Was ist ein Informationssicherheitsmanagementsystem nach ISO 27001?

Was ist ein ISMS nach ISO 27001?

Mit einem Informationssicherheitsmanagementsystem (ISMS) stellen Organisationen und Unternehmen sicher, dass sie die Anforderungen des Datenschutzes und der IT-Sicherheit systematisch erfüllen. Das bekannteste ist ISO 27001. Viele Sicherheitsstandards wie beispielsweise der BSI-Standard sind mit ISO 27001 kompatibel. Ein Informationssicherheitsmanagementsystem nach ISO 27001 folgt dem gleichen Aufbau wie beispielsweise ein Qualitätsmanagementsystem nach ISO 9001. Damit ist es möglich, beide Managementsysteme in Form eines integrierten Managementsystems zu verbinden. In diesem Artikel und im Video lernen Sie die Vorteile und die Anforderungen eines Informationssicherheitsmanagementsystems (ISMS) kennen.

(Hinweis: Diese Inhalte wurden von https://www.innolytics.de/was-ist-ein-informationssicherheitsmanagementsystem/ übernommen und erweitert.)

Aus welchen Bausteinen besteht ein ISMS?

Ein ISMS besteht aus klaren Dokumenten, regelmäßigen Risikoanalysen und konkreten Schutzmaßnahmen. Dazu gehören Anweisungen und Prozessbeschreibungen, die Bewertung von Risiken sowie die Umsetzung eines Maßnahmenkatalogs aus Annex A der ISO 27001, um Ihre Daten und Systeme systematisch zu schützen.

Ein Informationssicherheitsmanagementsystem folgt dem Grundsatz: Datenschutz und IT-Sicherheit dürfen kein Zufall sein. Mit einem ISMS

  • managen Organisationen ihre Anforderungen an Informationssicherheit, setzen sich Informationssicherheitsziele,
  • arbeiten Sicherheitsrichtlinien für Informationssicherheit aus,
  • erlassen Arbeitsanweisungen,
  • setzen diese in die Praxis um und kontrollieren ob sie ihre Ziele erreichen.

Dabei folgen sie einer Logik, der auch das Qualitätsmanagement nach ISO 9001 folgt: Plan, Do, Check, Act. Planen, Handeln, Überprüfen und Verbessern.

PDCA-Zyklus mit den vier Schritten Plan, Do, Check und Act zur kontinuierlichen Verbesserung von Prozessen

Plan: Das Informationssicherheitsmanagementsystem entwickeln

Ziele für Informationssicherheit werden definiert, konkrete Maßnahmen beschlossen, Abläufe und Konzepte für den Umgang mit Sicherheitsmängeln entwickelt, Arbeitsanweisungen erlassen und ein Informationssicherheitsprozess entwickelt. Alles wird nach den Richtlinien von ISO 27001 dokumentiert. (Lesen Sie dazu den Artikel: Was ist Dokumentenlenkung?)

Do: Setzen Sie Informationssicherheit in der Praxis um

Das beste Managementsystem nutzt wenig, wenn es als Papiertiger endet. ISO 27001 regelt, durch welche Maßnahmen Sicherheitskonzepte und Anweisungen in der Praxis umgesetzt werden. Die Umsetzung ist für viele Organisationen der schwierigste Teil: Es ist einfach, ein System theoretisch zu entwickeln. Aber deutlich schwieriger, es umzusetzen.

Check: Überprüfen Sie, ob Sie Ihre Sicherheitsziele erreichen

Die regelmäßige Überprüfung durch Risikoanalysen, interne Audits und Managementbewertungen ist ein fundamentaler Bestandteil eines Informationssicherheitsmanagementsystems. Es geht darum, Maßnahmen nicht nur effektiv umzusetzen, sondern immer wieder zu kontrollieren, ob mit diesen die Ziele erreicht werden.

