Informationssicherheits-Managementsysteme (ISMS)

Wer/Warum benötigt ISMS

• Organisationen jeder Größe und Branche, die die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen sicherstellen wollen.
• Besonders kritisch für Einrichtungen, die sensible Daten verarbeiten oder gesetzlichen und regulatorischen Anforderungen unterliegen.

Funktionsweise

• ISMS umfasst Richtlinien, Prozesse und Maßnahmen, die darauf abzielen, Risiken für die Informationssicherheit zu identifizieren, zu bewerten und zu mindern.
• Es berücksichtigt sowohl technische als auch organisatorische Aspekte und bezieht alle Ebenen der Organisation ein.

Rahmenbedingungen

• Die Einrichtung eines ISMS wird durch internationale Standards wie ISO/IEC 27001 und die BSI-Standards 200-Serie geleitet.
• Diese Standards bieten einen Rahmen für die Implementierung und kontinuierliche Verbesserung des ISMS.

Aufbau

• Festlegung der Sicherheitspolitik und der Ziele der Informationssicherheit.
• Identifizierung und Bewertung von Informationsrisiken.
• Entwicklung und Implementierung von Risikomanagementmaßnahmen.
• Regelmäßige Überprüfung und Anpassung der Sicherheitsmaßnahmen an sich ändernde Bedingungen.

Entscheidende Faktoren

• Engagement der obersten Leitungsebene für die Informationssicherheit.
• Klare Definition von Rollen, Verantwortlichkeiten und Prozessen innerhalb des ISMS.
• Bewusstseinsbildung und Schulung der Mitarbeiter in Sicherheitsfragen.
• Kontinuierliche Überwachung, Überprüfung und Verbesserung des ISMS.

ISO/IEC 27001 und 27701

• ISO/IEC 27001 ist die führende internationale Norm für ISMS, die Anforderungen für die Einrichtung, Implementierung, Aufrechterhaltung und kontinuierliche Verbesserung eines ISMS definiert.
• ISO/IEC 27701 erweitert ISO/IEC 27001 um Anforderungen und Leitlinien zum Datenschutzmanagement, insbesondere im Kontext des Schutzes personenbezogener Daten.