Informationssicherheitsmanagementsystem (ISMS): Definition, Schutzziele und Umsetzung

© leowolfert – stock.adobe.com

Technischer Fortschritt und branchenspezifische Anforderungen machen IT- und Informationssicherheit in Unternehmen dringender denn je. Zentrales Instrument zur Erfüllung aller relevanter Standards ist das Informationssicherheitsmanagementsystem (ISMS). Dieser Beitrag gibt eine Definition, wichtige Abgrenzungen sowie Hinweise rund um die Schutzziele der Informationssicherheit und ihre praktische Erfüllung.

Inhaltsverzeichnis

  1. Wieso ist ein Informationssicherheitsmanagement wichtig?
  2. ISMS: Definition – Was ist ein Informationssicherheitsmanagement?
  3. Informationssicherheitsmanagement im Arbeitsalltag
  4. Welche Schutzziele verfolgt die Informationssicherheit?
  5. Wie lässt sich ein ISMS im Unternehmen umsetzen?

Wieso ist ein Informationssicherheitsmanagement wichtig?

Ein Informationssicherheitsmanagement (ISM) dient der Sicherheit aller Informationen und Daten im Unternehmen. Denn Daten bilden in der Ära von Digitalisierung, Künstlicher Intelligenz und Smart Devices immer mehr den entscheidenden Unterschied in der Wettbewerbsfähigkeit der Unternehmen. Auch basieren immer mehr Geschäftsmodelle vornehmlich auf dieser Grundlage.

ISMS: Definition – Was ist ein Informationssicherheitsmanagement?

Ein Informationssicherheitsmanagementsystem (engl. „Information Security Management System“, kurz „ISMS“) steuert verschiedene Ressourcen im Unternehmen automatisch. So erfolgt im Rahmen des ISMS die Definition von Regeln, Verfahren und Zuständigkeiten, die innerhalb des Unternehmens

  • im Rahmen des Top-Down-Ansatzes als einheitliche Security Policy definiert werden,
  • die Informationssicherheit gewährleisten und kontinuierlich zu verbessern, und
  • je nach geltendem Recht und Branche einer spezifischen ISMS-Zertifizierung unterliegen.

Das Informationssicherheitsmanagementsystem ist ein wesentlicher Baustein des IT-Grundschutzes des Bundesamts für Sicherheit in der Informationstechnik (BSI). Ein gutes ISMS stellt ein unverzichtbares Mittel dar, um die Schutzziele der Informationssicherheit im Unternehmen zu erfüllen. Seit Inkrafttreten der DSGVO und des IT-Sicherheitsgesetzes steigen die Herausforderungen an den aktuellen Datenschutz weiter an. Zudem werden einschlägige Vorgaben immer mehr präzisiert.

Aktuelle Vorgaben rund um IT- und Informationssicherheit erfüllen

Für die Informationssicherheit eines Unternehmens ist es essenziell, die aktuelle Rechtsprechung und Gesetzgebung genau zu kennen und anwenden zu können. Mit dem „Infodienst Datenschutz für Praktiker“ bleiben Datenschutz-Verantwortliche zu allen relevanten Neuerungen auf dem Laufenden. Dazu erhalten sie konkrete Best-Practice-Analysen und praxisorientierte Umsetzungshilfen wie To-do-Listen oder Musterformulierungen.

Informationssicherheitsmanagement im Arbeitsalltag

Für ein ISMS müssen sich Unternehmen insbesondere mit ihrem eigenen Informationssicherheitsmanagement beschäftigen. Hintergrund ist, dass es inzwischen es kaum noch Tätigkeitsfelder gibt, die ohne unternehmensinterne Informationen arbeiten. Insofern geht praktisch jeder Mitarbeiter mit internen Informationen im Arbeitsalltag um.

Die Erfahrung zeigt jedoch, dass Anwender beim Thema IT selbst zentrale Begriffe wie

  • Informationssicherheit,
  • IT-Sicherheit und
  • IT-Sicherheitskonzept

nur bedingt unterscheiden können. Noch weniger können sie die Schutzziele der Informationssicherheit benennen. Doch gerade diese sind eine Kernkomponente für einen sicheren Umgang mit Informationen und Daten.

Warum Informationssicherheit und was bedeutet sie?

Informationssicherheitsmanagementsystem-ISMS-analoge-Datentraeger-Forum-Verlag-Herkert-GmbH
Ein Informationssicherheitsmanagementsystem inkludiert nicht nur digitale Daten. Auch Informationen auf analogen Datenträgern, z. B. in Papierform, sind zu berücksichtigen.
Bild: © fotomek – stock.adobe.com

Genau genommen geht der Begriff Informationssicherheit über denjenigen der IT-Sicherheit hinaus, denn:

  • IT-Sicherheit betrifft die Sicherheit aller digitalen sowie elektronisch erfassten Daten.
  • Informationssicherheit schließt sämtliche Daten ein, z. B. auch Daten in Papierakten.

In diesem Rahmen sorgt das Informationssicherheitsmanagementsystem für sichere Abläufe und Risikominimierung bei der

  • Verarbeitung,
  • Speicherung und
  • Lagerung

von Informationen aller Art. Daher schließt das ISMS auch das Ergreifen technischer und organisatorischer Maßnahmen mit ein. Zwar gestalten sich die Grenzen zwischen den Begriffen IT-Sicherheit und Informationssicherheit im Zuge der Digitalisierung zunehmend fließend. Dennoch sind sie nach wie vor nicht austauschbar.

