ISMS – Information Security Management System

Das ISMS (Information Security Management System) definiert Regeln um die Informationssicherheit in einem Unternehmen / Firma zu gewährleisten. Der Begriff wird im Standard ISO/IEC 27002 verwendet. ISO/IEC 27001 definiert ein ISMS.

methodshop / Pixabay

 

Wichtige Ansätze des ISMS

Eigenschaften und Ziele eines ISMS in der Praxis:

  1. Eingliederung in die Organisation:
    Die Befugnisse für den Informationssicherheitsprozess werden von der obersten Führung eindeutig und widerspruchsfrei zugewiesen. Es wird ein Mitarbeiter bestimmt, der dann umfassend verantwortlich für das Informationssicherheitsmanagementsystem ist.
  2. Verbindliche Ziele:
    Die zu erreichenden Ziele werden durch die Führung vorgegeben.
  3. Richtlinien:
    Verabschiedung von Sicherheitsrichtlinien.
  4. Personalmanagement:
    Bei Einstellung, Einarbeitung sowie Beendigung oder Wechsel von Mitarbeitern werden die Anforderungen der Informationssicherheit berücksichtigt.
  5. Aktualität des Wissens:
    Das Unternehmen muss in Sachen Wissen zum Information Security Management System auf dem neuesten Stand sein.
  6. Qualifikation und Fortbildung:
    Sicherstellen, dass das Personal für seine Aufgaben geeignet und qualifiziert ist.
  7. Adaptive Sicherheit:
    Das angestrebte Niveau der Informationssicherheit wird definiert, umgesetzt und fortlaufend an die aktuellen Bedürfnisse sowie die Gefährdungslage angepasst.
  8. Berechtigungen:
    Zugänge und Zugriffsrechte werden strukturiert verwaltet.
  9. Datensicherung:
    Es ist eine strukturierte Datensicherung vorhanden.
  10. Vorbereitung:
    Das Unternehmen ist auf Störungen, Ausfälle und Sicherheitsvorfälle in der elektronischen Datenverarbeitung vorbereitet.

 

ISMS Beauftragter

Dieser ist in den ISMS-Prozess integriert und eng mit den IT-Verantwortlichen bei Aufgaben wie der Auswahl neuer IT-Komponenten und -Anwendungen verzahnt. Innerhalb des Unternehmens ist er der Ansprechpartner für sämtliche Fragen, die die IT-Sicherheit betreffen. Der Vorstand oder das oberste Führungslinie benennt den IT-Sicherheitsbeauftragten. Er ist direkt dem Vorstand unterstellt und berichtet regelmäßig. Zur Durchführung seiner Aufgaben ist er mit eigenen finanziellem Budget ausgestattet.

Johannes Huber
 

In seiner Freizeit macht Johannes nichts lieber, als für ITnator Beiträge zu schreiben. Input bekommt er hierfür von Problemen in der IT Administration von Servern, Clients und vielen weiteren IT Komponenten.

sidebar
>