Information Security Management System

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von ISMS)
Wechseln zu: Navigation, Suche

Das Information Security Management System (ISMS, engl. für „Managementsystem für Informationssicherheit“) ist eine Aufstellung von Verfahren und Regeln innerhalb eines Unternehmens, welche dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

Der Begriff wird im Standard ISO/IEC 27002 verwendet. ISO/IEC 27001 definiert ein ISMS. Der deutsche Anteil an dieser Normungsarbeit wird vom DIN NIA-01-27 IT-Sicherheitsverfahren betreut.

IT-Grundschutz[Bearbeiten | Quelltext bearbeiten]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) brachte mit dem IT-Grundschutz 2006 ein Konzept für die Umsetzung eines Informationssicherheitsmanagementsystems (ISMS) heraus. Der IT-Grundschutz bietet mit seinen vier Standards 100-1, 100-2, 100-3 und 100-4 in Kombination mit den IT-Grundschutzkatalogen (bis 2006 IT-Grundschutzhandbuch genannt) Hilfestellungen bei der Einführung und Aufrechterhaltung eines ISMS. Seit 2006 sind die IT-Grundschutz-Kataloge an die internationale Norm ISO/IEC 27001 angepasst. Dieses System gilt als Quasi-Standard in deutschen Behörden.

Das BSI legt dabei besonderen Wert auf die drei Bereiche Vertraulichkeit, Integrität und Verfügbarkeit von Informationen.

Informations-Sicherheitsmanagement System in 12 Schritten (ISIS12)[Bearbeiten | Quelltext bearbeiten]

Hauptartikel: ISIS12

ISMS nach ISO/IEC 27001 oder den IT-Grundschutz-Katalogen des BSI stellen aus verschiedenen Gründen oft große Hürden für Unternehmen des Mittelstands (Kleine und mittlere Unternehmen (KMU)) dar, vor allem wenn diese nicht in der IT-Branche tätig sind.[1] Schwierigkeiten bestehen erfahrungsgemäß unter anderem darin, ausreichend ausgebildetes Personal in den meist kleinen IT-Abteilungen abstellen zu können. Weiterhin stellt die in dem ISO/IEC 27001-Standard geforderte Risikoanalyse sowie das Auswählen von konkreten Maßnahmen viele Unternehmen in der Realität vor unlösbare Aufgaben. Das sogenannte „Netzwerk für Informationssicherheit im Mittelstand (NIM)“ (Mitglieder u. a. Bayerischer IT-Sicherheitscluster, Universität und Hochschule Regensburg)[2] entwickelte daher – aus IT-Grundschutz und ISO/IEC 27001 abgeleitet – ein wissenschaftlich abgestütztes Modell zur Einführung eines ISMS in 12 konkreten Schritten. Wesentliches Augenmerk wurde darauf gelegt, dass nicht jedes Bedrohungsszenario abgedeckt wird, sondern den Unternehmen eine klare Handlungsanweisung in begrenztem Umfang, mit integriertem Einführungskonzept und in verständlicher Sprache an die Hand gegeben wird.

VdS Richtlinien 3473 (VdS 3473)[Bearbeiten | Quelltext bearbeiten]

Hauptartikel: VdS 3473

Die Richtlinien „VdS 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU)“[3] der VdS Schadenverhütung GmbH enthalten Vorgaben und Hilfestellungen für die Implementierung eines Informationssicherheitsmanagementsystems sowie konkrete Maßnahmen für die organisatorische sowie technische Absicherung von IT-Infrastrukturen. Sie sind speziell für KMU sowie für kleinere und mittlere Institutionen und Behörden ausgelegt. Ziel der VdS 3473 ist es, ein angemessenes Schutzniveau für kleine und mittlere Unternehmen und Organisationen zu definieren, was mit möglichst geringem Aufwand umgesetzt werden kann.

Allgemeine Ansätze[Bearbeiten | Quelltext bearbeiten]

In der Praxis lassen sich die Eigenschaften und Ziele eines ISMS wie folgt definieren:

  1. Verankerung in der Organisation: Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen.
  2. Verbindliche Ziele: Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben.
  3. Richtlinien: Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management.
  4. Personalmanagement: Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
  5. Aktualität des Wissens: Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt.
  6. Qualifikation und Fortbildung: Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist.
  7. Adaptive Sicherheit: Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst.
  8. Zugänge und Zugriffsrechte werden strukturiert verwaltet.
  9. Es ist eine strukturierte Datensicherung vorhanden.
  10. Vorbereitung: Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet.

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. ZDNet-Artikel vom 7. November 2011
  2. ISI12-Netzwerkmitglieder
  3. VdS-Richtlinie 3473 Cyber-Security für kleine und mittlere Unternehmen (KMU) (PDF; 239K)