Welche Schutzziele verfolgt die Informationssicherheit?

Im Rahmen eines internen Informationsmanagementsystems spielen die drei allgemeinen Schutzziele der Informationssicherheit eine zentrale Rolle. Ausgehend von diesen muss beim Umgang mit allen Daten Folgendes gewährleistet sein:

1. Vertraulichkeit (confidentiality) Zugriff, Änderung, Verarbeitung und Übertragung von Daten können nur durch jeweils autorisierte Nutzer erfolgen.
2. Integrität (integrity) Erfolgt eine Modifizierung von Daten, muss diese eindeutig nachvollziehbar dokumentiert sein. Das heißt, die Informationen sind bei Abruf unverfälscht.
3. Verfügbarkeit (availability) Die Daten sind zum Zeitpunkt des Abrufs verfügbar. Auch wenn technische Systeme ausfallen oder Fehler auftreten sollten, ist der Datenzugriff innerhalb einer definierten Frist sicherzustellen.

Die Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit haben sich als zentrale Säulen etabliert. Ergänzend dazu haben sich verschiedene weitere Ansätze im Praxisalltag bewährt, z. B.

  • die Mitarbeiter im Hinblick auf Security Awareness zu sensibilisieren und regelmäßig zu schulen,
  • Verantwortliche für Datenschutz und Informationssicherheit im Unternehmen festzulegen und ihre Aufgabenbereiche entsprechend auszudifferenzieren,
  • Maßnahmen zur Vorbereitung auf etwaige Ausfälle und Störungen im Rahmen der Datenverarbeitung umzusetzen (Stichwort Verfügbarkeit von Daten).

Selbstverständlich sind bestehende Vorschriften ebenfalls weiterhin zu erfüllen, wie etwa zur Aktualisierung des Verarbeitungsverzeichnisses.

Wie lässt sich ein ISMS im Unternehmen umsetzen?

Besonders seitdem die DSGVO und das BDSG-neu gelten, berichten die Medien immer wieder von Datenschutzverstößen. Ebenfalls in der Kritik steht u. a. die Datenweitergabe von Apps an Drittanbieter. Vor diesem Hintergrund suchen viele Unternehmen nach einer Möglichkeit zu belegen, dass ihr Informationssicherheitsmanagementsystem alle relevanten Standards erfüllt.

Die Einführung eines ISMS und seine korrekte Umsetzung ist ein anspruchsvolles Projekt und benötigen dementsprechend einige Grundlagen und Vorarbeiten. Dazu gehören insbesondere folgende Punkte:

  • Identifikation aller relevanten und zu schützenden Informationen und Daten im Unternehmen
  • Dokumentation sämtlicher Vorgaben und Leitlinien
  • Analyse und Bewertung von Risiken
  • Auswahl eines passenden Standards und ISMS-Tools bzw. ISMS-Software, um alle Bedarfe abzudecken.

Erfahrungsgemäß haben nach wie vor viele Unternehmen die Erstellung eines IT-Sicherheitskonzepts noch nicht abgeschlossen. Auch die Schutzziele der Informationssicherheit bleiben bislang häufig unerfüllt. Ebenso sind weitere Vorgaben wie die Norm ISO IEC 27001 noch lange nicht berücksichtigt.

Verantwortliche sind auf aktuelles Wissen angewiesen, um

  • die Erfüllung aller Schutzziele der Informationssicherheit zu gewährleisten,
  • den praktischen Arbeitsalltag im Unternehmen sicher zu gestalten,
  • auf etwaige Ausfälle und Störungen vorbereitet zu sein,
  • ihren fortlaufenden Datenschutzpflichten nachzukommen,
  • die notwendige Transparenz und Kontrolle über personenbezogene Daten sicherzustellen,
  • Verstößen und damit empfindlichen Bußgeldern vorzubeugen und
  • wirtschaftliche Schäden langfristig zu vermeiden.

Auch die gesetzlichen Anforderungen an Informationssicherheitsmanagementsysteme sind kontinuierlichen Neuerungen und Aktualisierungen unterworfen. Gleichzeitig steigen die Herausforderungen, die mit der Erfüllung der Schutzziele zur Informationssicherheit einhergehen. Unterstützung bei der Umsetzung der komplexen Vorgaben erhalten Verantwortliche für Datenschutz und Informationssicherheit mit dem „Infodienst Datenschutz für Praktiker“. Sichern Sie sich jetzt

  • fortlaufend aktuelle Informationen,
  • konkrete Handlungsempfehlungen und
  • hilfreiche Unterlagen wie To-do-Listen und Musterformulierungen.

Bestellen Sie gleich ein kostenfreies Probeheft und sichern Sie sich ab: Halten Sie sich im Hinblick auf die Informationssicherheit auf dem neuesten Stand!

Quellen: „Infodienst Datenschutz für Praktiker“, „Datenschutz 2020“, bsi.bund.de, bmwi.de, statista.de

Sie wollen mehr Fachwissen, Praxistipps und kostenlose Arbeitshilfen zum Bereich Datenschutz und IT erhalten? Dann melden Sie sich gleich zu unserem kostenlosen Fach-Newsletter an!

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.