Information Security Management System

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Das Information Security Management System (ISMS, engl. für „Managementsystem für Informationssicherheit“) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

Der Begriff wird im Standard ISO/IEC 27002 verwendet. ISO/IEC 27001 definiert ein ISMS. Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

IT-Grundschutz[Bearbeiten]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) brachte mit dem IT-Grundschutz 2006 ein Konzept für die Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) heraus. Der IT-Grundschutz bietet mit seinen vier Standards 100-1, 100-2, 100-3 und 100-4 in Kombination mit den IT-Grundschutzkatalogen (bis 2006 IT-Grundschutzhandbuch genannt) Hilfestellungen bei der Einführung und Aufrechterhaltung eines ISMS. Seit 2006 sind die IT-Grundschutz-Kataloge an die internationale Norm ISO/IEC 27001 angepasst. Dieses System gilt als Quasi-Standard in deutschen Behörden.

Das BSI legt dabei besonderen Wert auf die drei Bereiche Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Informations-SicherheitsmanagementSystem in 12 Schritten (ISIS12)[Bearbeiten]

Hauptartikel: ISIS12

ISMS nach ISO/IEC 27001 oder den IT-Grundschutz-Katalogen des BSI stellen aus verschiedenen Gründen oft große Hürden für Unternehmen des Mittelstands (Kleine und mittlere Unternehmen (KMU)) dar, vor allem, wenn diese nicht in der IT-Branche tätig sind.[1] Schwierigkeiten bestehen erfahrungsgemäß unter anderem darin, ausreichend ausgebildetes Personal in dem meist kleinen IT-Abteilungen abstellen zu können. Weiterhin stellt die in dem ISO/IEC 27001-Standard geforderte Risikoanalyse sowie das Auswählen von konkreten Maßnahmen viele Unternehmen in der Realität vor unlösbare Aufgaben. Das sogenannte "Netzwerk für Informationssicherheit im Mittelstand (NIM)" (Mitglieder u. a. Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg)[2] entwickelte daher - aus IT-Grundschutz und ISO/IEC 27001 abgeleitet - ein wissenschaftlich abgestütztes Modell zur Einführung eines ISMS in 12 konkreten Schritten. Wesentliches Augenmerk wurde darauf gelegt, dass nicht jedes Bedrohungsszenario abgedeckt wird, sondern den Unternehmen eine klare Handlungsanweisung in begrenztem Umfang, mit integriertem Einführungskonzept und in verständlicher Sprache an die Hand gegeben wird.

Allgemeine Ansätze[Bearbeiten]

Informationssicherheit ist meist als Aufgabe der Leitung einer Organisation oder eines Unternehmens definiert und sollte nach einem Top-down-Ansatz organisiert sein. Insbesondere die Verabschiedung von Informationsschutz- und Sicherheitsrichtlinien (Security Policy) ist Aufgabe des obersten Managements. Die Ausarbeitung dieser Policy wird meist an einen Mitarbeiter delegiert. Neben dem Datenschutzbeauftragten als Kandidaten für diese Aufgabe wird ggf. auch ein Posten als IT-Sicherheitsbeauftragter oder eine IT-Sicherheits-Gruppe eingesetzt. Danach ist die Überwachung ihrer Einhaltung innerhalb der Organisation die Aufgabe.

Häufig befindet sich eine Beschreibung der Datensicherheit in einem Datenschutzkonzept oder Sicherheitskonzept und umfasst dabei auch das Sicherungskonzept.

IT-Sicherheitsbeauftragter[Bearbeiten]

Der bereits erwähnte IT-Sicherheitsbeauftragte (ITSB) wird vom Vorstand/Geschäftsführer des Unternehmens bestellt. Seine Auswahl sollte anhand folgender Kriterien erfolgen

  • eine deutliche Affinität zur IT haben
  • allgemeines Vertrauen genießen
  • Erfahrung in Projektarbeit besitzen
  • die Stelle besetzen wollen und nicht müssen
  • direkt dem Vorstand/Geschäftsführer unterstellt werden
  • mit ausreichenden zeitlichen und finanziellen Mitteln ausgestattet sein.

Der/Die ITSB ist Ansprechpartner für sämtliche Fragen der IT-Sicherheit und sollte auch bei Entscheidungsfindungs- und Auswahlprozessen in Sachen Software, IT-Struktur, Neubau und vergleichbarem hinzugezogen werden.

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. ZDNet-Artikel vom 7. November 2011
  2. ISI12-Netzwerkmitglieder