Act: Informationssicherheit ständig verbessern

Jeder aufgedeckte Sicherheitsmangel ist im Prinzip ein Gewinn für die Organisation. Besser man spürt ihn selbst auf, als wenn es Fremde (z.B. Cyberkriminelle) tun. Ein wesentlicher Teil eines Informationssicherheitsmanagementsystems ist deshalb der Umgang mit Korrekturmaßnahmen und die ständige Verbesserung.

ISO 27001 schreibt in Annex A vor, welche Maßnahmen Unternehmen und Organisationen im Rahmen eines Informationssicherheitsmanagementsystems umsetzen müssen. Dieser Maßnahmenkatalog ist jedoch nicht abschließend.

Organisationen, die sich beispielsweise am BSI-Standard orientieren, können andere Maßnahmen umsetzen als solche, die sich strikt an ISO 27001 halten. In einem Informationssicherheitsmanagementsystem werden für jedes Unternehmen individuelle Maßnahmen erarbeitet und umgesetzt.

Diese Maßnahmen werden bei Veränderungen (beispielsweise bei neuen Geschäftsprozessen und Abläufen) immer wieder überprüft und angepasst.

Wie kann ich ein Informationssicherheitsmanagementsystem umsetzen?

Starten Sie mit sieben einfachen Leitfragen, die die Punkte „Was“, „Wo“ und „Wer“ klären: Was soll geschützt werden, wo liegen Risiken und wer ist verantwortlich? So schaffen Sie schnell Struktur. Anschließend können Sie die Umsetzung Schritt für Schritt aufbauen – eine einfache Anleitung dazu finden Sie direkt hier.

Leitfrage Was ist konkret zu tun?
1. Was will ich schützen? Identifizieren Sie Ihre wichtigsten Daten, Systeme und Prozesse (z. B. Kundendaten, IT-Systeme, Angebote).
2. Wo liegen die Gefahren? Überlegen Sie, was schiefgehen kann (z. B. Datenverlust, Hackerangriff, Fehler durch Mitarbeiter).
3. Wie will ich es schützen? Legen Sie einfache Schutzmaßnahmen fest (z. B. Passwörter, Zugriffsrechte, Backups).
4. Wer soll es tun? Bestimmen Sie klare Verantwortliche für jedes Thema (z. B. IT, Datenschutz, Prozesse).
5. Welche Regeln soll es dafür geben? Definieren Sie einfache, verständliche Regeln (z. B. Passwortregeln, Umgang mit Daten, Zugriff auf Systeme).
6. Wie kontrolliere ich die Umsetzung? Prüfen Sie regelmäßig, ob die Regeln eingehalten werden (z. B. kurze Checks, interne Audits).
7. Was möchte ich am Ende erreichen? Legen Sie ein klares Ziel fest (z. B. sichere Daten, weniger Risiken, Vertrauen bei Kunden).

Wie kann ich mein Informationssicherheitsmanagementsystem zertifizieren lassen?

Ein Informationssicherheitsmanagementsystem kann nach dem internationalen Standard ISO 27001 zertifiziert werden. Dafür wenden Sie sich an eine Zertifizierungsstelle, stimmen den Ablauf ab und führen ein Audit durch. Dabei wird geprüft, ob Ihr System die Anforderungen erfüllt. Klären Sie im Vorfeld Zeitrahmen und Kosten. Mehr dazu finden Sie in diesem Artikel.

Um Ihr Informationssicherheitsmanagementsystem zertifizieren zu lassen, wählen Sie zunächst eine passende Zertifizierungsstelle. Anschließend bereiten Sie Ihr Unternehmen auf das Audit vor, in dem geprüft wird, ob Ihre Prozesse, Maßnahmen und Dokumente den Anforderungen entsprechen.

Wichtig: Machen Sie sich vorher Gedanken, welche Teile Ihres Unternehmens Sie zertifizieren lassen möchten – das beeinflusst stark die Kosten. Überlegen Sie außerdem, wie weit Sie bereits mit der Umsetzung sind. Je besser Sie vorbereitet sind, desto schneller und einfacher verläuft die Zertifizierung.