Information Security Management System
Ein Information Security Management System (ISMS) ist ein Managementsystem für Informationssicherheit
Beschreibung
- Jede Institution benutzt heute Sicherheitstechnik, um sich vor Gefahren aus dem Internet abzusichern
- Dazu gehören fast immer Virenschutzprogramme und Spamfilter, oft aber auch komplexere Lösungen wie gestaffelte Firewalls und Software zur Angriffserkennung.
- Darüber hinaus ergreifen Behörden und Unternehmen organisatorische Maßnahmen, etwa indem sie Richtlinien für die Benutzung mobiler Systeme erlassen oder die ihre Mitarbeiter über Gefahren im Internet informieren.
- Sowohl die Anwendung von Technik als auch die Einführung organisatorischer Maßnahmen erfolgt oft jedoch ohne Konzept und Erfolgskontrolle.
- Für eine angemessene Informationssicherheit ist die isolierte Umsetzung einzelner technischer oder organisatorischer Maßnahmen erfahrungsgemäß allerdings weder effektiv noch effizient.
- Vielmehr ist ein Rahmen erforderlich, der dafür sorgt, dass alle Maßnahmen zielgerichtet gesteuert und überwacht werden.
Ein solches Managementsystem für Informationssicherheit (ISMS) besteht aus folgenden Komponenten:
- Managementprinzipien,etwa der Vorgabe von Zielen in der Organisation, der Erstellung von Kommunikationsgrundsätzen oder Regelungen für Kosten-Nutzen-Analysen,
- Ressourcen und Mitarbeitern,dies umfasst die Steuerung des Einsatzes von Technik und Personal sowie
- der Beschreibung eines Sicherheitsprozesses.
- Worauf sollten Sie beim Aufbau und Betrieb eines ISMS achten?
Antworten hierzu finden Sie im -Standard 200-1: Managementsysteme für Informationssicherheit ().
- Die dort genannten Empfehlungen werden im -Standard 200-2: -Grundschutz-Methodik konkretisiert.
- In den Kapiteln 3 und 4 erfahren Sie dort beispielsweise, worauf bei der Initiierung und Organisation des Sicherheitsprozesses zu achten ist.
- Aspekte des Managements von Informationssicherheit gemäß -Grundschutz
Aspekt | Beschreibung |
---|---|
Sicherheitsprozess | |
Managementprinzipien | |
Sicherheitsorganisation | |
Sicherheitsleitlinie | |
Sicherheitskonzept | |
Dokumentation |
Aufgabe des IT-Sicherheitsmanagements
- Systematische Absicherung eines informationsverarbeitenden IT-Verbundes
- Gefahren für die Informationssicherheit oder Bedrohungen des Datenschutzes eines Unternehmens oder einer Organisation sollen verhindert oder abgewehrt werden.
- Die Auswahl und Umsetzung von IT-Sicherheitsstandards zählt zu den Aufgaben des IT-Sicherheitsmanagements.
- Standards des IT-Sicherheitsmanagements
- IT-Grundschutz des BSI
- Die IT-Grundschutz-Kataloge definieren für die verschiedenen Aspekte einer IT-Landschaft konkrete Maßnahmen, die zur Erhaltung der Sicherheit bei niedrigem und mittlerem Schutzbedarf erfüllt werden müssen (Waschzettel).
- Für Systeme mit hohem Schutzbedarf geben die Grundschutzkataloge ein strukturiertes Vorgehen, um die notwendigen Maßnahmen zu identifizieren.
- Die Grundschutz-Kataloge sind primär in Deutschland bekannt, liegen allerdings auch englischsprachig vor.
- ISO/IEC 27001: Norm für Informationssicherheitsmanagementsysteme (ISMS)
- ISO/IEC 27002: Leitfaden für das Informationssicherheitsmanagement (vormals ISO/IEC17799:2005)
- Weltweit am stärksten verbreitet ist die ISO/IEC 27001-Norm
- Weitere Standards sind zu finden im Vorlage:Hauptartikel
- Verfahren und Regeln innerhalb einer Organisation zur Informationssicherheit
- definieren
- steuern
- kontrollieren
- aufrechterhalten
- fortlaufend verbessern
- Begriff wird im Standard ISO/IEC 27002 definiert
- ISO/IEC 27001 beschreibt ein ISMS
- Deutscher Anteil an dieser Normungsarbeit
Informationssicherheit und Datenschutz
- Informationssicherheitsbeauftragte (ISB) und Datenschutzbeauftragter (DSB) haben überschneidende Zuständigkeiten
- Sollten personell getrennt wahrgenommen werden.
- ISO/IEC 27701
Mit der ISO/IEC 27701 wird das klassische Informationssicherheitsmanagementsystem um Datenschutzaspekte erweitert
- sodass beide Beauftragte über das gleiche Dokumentenwerk gegenseitig zuarbeiten können.
Allgemeine Ansätze
Ansatz | Beschreibung |
---|---|
Verankerung in der Organisation | Die Verantwortlichkeiten und Befugnisse für den Informationssicherheitsprozess werden vom obersten Management eindeutig und widerspruchsfrei zugewiesen.
|
Verbindliche Ziele | Die durch den Informationssicherheitsprozess zu erreichenden Ziele werden durch das Topmanagement vorgegeben. |
Richtlinien | Verabschiedung von Sicherheitsrichtlinien (Security Policy), die den sicheren Umgang mit der IT-Infrastruktur und den Informationen definieren durch das oberste Management. |
Personalmanagement | Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel der Anstellung von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt. |
Aktualität des Wissens | Es wird sichergestellt, dass das Unternehmen über aktuelles Wissen in Bezug auf Informationssicherheit verfügt. |
Qualifikation und Fortbildung | Es wird sichergestellt, dass das Personal seine Verantwortlichkeiten versteht und es für seine Aufgaben geeignet und qualifiziert ist. |
Adaptive Sicherheit | Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst (Kontinuierlicher Verbesserungsprozess). |
Vorbereitung | Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet. |
Zertifizierung