digitalen Prozessen abhängig ist. Dies gilt auch für kleine Unternehmen mit wenigen Mitarbeitenden.
Eine Zertifizierung nach ISO/IEC 27001 ist dagegen nicht immer notwendig. Viele KMU profitieren bereits erheblich von einem pragmatischen, nicht zertifizierten ISMS.