Das ISMS (Information Security Management System) definiert Regeln um die Informationssicherheit in einem Unternehmen / Firma zu gewährleisten. Der Begriff wird im Standard ISO/IEC 27002 verwendet. ISO/IEC 27001 definiert ein ISMS.
Wichtige Ansätze des ISMS
Eigenschaften und Ziele eines ISMS in der Praxis:
- Eingliederung in die Organisation:
Die Befugnisse für den Informationssicherheitsprozess werden von der obersten Führung eindeutig und widerspruchsfrei zugewiesen. Es wird ein Mitarbeiter bestimmt, der dann umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist. - Verbindliche Ziele:
Die zu erreichenden Ziele werden durch die Führung vorgegeben. - Richtlinien:
Verabschiedung von Sicherheitsrichtlinien. - Personalmanagement:
Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt. - Aktualität des Wissens:
Das Unternehmen muss in Sachen Wissen zum Information Security Management System auf dem neuesten Stand sein. - Qualifikation und Fortbildung:
Sicherstellen, dass das Personal für seine Aufgaben geeignet und qualifiziert ist. - Adaptive Sicherheit:
Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst. - Berechtigungen:
Zugänge und Zugriffsrechte werden strukturiert verwaltet. - Datensicherung:
Es ist eine strukturierte Datensicherung vorhanden. - Vorbereitung:
Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet.
ISMS Beauftragter
Dieser ist in den ISMS-Prozess integriert und eng mit den IT-Verantwortlichen bei Aufgaben wie der Auswahl neuer IT-Komponenten und -Anwendungen verzahnt. Innerhalb des Unternehmens ist er der Ansprechpartner für sämtliche Fragen, die die IT-Sicherheit betreffen. Der Vorstand oder das oberste Führungslinie benennt den IT-Sicherheitsbeauftragten. Er ist direkt dem Vorstand unterstellt und berichtet regelmäßig. Zur Durchführung seiner Aufgaben ist er mit eigenen finanziellem Budget ausgestattet.